Slevová nabídka pro více licencí
Databáze hrozeb Malware Malware Airstalk

Malware Airstalk

V roce Mezo v roce Malware, Pokročilá trvalá hrozba (APT)
Přeložit do:

Nově pozorovaná rodina malwaru, připisovaná podezřelému klastru národních států (označená jako CL-STA-1009), je distribuována způsobem odpovídajícím narušení dodavatelského řetězce. Implantát s názvem Airstalk využívá infrastrukturu správy mobilních zařízení (MDM) podniku k zakrytí provozu C2 (Command-and-Control) a k získání artefaktů prohlížeče a dalších citlivých dat z napadených hostitelů.

Jak se hrozba skrývá na očích

Airstalk přetváří rozhraní AirWatch API (nyní Workspace ONE Unified Endpoint Management) jako svůj skrytý kanál C2. Místo použití API pro legitimní správu zařízení malware využívá vlastní atributy zařízení a funkce pro nahrávání souborů (blob) k výměně zpráv se svými operátory, čímž efektivně proměňuje koncový bod MDM v dead-drop resolver pro komunikaci útočníka a nahrávání velkých dat.

Dvě implementace: PowerShell vs. .NET

Byly pozorovány dvě odlišné sestavení: backdoor PowerShellu a varianta .NET bohatší na funkce. Obě implementují vícevláknový protokol C2 a podporují operace krádeže dat, jako je pořizování snímků obrazovky a sběr souborů cookie, historie prohlížení a záložek. Důkazy naznačují, že některé artefakty byly podepsány certifikátem, který vědci považují za pravděpodobně ukradený.

Varianta PowerShellu: Chování a schopnosti C2

PowerShellový implantát komunikuje prostřednictvím koncového bodu /api/mdm/devices/. Po spuštění naváže kontakt jednoduchým handshake CONNECT/CONNECTED, přijímá úlohy zabalené jako zprávy „ACTIONS“, provádí je a vrací výsledky pomocí zpráv „RESULT“. Když úloha vygeneruje velký výstup, Airstalk nahraje data pomocí funkce blob rozhraní MDM API.

Mezi pozorované AKCE podporované backdoorem PowerShellu patří:

  • Udělejte snímek obrazovky.
  • Načíst soubory cookie z prohlížeče Google Chrome.
  • Zobrazit seznam všech uživatelských profilů Chrome.
  • Získání záložek pro zadaný profil Chrome.
  • Shromažďuje historii prohlížení pro zadaný profil Chrome.
  • Vyjmenujte všechny soubory v adresáři uživatele.
  • Odinstalujte se.

Varianta .NET: Vylepšené cíle a možnosti

Sestavení .NET rozšiřuje rozsah a sofistikovanost. Zaměřuje se na další podnikové prohlížeče (Microsoft Edge a Island), pokouší se maskovat jako spustitelný soubor pomocníka AirWatch (AirwatchHelper.exe) a přidává tři další typy zpráv používané pro oznámení o neshodě verzí, ladicí výstup a beaconing.

Klíčové rozdíly a další chování varianty .NET:

Používá tři vyhrazená spouštěcí vlákna pro zpracování úloh C2, exfiltraci ladicích protokolů a provádění periodických signálů do C2.

Podporuje širší sadu příkazů pro cílené odhalování a vzdálené ovládání, včetně příkazů pro výpis konkrétních profilů prohlížeče, nahrávání souborů, otevírání URL adres, výpis obsahu adresářů a další.

Některé vzorky .NET jsou podepsány certifikátem připisovaným společnosti „Aoteng Industrial Automation (Langfang) Co., Ltd)“, o kterém analytici věří, že byl pravděpodobně ukraden; rané vzorky nesou časové razítko kompilace 28. června 2024.

Na rozdíl od verze PowerShellu analyzované ukázky variant .NET nevytvářejí konzistentně naplánovanou úlohu pro perzistenci.

Rozšířená sada příkazů pozorovaná v ukázkách .NET zahrnuje:

  • Snímek obrazovky
  • UpdateChrome (odhalení konkrétního profilu Chrome)
  • FileMap (výpis obsahu adresáře)
  • RunUtility (zatím není implementováno v pozorovaných vzorcích)
  • EnterpriseChromeProfiles (výčet profilů Chrome)
  • UploadFile (exfiltrace souborů/artefaktů a přihlašovacích údajů)
  • OpenURL (spuštění URL adresy v Chromu)
  • Odinstalovat
  • EnterpriseChromeBookmarks (načtení záložek z profilu Chrome)
  • EnterpriseIslandProfiles (výčet profilů prohlížeče Island)
  • UpdateIsland (odhalení profilu na konkrétním ostrově)
  • ExfilAlreadyOpenChrome (výpis souborů cookie z aktuálního profilu Chrome)

Distribuce a dopad

Přiřazení cílové skupiny a přesná metoda distribuce však zůstává nejasná. Použití MDM API jakožto C2 a explicitní zaměření na podnikové prohlížeče, zejména Island, který je zaměřen na firemní nasazení, však silně poukazují na kompromitaci dodavatelského řetězce nebo ze strany třetích stran, zaměřenou na firmy zabývající se outsourcingem obchodních procesů (BPO). Poskytovatelé BPO jsou atraktivními cíli, protože ukradené soubory cookie relace prohlížeče a artefakty profilů mohou útočníkům poskytnout přístup k řadě klientských prostředí; trvalý přístup prostřednictvím infrastruktury dodavatele zesiluje dopad.

Závěr

Airstalk demonstruje znepokojivý trend: útočníci zneužívají důvěryhodné platformy pro správu k prolínání škodlivého provozu s legitimní administrativní telemetrií. Pro organizace, které se spoléhají na dodavatele třetích stran nebo služby BPO, tato technika podstatně zvyšuje riziko, že se jednorázové narušení rozšíří na mnoho klientských prostředí. Pro detekci a omezení této třídy hrozeb je nezbytná ostražitost ohledně aktivity MDM, původu certifikátů a integrity nástrojů dodavatelů.

Trendy

Podvod s ztraceným balíkem DHL Express

Phishing, Spam
Výzkumníci v oblasti kybernetické bezpečnosti varovali před klamavou phishingovou kampaní známou jako podvod s chybným umístěním balíku DHL Express. Tyto podvodné e-maily jsou maskovány jako oficiální oznámení o doručení, která údajně zasílá DHL. Zprávy obvykle tvrdí, že příjemce musí ověřit svou adresu nebo potvrdit doručení, aby se zabránilo ztrátě balíku. Ve skutečnosti jsou tato tvrzení...

Podvod s rutinním čištěním nepoužívaných účtů

Phishing, Spam
Výzkumníci v oblasti kybernetické bezpečnosti odhalili, že e-maily s takzvaným „běžným čištěním nepoužívaných účtů“ nejsou legitimními oznámeními o údržbě, ale spíše škodlivými pokusy o phishing. Tyto podvodné zprávy jsou navrženy tak, aby pod rouškou bezpečnostní kontroly oklamaly příjemce a přiměly je odhalit citlivé přihlašovací údaje. Nejsou spojeny s žádnými skutečnými nebo důvěryhodnými...

Nejvíce shlédnuto

Načítání...