黑客利用 Centreon 的 IT 监控工具入侵目标

与俄罗斯有关联的国家支持的威胁者SandWorm被认为与一项为期三年的秘密行动有关，该行动利用一种名为Centreon的IT监控工具来入侵目标。

法国信息安全机构ANSSI在一份咨询报告中说，入侵活动已破坏了“几个法国实体”，据称始于2017年末，一直持续到2020年，其中攻击对网络主机提供商的影响尤为严重。

该机构周一说： “在受到破坏的系统上，ANSSI发现以webshell形式出现的后门存在于暴露于互联网的几台Centreon服务器上。” “此后门被标识为PAS Webshell，版本号3.1.4。在同一服务器上，ANSSI发现了另一个与ESET描述的后门相同的后门，名为Exaramel。”

据说俄罗斯黑客组织（也称为APT28, TeleBots, Voodoo Bear, 或Iron Viking）在过去几年中遭受了一些最具破坏性的网络攻击，其中包括2016年乌克兰的电网攻击，2017年的NotPetya勒索软件爆发以及2018年平昌冬季奥运会。

尽管最初的攻击媒介似乎尚不清楚，但受害网络的危害却与Centreon（一种由一家法国公司同名开发的应用程序和网络监控软件）联系在一起。

Centreon，成立于2005年，其客户包括Airbus, Air Caraïbes, ArcelorMittal, BT, Luxottica, Kuehne + Nagel, Ministère de la Justice français, New Zealand Police, PWC Russia, Salomon, Sanofi, 和 Sephora。目前尚不清楚有多少或哪些组织通过该软件黑客被入侵。

ANSSI表示，受损的服务器运行CENTOS操作系统（版本2.5.2），并在两种不同的恶意软件中发现了这种恶意软件-一种名为PAS的公开Webshell，另一种名为Exaramel，Sandworm曾在先前的攻击中使用过这种Webshell。自2018年以来。

该Web Shell具备处理文件操作，搜索文件系统，与SQL数据库进行交互，对SSH，FTP，POP3和MySQL进行暴力破解密码攻击，创建反向Shell以及运行任意PHP命令的功能。

另一方面，Exaramel用作远程管理工具，能够执行Shell命令并在攻击者控制的服务器与受感染的系统之间来回复制文件。它还使用HTTPS与其命令和控制（C2）服务器进行通信，以便检索要运行的命令列表。

此外，ANSSI的调查显示，为了连接到Web Shell，使用了常见的VPN服务，在C2基础结构中存在重叠，从而将操作连接到Sandworm。

研究人员详细指出：“众所周知，入侵设备Sandworm会领导随后的入侵活动，然后重点关注适合其在受害者群体中的战略利益的特定目标。” “ ANSSI观察到的竞选活动符合这种行为。”

鉴于SolarWinds供应链的攻击，不足为奇的是，诸如Centreon之类的监视系统已成为不良行为者立足并在受害环境中横向移动的有利可图的目标。但是，与前者的供应链妥协不同，新近披露的攻击有所不同，它们似乎是通过利用受害者中心网络中运行Centreon软件的面向互联网的服务器来实施的。

ANSSI警告说：“因此，建议在漏洞公开并发布纠正补丁后立即更新应用程序。” “建议不要将这些工具的Web界面公开到[Internet]或使用非应用身份验证来限制这种访问。”

2020年10月，美国政府正式指控六名俄罗斯军官参与由该组织精心策划的破坏性恶意软件攻击，并将Sandworm威胁组织与俄罗斯主要情报局（GRU）的74455部门联系起来，后者是该组织的军事情报机构的一部分。俄罗斯军队。