Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер Зловреден софтуер Airstalk

Зловреден софтуер Airstalk

До Mezo през Зловреден софтуер, Усъвършенствана постоянна заплаха (APT)г
Превод на:

Новооткрито семейство зловреден софтуер, приписвано на предполагаем клъстер от национална държава (обозначен като CL-STA-1009), се разпространява по начин, съответстващ на проникване във веригата за доставки. Имплантът, наречен Airstalk, използва инфраструктурата за управление на мобилни устройства (MDM) на предприятието, за да скрие трафика от системата за командване и контрол (C2) и да извлече артефакти на браузъра и други чувствителни данни от компрометирани хостове.

Как заплахата се крие пред очите ни

Airstalk пренастройва AirWatch API (сега Workspace ONE Unified Endpoint Management) като свой скрит C2 канал. Вместо да използва API за легитимно управление на устройства, зловредният софтуер използва персонализирани атрибути на устройствата и функции за качване на файлове (blob), за да обменя съобщения с операторите си, като по този начин ефективно превръща MDM крайната точка в „мъртва точка“ за комуникация с нападателите и качване на големи количества данни.

Две реализации: PowerShell срещу .NET

Наблюдавани са две различни компилации: PowerShell backdoor и по-богат на функции .NET вариант. И двете имплементират многонишков C2 протокол и поддържат операции за кражба на данни, като например заснемане на екранни снимки и събиране на бисквитки, история на сърфиране и отметки. Данните сочат, че някои артефакти са били подписани със сертификат, който изследователите считат за вероятно откраднат.

Вариант на PowerShell: C2 поведение и възможности

PowerShell имплантът комуникира чрез крайната точка /api/mdm/devices/. При стартиране той установява контакт с просто ръкостискане CONNECT/CONNECTED, получава задачи, пакетирани като съобщения „ACTIONS“, изпълнява ги и връща резултати, използвайки съобщения „RESULT“. Когато дадена задача генерира голям изход, Airstalk качва данните, използвайки функцията за blob на MDM API.

Наблюдаваните ДЕЙСТВИЯ, поддържани от задната вратичка на PowerShell, включват:

  • Направете екранна снимка.
  • Извличане на „бисквитки“ от Google Chrome.
  • Избройте всички потребителски профили в Chrome.
  • Получаване на отметки за определен профил в Chrome.
  • Събиране на историята на сърфиране за определен профил в Chrome.
  • Избройте всички файлове в потребителската директория.
  • Деинсталирайте се.

.NET вариантът: подобрени цели и възможности

.NET компилацията разширява обхвата и сложността. Тя е насочена към допълнителни корпоративни браузъри (Microsoft Edge и Island), опитва се да се маскира като изпълним файл на помощника на AirWatch (AirwatchHelper.exe) и добавя три допълнителни типа съобщения, използвани за известия за несъответствия във версиите, изход за отстраняване на грешки и маяци.

Ключови разлики и допълнителни поведения на .NET варианта:

Използва три специални нишки за изпълнение за обработка на C2 задачи, извличане на регистрационни файлове за отстраняване на грешки и периодично изпращане на маяци към C2.

Поддържа по-широк набор от команди за целенасочено извличане на данни и дистанционно управление, включително команди за извличане на данни от специфични профили на браузъра, качване на файлове, отваряне на URL адреси, изброяване на съдържанието на директории и други.

Някои .NET образци са подписани със сертификат, приписван на „Aoteng Industrial Automation (Langfang) Co., Ltd)“, който анализаторите смятат, че вероятно е откраднат; ранните образци носят времева марка на компилация от 28 юни 2024 г.

За разлика от версията на PowerShell, анализираните примерни варианти на .NET не създават последователно планирана задача за постоянство.

Разширеният набор от команди, наблюдаван в .NET примерите, включва:

  • Скрийншот
  • UpdateChrome (извличане на информация от конкретен профил в Chrome)
  • FileMap (изброяване на съдържанието на директория)
  • RunUtility (все още не е внедрен в наблюдаваните примери)
  • EnterpriseChromeProfiles (изброяване на профили в Chrome)
  • UploadFile (извличане на файлове/артефакти и идентификационни данни)
  • OpenURL (стартиране на URL адрес в Chrome)
  • Деинсталиране
  • EnterpriseChromeBookmarks (извличане на отметки от профил в Chrome)
  • EnterpriseIslandProfiles (изброяване на профили на браузъра на Island)
  • UpdateIsland (извличане на информация от конкретен профил на остров)
  • ExfilAlreadyOpenChrome (изхвърляне на бисквитки от текущия профил в Chrome)

Разпространение и въздействие

Остава неясно кой е бил обект на атаката и точният метод на разпространение. Използването на MDM API като C2 и изричният фокус върху корпоративните браузъри, особено Island, който е насочен към корпоративни внедрявания, обаче силно сочат към компрометиране на веригата за доставки или от страна на трети страни доставчици, насочено към фирми за аутсорсинг на бизнес процеси (BPO). Доставчиците на BPO са привлекателни цели, защото откраднатите „бисквитки“ на сесиите на браузъра и артефакти на профили могат да предоставят на нападателите достъп до множество клиентски среди надолу по веригата; постоянният достъп чрез инфраструктурата на доставчика усилва въздействието.

Заключение

Airstalk демонстрира обезпокоителна тенденция: нападателите злоупотребяват с надеждни платформи за управление, за да смесват злонамерен трафик с легитимна административна телеметрия. За организации, които разчитат на доставчици на трети страни или BPO услуги, тази техника значително увеличава риска еднократно компрометиране да се разпространи каскадно в много клиентски среди. Бдителността относно MDM активността, произхода на сертификатите и целостта на инструментариума на доставчиците е от съществено значение за откриване и ограничаване на този клас заплаха.

Тенденция

Измама с неправилно поставяне на пратки на DHL Express

Фишинг, Спам
Изследователи по киберсигурност предупредиха за измамна фишинг кампания, известна като измама за погрешно изпращане на пратки в експресния магазин на DHL. Тези измамни имейли са маскирани като официални известия за доставка, уж изпратени от DHL. В съобщенията обикновено се твърди, че получателят трябва да потвърди адреса си или да потвърди доставката, за да предотврати погрешно изпращане на...

Unsfeths.com

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Киберпрестъпниците непрекъснато разработват нови начини за манипулиране на потребителите и използване на функциите на браузъра за злонамерени цели. Една такава измамна тактика включва фалшиви...

Измама с рутинно почистване на неизползвани акаунти

Фишинг, Спам
Изследователи по киберсигурност са открили, че така наречените имейли за „Рутинно почистване на неизползвани акаунти“ не са легитимни известия за поддръжка, а по-скоро злонамерени опити за фишинг. Тези измамни съобщения са предназначени да подведат получателите да разкрият чувствителна информация за вход под прикритието на проверка за сигурност. Те не са свързани с никакви реални или надеждни...

Най-гледан

Зареждане...