برنامج Airstalk الخبيث

تم رصد عائلة برمجيات خبيثة جديدة، تُنسب إلى مجموعة يُشتبه في أنها تابعة لدولة (مُصنّفة باسم CL-STA-1009)، ويتم توزيعها بطريقة تتوافق مع اختراق سلسلة التوريد. يستخدم هذا البرنامج الخبيث، المسمى Airstalk، البنية التحتية لإدارة الأجهزة المحمولة (MDM) للمؤسسات لإخفاء حركة بيانات القيادة والتحكم (C2) واستخراج بيانات المتصفح وغيرها من البيانات الحساسة من الأجهزة المُستهدفة.

كيف يختبئ التهديد أمام أعيننا

يُعيد Airstalk استخدام واجهة برمجة تطبيقات AirWatch (التي تُعرف الآن باسم Workspace ONE Unified Endpoint Management) كقناة C2 سرية. فبدلاً من استخدام واجهة برمجة التطبيقات لإدارة الأجهزة بشكل قانوني، يستخدم البرنامج الخبيث سمات مخصصة للجهاز وميزات تحميل الملفات (blob) لتبادل الرسائل مع مشغليه، مما يُحوّل نقطة نهاية إدارة الأجهزة المحمولة (MDM) إلى مُحلل بيانات غير مُكتمل لاتصالات المهاجمين وعمليات تحميل البيانات الضخمة.

تنفيذان: PowerShell مقابل .NET

لوحظ إصداران مختلفان: باب خلفي لـ PowerShell، وإصدار .NET أكثر ثراءً بالميزات. كلاهما يطبق بروتوكول C2 متعدد الخيوط، ويدعم عمليات سرقة البيانات، مثل التقاط لقطات الشاشة وجمع ملفات تعريف الارتباط، وسجل التصفح، والإشارات المرجعية. تشير الأدلة إلى أن بعض العناصر قد تم توقيعها بشهادة يعتقد الباحثون أنها قابلة للسرقة.

متغير PowerShell: سلوك C2 والقدرات

يتواصل غرس PowerShell عبر نقطة النهاية /api/mdm/devices/. عند بدء التشغيل، يُنشئ اتصالاً بمصافحة بسيطة CONNECT/CONNECTED، ويستقبل المهام المُجمّعة كرسائل "ACTIONS"، ويُنفّذها، ويُعيد النتائج باستخدام رسائل "RESULT". عندما تُنتج مهمة ما مُخرجات كبيرة، يُحمّل Airstalk البيانات باستخدام ميزة blob في واجهة برمجة تطبيقات MDM.

تتضمن الإجراءات التي تمت ملاحظتها والتي يدعمها الباب الخلفي PowerShell ما يلي:

• التقط لقطة شاشة.
• استرداد ملفات تعريف الارتباط من Google Chrome.
• قائمة بجميع ملفات تعريف المستخدم في Chrome.
• احصل على إشارات مرجعية لملف تعريف Chrome محدد.
• جمع سجل التصفح لملف تعريف Chrome محدد.
• إحصاء جميع الملفات الموجودة ضمن دليل المستخدم.
• إلغاء تثبيت نفسه.

متغير .NET: أهداف وقدرات مُحسّنة

يُوسّع إصدار .NET نطاقه وتعقيده. فهو يستهدف متصفحات مؤسسات إضافية (Microsoft Edge وIsland)، ويحاول التنكر كملف تنفيذي مساعد لـ AirWatch (AirwatchHelper.exe)، ويضيف ثلاثة أنواع رسائل إضافية تُستخدم لإشعارات عدم تطابق الإصدارات، ومخرجات التصحيح، والإشارات.

الاختلافات الرئيسية والسلوكيات الإضافية لمتغير .NET:

يستخدم ثلاثة خيوط تنفيذ مخصصة للتعامل مع مهام C2، واستخراج سجلات التصحيح، وتنفيذ إشارات دورية إلى C2.

يدعم مجموعة أوامر أوسع نطاقًا للاستخراج المستهدف والتحكم عن بعد، بما في ذلك الأوامر لتفريغ ملفات تعريف متصفح محددة، وتحميل الملفات، وفتح عناوين URL، وقائمة محتويات الدليل، والمزيد.

تم توقيع بعض عينات .NET بشهادة منسوبة إلى "Aoteng Industrial Automation (Langfang) Co., Ltd)" والتي يعتقد المحللون أنها ربما سُرقت؛ تحمل العينات المبكرة علامة زمنية للتجميع بتاريخ 28 يونيو 2024.

على عكس إصدار PowerShell، فإن عينات متغيرات .NET التي تم تحليلها لا تنشئ باستمرار مهمة مجدولة للاستمرار.

تتضمن مجموعة الأوامر الموسعة التي تمت ملاحظتها في عينات .NET ما يلي:

• لقطة شاشة
• تحديث Chrome (استخراج ملف تعريف Chrome محدد)
• FileMap (قائمة محتويات الدليل)
• RunUtility (لم يتم تنفيذه بعد في العينات التي تمت ملاحظتها)
• EnterpriseChromeProfiles (إحصاء ملفات تعريف Chrome)
• تحميل الملف (استخراج الملفات/القطع الأثرية وبيانات الاعتماد)
• OpenURL (تشغيل عنوان URL في Chrome)
• إلغاء التثبيت
• EnterpriseChromeBookmarks (استرداد الإشارات المرجعية من ملف تعريف Chrome)
• EnterpriseIslandProfiles (إحصاء ملفات تعريف متصفح الجزيرة)
• تحديث الجزيرة (استخراج ملف تعريف جزيرة معين)
• ExfilAlreadyOpenChrome (تفريغ ملفات تعريف الارتباط من ملف تعريف Chrome الحالي)

التوزيع والتأثير

لا يزال تحديد هوية المستهدفين وطريقة التوزيع الدقيقة غير واضحين. ومع ذلك، فإن استخدام واجهات برمجة تطبيقات إدارة الأجهزة المحمولة (MDM) كمركز قيادة وتحكم، والتركيز الصريح على متصفحات المؤسسات، وخاصةً متصفح Island، المُخصص لعمليات النشر المؤسسية، يُشير بقوة إلى اختراق من سلسلة التوريد أو من جهات خارجية يستهدف شركات الاستعانة بمصادر خارجية لعمليات الأعمال (BPO). يُعدّ مُزوّدو خدمات الاستعانة بمصادر خارجية لعمليات الأعمال (BPO) أهدافًا جذابة لأن ملفات تعريف ارتباط جلسة المتصفح المسروقة وآثار الملفات الشخصية يُمكن أن تمنح المهاجمين إمكانية الوصول إلى العديد من بيئات العملاء اللاحقة؛ ويُعزز الوصول المستمر عبر البنية التحتية للمورد من تأثيره.

خاتمة

يُظهر Airstalk اتجاهًا مُقلقًا: يُسيء المهاجمون استخدام منصات الإدارة الموثوقة لدمج البيانات الضارة مع بيانات القياس عن بُعد الإدارية الشرعية. بالنسبة للمؤسسات التي تعتمد على جهات خارجية أو خدمات الاستعانة بمصادر خارجية (BPO)، تُزيد هذه التقنية بشكل كبير من خطر انتشار اختراق واحد عبر بيئات عملاء متعددة. يُعدّ توخي الحذر بشأن نشاط إدارة الأجهزة المحمولة (MDM)، ومصدر الشهادات، وسلامة سلاسل أدوات البائعين أمرًا ضروريًا للكشف عن هذا النوع من التهديدات والحد منها.