Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Programari maliciós d'Airstalk

Programari maliciós d'Airstalk

El Mezo el Programari maliciós, Amenaça persistent avançada (APT)
Traduir a:

Una família de programari maliciós recentment observada, atribuïda a un clúster presumpte d'estat-nació (designat com a CL-STA-1009), s'està distribuint de manera coherent amb una intrusió a la cadena de subministrament. L'implant, anomenat Airstalk, aprofita la infraestructura de gestió de dispositius mòbils (MDM) empresarial per ocultar el trànsit de comandament i control (C2) i exfiltrar artefactes del navegador i altres dades sensibles dels hosts compromesos.

Com s’amaga l’amenaça a plena vista

Airstalk reutilitza l'API d'AirWatch (ara Workspace ONE Unified Endpoint Management) com el seu canal C2 encobert. En lloc d'utilitzar l'API per a la gestió legítima de dispositius, el programari maliciós utilitza atributs de dispositiu personalitzats i funcions de càrrega de fitxers (blob) per intercanviar missatges amb els seus operadors, convertint efectivament un punt final MDM en un resolutor de dades sense sortida per a les comunicacions dels atacants i les càrregues de grans quantitats de dades.

Dues implementacions: PowerShell vs. .NET

S'han observat dues compilacions diferents: una porta del darrere de PowerShell i una variant de .NET més rica en funcions. Ambdues implementen un protocol C2 multifil i admeten operacions de robatori de dades, com ara la captura de captures de pantalla i la recopilació de galetes, historial de navegació i marcadors. L'evidència suggereix que alguns artefactes es van signar amb un certificat que els investigadors consideren probable que sigui robat.

Variant de PowerShell: comportament i capacitats de C2

L'implant de PowerShell es comunica a través del punt final /api/mdm/devices/. En iniciar-se, estableix contacte amb una simple encaixada de mans CONNECT/CONNECTED, rep tasques empaquetades com a missatges 'ACTIONS', les executa i retorna resultats mitjançant missatges 'RESULT'. Quan una tasca produeix una sortida gran, Airstalk carrega les dades mitjançant la funció blob de l'API MDM.

Les ACCIONS observades que admet la porta del darrere de PowerShell inclouen:

  • Fes una captura de pantalla.
  • Recuperar galetes del Google Chrome.
  • Llista tots els perfils d'usuari de Chrome.
  • Obtén els marcadors per a un perfil de Chrome especificat.
  • Recopila l'historial de navegació d'un perfil de Chrome especificat.
  • Enumera tots els fitxers que hi ha al directori d'usuari.
  • Desinstal·lar-se a si mateix.

La variant .NET: objectius i capacitats millorats

La compilació de .NET amplia l'abast i la sofisticació. Està dirigida a navegadors empresarials addicionals (Microsoft Edge i Island), intenta emmascarar-se com un executable auxiliar d'AirWatch (AirwatchHelper.exe) i afegeix tres tipus de missatges addicionals que s'utilitzen per a notificacions de discrepància de versions, sortida de depuració i beaconing.

Diferències clau i comportaments addicionals de la variant .NET:

Utilitza tres fils d'execució dedicats per gestionar les tasques C2, exfiltrar els registres de depuració i executar balises periòdiques a C2.

Admet un conjunt d'ordres més ampli per a l'exfiltració específica i el control remot, incloent-hi ordres per abocar perfils de navegador específics, carregar fitxers, obrir URL, llistar contingut de directoris i més.

Algunes mostres de .NET estan signades amb un certificat atribuït a "Aoteng Industrial Automation (Langfang) Co., Ltd)" que els analistes creuen que probablement va ser robat; les primeres mostres porten una marca de temps de compilació del 28 de juny de 2024.

A diferència de la versió de PowerShell, les mostres de variants de .NET analitzades no creen de manera consistent una tasca programada per a la persistència.

El conjunt d'ordres ampliat observat als exemples .NET inclou:

  • Captura de pantalla
  • ActualitzaChrome (exfiltra un perfil específic de Chrome)
  • FileMap (llista el contingut d'un directori)
  • RunUtility (encara no implementat en mostres observades)
  • EnterpriseChromeProfiles (enumera els perfils de Chrome)
  • UploadFile (exfiltrar fitxers/artefactes i credencials)
  • OpenURL (inicia una URL a Chrome)
  • Desinstal·la
  • EnterpriseChromeBookmarks (recuperar marcadors d'un perfil de Chrome)
  • EnterpriseIslandProfiles (enumera els perfils del navegador de l'illa)
  • ActualitzaIlla (exfiltra un perfil d'illa específic)
  • ExfilAlreadyOpenChrome (bolca les galetes del perfil actual de Chrome)

Distribució i impacte

L'atribució de qui va ser l'objectiu i el mètode exacte de distribució encara no estan clars. Tanmateix, l'ús de les API MDM com a C2 i l'enfocament explícit en els navegadors empresarials, en particular Island, que està dirigit a implementacions corporatives, apunten fermament a un compromís de la cadena de subministrament o d'un proveïdor extern dirigit a empreses d'externalització de processos empresarials (BPO). Els proveïdors de BPO són objectius atractius perquè les galetes de sessió del navegador robades i els artefactes de perfil poden concedir als atacants accés a nombrosos entorns de clients posteriors; l'accés persistent a través de la infraestructura d'un proveïdor amplifica l'impacte.

Conclusió

Airstalk demostra una tendència preocupant: els atacants abusen de plataformes de gestió de confiança per barrejar trànsit maliciós amb telemetria administrativa legítima. Per a les organitzacions que depenen de proveïdors externs o serveis BPO, aquesta tècnica augmenta substancialment el risc que un únic compromís s'estengui a través de molts entorns de client. La vigilància sobre l'activitat MDM, la procedència dels certificats i la integritat de les cadenes d'eines dels proveïdors és essencial per detectar i limitar aquesta classe d'amenaces.

Tendència

Neteja rutinària de comptes no utilitzats per estafa

Phishing, Correu brossa
Investigadors de ciberseguretat han descobert que els correus electrònics anomenats "Neteja rutinària de comptes no utilitzats" no són notificacions de manteniment legítimes, sinó intents maliciosos de phishing. Aquests missatges fraudulents estan dissenyats per enganyar els destinataris perquè revelin informació d'inici de sessió confidencial sota l'aparença d'una comprovació de seguretat. No...

Més vist

Carregant...