Airstalk-malware

Med Mezo i Malware, Advanced Persistent Threat (APT)

Oversæt til:

En nyligt observeret malwarefamilie, der tilskrives en formodet nationalstatsklynge (betegnet som CL-STA-1009), distribueres på en måde, der stemmer overens med et indbrud i forsyningskæden. Implantatet, kaldet Airstalk, udnytter virksomhedens MDM-infrastruktur (Mobile Device Management) til at skjule Command-and-Control (C2)-trafik og stjæle browserartefakter og andre følsomme data fra kompromitterede værter.

Indholdsfortegnelse

Hvordan truslen skjuler sig i almindeligt syn

Airstalk genbruger AirWatch API'en (nu Workspace ONE Unified Endpoint Management) som sin skjulte C2-kanal. I stedet for at bruge API'en til legitim enhedsadministration, bruger malwaren brugerdefinerede enhedsattributter og filuploadfunktioner (blob) til at udveksle beskeder med sine operatører, hvilket effektivt forvandler et MDM-slutpunkt til en dead-drop-resolver til angriberkommunikation og store datauploads.

To implementeringer: PowerShell vs. .NET

Der er observeret to forskellige builds: en PowerShell-bagdør og en mere funktionsrig .NET-variant. Begge implementerer en multi-threaded C2-protokol og understøtter datatyverioperationer, såsom at tage skærmbilleder og indsamle cookies, browserhistorik og bogmærker. Beviser tyder på, at nogle artefakter blev signeret med et certifikat, som forskere anser for sandsynligvis at være stjålet.

PowerShell-variant: C2-adfærd og -funktioner

PowerShell-implantatet kommunikerer via /api/mdm/devices/-slutpunktet. Ved opstart etablerer det kontakt med et simpelt CONNECT/CONNECTED-handshake, modtager opgaver pakket som 'ACTIONS'-meddelelser, udfører dem og returnerer resultater ved hjælp af 'RESULT'-meddelelser. Når en opgave producerer stort output, uploader Airstalk dataene ved hjælp af MDM API'ens blob-funktion.

Observerede HANDLINGER understøttet af PowerShell-bagdøren inkluderer:

Tag et skærmbillede.
Hent cookies fra Google Chrome.
Vis alle brugernes Chrome-profiler.
Hent bogmærker til en bestemt Chrome-profil.
Indsaml browserhistorikken for en bestemt Chrome-profil.
Opregn alle filer under brugermappen.
Afinstallere sig selv.

.NET-varianten: Forbedrede mål og funktioner

.NET-buildet udvider omfanget og sofistikeringen. Det er rettet mod yderligere virksomhedsbrowsere (Microsoft Edge og Island), forsøger at udgive sig for at være en eksekverbar AirWatch-hjælperfil (AirwatchHelper.exe) og tilføjer tre ekstra meddelelsestyper, der bruges til meddelelser om versionsmatch, fejlfindingsoutput og beaconing.

Vigtige forskelle og yderligere funktionsmåder for .NET-varianten:

Bruger tre dedikerede udførelsestråde til at håndtere C2-opgaver, udvinde fejlfindingslogfiler og udføre periodiske beacons til C2.

Understøtter et bredere kommandosæt til målrettet eksfiltrering og fjernstyring, herunder kommandoer til at dumpe specifikke browserprofiler, uploade filer, åbne URL'er, vise mappeindhold og mere.

Nogle .NET-eksempler er signeret med et certifikat tilskrevet 'Aoteng Industrial Automation (Langfang) Co., Ltd)', som analytikere mener sandsynligvis er stjålet; tidlige eksempler har et kompileringstidsstempel den 28. juni 2024.

I modsætning til PowerShell-versionen opretter de analyserede .NET-varianteksempler ikke konsekvent en planlagt opgave til persistens.

Det udvidede kommandosæt, der blev observeret i .NET-eksemplerne, omfatter:

Skærmbillede
OpdaterChrome (udfiltrer en specifik Chrome-profil)
FileMap (liste over indholdet af en mappe)
RunUtility (endnu ikke implementeret i observerede eksempler)
EnterpriseChromeProfiles (opregn Chrome-profiler)
UploadFile (eksfiltrer filer/artefakter og legitimationsoplysninger)
OpenURL (start en URL i Chrome)
Afinstaller
EnterpriseChromeBookmarks (hent bogmærker fra en Chrome-profil)
EnterpriseIslandProfiles (opregn Island-browserprofiler)
OpdaterØ (udfiltrer en specifik ø-profil)
ExfilAlreadyOpenChrome (dump cookies fra den aktuelle Chrome-profil)

Distribution og påvirkning

Det er fortsat uklart, hvem der var målet, og den præcise distributionsmetode. Brugen af MDM API'er som C2 og det eksplicitte fokus på virksomhedsbrowsere, især Island, som er rettet mod virksomhedsimplementeringer, peger dog stærkt på en kompromitteret forsyningskæde eller tredjepartsleverandør, der er rettet mod Business Process Outsourcing (BPO)-virksomheder. BPO-udbydere er attraktive mål, fordi stjålne browsersessionscookies og profilartefakter kan give angribere adgang til adskillige downstream-klientmiljøer; vedvarende adgang gennem en leverandørs infrastruktur forstærker effekten.

Konklusion

Airstalk viser en bekymrende tendens: Angribere misbruger betroede administrationsplatforme til at blande ondsindet trafik med legitim administrativ telemetri. For organisationer, der er afhængige af tredjepartsleverandører eller BPO-tjenester, øger denne teknik risikoen for, at en enkelt kompromis vil sprede sig på tværs af mange klientmiljøer, væsentligt. Årvågenhed omkring MDM-aktivitet, certifikatoprindelse og integriteten af leverandørværktøjskæder er afgørende for at opdage og begrænse denne type trussel.

EnigmaSofts betalingsprocessor Digital River GmbH, der indgiver konkursbegæring, påvirker ikke SpyHunter-kunders anti-malware-beskyttelse

Søg

Skift region

Airstalk-malware

Hvordan truslen skjuler sig i almindeligt syn

To implementeringer: PowerShell vs. .NET

PowerShell-variant: C2-adfærd og -funktioner

.NET-varianten: Forbedrede mål og funktioner

Distribution og påvirkning

Konklusion

Tilføj kommentar

Trending

DHL Express pakkesvindel med fejlplacering

Unsfeths.com

Rutinemæssig oprydning af ubrugte konti-svindel

Mest sete

Sådan løses 'Fejl ved' Printerdriver er ikke...

Uenighed sidder fast på grå skærm

Discord viser sort skærm, når skærmdeles