Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Κακόβουλο λογισμικό Airstalk

Κακόβουλο λογισμικό Airstalk

Μέχρι το Mezo το Κακόβουλο λογισμικό, Προηγμένη επίμονη απειλή (APT)
Μετάφραση σε:

Μια πρόσφατα παρατηρηθείσα οικογένεια κακόβουλου λογισμικού, που αποδίδεται σε ένα ύποπτο σύμπλεγμα εθνών-κρατών (με την ονομασία CL-STA-1009), διανέμεται με τρόπο που συνάδει με μια εισβολή στην αλυσίδα εφοδιασμού. Το εμφύτευμα, με την ονομασία Airstalk, αξιοποιεί την υποδομή διαχείρισης κινητών συσκευών (MDM) επιχειρήσεων για την απόκρυψη της κίνησης Command-and-Control (C2) και την απομάκρυνση αντικειμένων του προγράμματος περιήγησης και άλλων ευαίσθητων δεδομένων από παραβιασμένους κεντρικούς υπολογιστές.

Πώς η απειλή κρύβεται σε κοινή θέα

Το Airstalk επαναχρησιμοποιεί το AirWatch API (τώρα Workspace ONE Unified Endpoint Management) ως το μυστικό κανάλι C2. Αντί να χρησιμοποιεί το API για νόμιμη διαχείριση συσκευών, το κακόβουλο λογισμικό χρησιμοποιεί προσαρμοσμένα χαρακτηριστικά συσκευών και λειτουργίες μεταφόρτωσης αρχείων (blob) για την ανταλλαγή μηνυμάτων με τους χειριστές του, μετατρέποντας ουσιαστικά ένα τελικό σημείο MDM σε έναν deaddrop resolver για επικοινωνίες εισβολέων και μεταφορτώσεις μεγάλων δεδομένων.

Δύο υλοποιήσεις: PowerShell vs. .NET

Έχουν παρατηρηθεί δύο ξεχωριστές εκδόσεις: μια backdoor PowerShell και μια παραλλαγή .NET με περισσότερες δυνατότητες. Και οι δύο υλοποιούν ένα πρωτόκολλο C2 πολλαπλών νημάτων και υποστηρίζουν λειτουργίες κλοπής δεδομένων, όπως η λήψη στιγμιότυπων οθόνης και η συλλογή cookies, ιστορικού περιήγησης και σελιδοδεικτών. Τα στοιχεία υποδηλώνουν ότι ορισμένα αντικείμενα υπογράφηκαν με πιστοποιητικό που οι ερευνητές θεωρούν πιθανό να έχει κλαπεί.

Παραλλαγή PowerShell: Συμπεριφορά και δυνατότητες C2

Το εμφύτευμα PowerShell επικοινωνεί μέσω του τελικού σημείου /api/mdm/devices/. Κατά την εκκίνηση, δημιουργεί επαφή με μια απλή χειραψία CONNECT/CONNECTED, λαμβάνει εργασίες που έχουν συσκευαστεί ως μηνύματα 'ACTIONS', τις εκτελεί και επιστρέφει αποτελέσματα χρησιμοποιώντας μηνύματα 'RESULT'. Όταν μια εργασία παράγει μεγάλη έξοδο, το Airstalk ανεβάζει τα δεδομένα χρησιμοποιώντας τη λειτουργία blob του MDM API.

Οι παρατηρούμενες ΕΝΕΡΓΕΙΕΣ που υποστηρίζονται από το backdoor του PowerShell περιλαμβάνουν:

  • Τραβήξτε ένα στιγμιότυπο οθόνης.
  • Ανάκτηση cookie από το Google Chrome.
  • Λίστα όλων των προφίλ χρηστών Chrome.
  • Λήψη σελιδοδεικτών για ένα συγκεκριμένο προφίλ Chrome.
  • Συλλογή του ιστορικού περιήγησης για ένα συγκεκριμένο προφίλ Chrome.
  • Απαριθμήστε όλα τα αρχεία στον κατάλογο χρήστη.
  • Απεγκατάσταση από μόνο του.

Η παραλλαγή .NET: Βελτιωμένοι στόχοι και δυνατότητες

Η έκδοση .NET επεκτείνει το εύρος και την πολυπλοκότητα. Στοχεύει σε πρόσθετα προγράμματα περιήγησης για επιχειρήσεις (Microsoft Edge και Island), επιχειρεί να μεταμφιεστεί σε εκτελέσιμο βοηθητικό πρόγραμμα AirWatch (AirwatchHelper.exe) και προσθέτει τρεις επιπλέον τύπους μηνυμάτων που χρησιμοποιούνται για ειδοποιήσεις αναντιστοιχίας έκδοσης, έξοδο εντοπισμού σφαλμάτων και beaconing.

Βασικές διαφορές και πρόσθετες συμπεριφορές της παραλλαγής .NET:

Χρησιμοποιεί τρία αποκλειστικά νήματα εκτέλεσης για τη διαχείριση εργασιών C2, την εξαγωγή αρχείων καταγραφής εντοπισμού σφαλμάτων και την εκτέλεση περιοδικών beacons στο C2.

Υποστηρίζει ένα ευρύτερο σύνολο εντολών για στοχευμένη εξαγωγή και τηλεχειρισμό, συμπεριλαμβανομένων εντολών για την απόρριψη συγκεκριμένων προφίλ προγράμματος περιήγησης, την αποστολή αρχείων, το άνοιγμα URL, την καταχώριση περιεχομένων καταλόγου και πολλά άλλα.

Ορισμένα δείγματα .NET είναι υπογεγραμμένα με ένα πιστοποιητικό που αποδίδεται στην «Aoteng Industrial Automation (Langfang) Co., Ltd)» και οι αναλυτές πιστεύουν ότι πιθανότατα κλάπηκε. Τα πρώιμα δείγματα φέρουν χρονική σήμανση μεταγλώττισης 28 Ιουνίου 2024.

Σε αντίθεση με την έκδοση PowerShell, τα δείγματα παραλλαγής .NET που αναλύθηκαν δεν δημιουργούν με συνέπεια μια προγραμματισμένη εργασία για διατήρηση.

Το εκτεταμένο σύνολο εντολών που παρατηρήθηκε στα δείγματα .NET περιλαμβάνει:

  • Στιγμιότυπο οθόνης
  • UpdateChrome (εξαγωγή ενός συγκεκριμένου προφίλ Chrome)
  • FileMap (παραθέτει τα περιεχόμενα ενός καταλόγου)
  • RunUtility (δεν έχει ακόμη υλοποιηθεί σε παρατηρούμενα δείγματα)
  • EnterpriseChromeProfiles (απαρίθμηση προφίλ Chrome)
  • UploadFile (εξαγωγή αρχείων/τεχνουργημάτων και διαπιστευτηρίων)
  • OpenURL (εκκίνηση URL στο Chrome)
  • Απεγκατάσταση
  • EnterpriseChromeBookmarks (ανάκτηση σελιδοδεικτών από ένα προφίλ Chrome)
  • EnterpriseIslandProfiles (απαρίθμηση προφίλ προγράμματος περιήγησης Island)
  • UpdateIsland (εξαγωγή ενός συγκεκριμένου προφίλ Island)
  • ExfilAlreadyOpenChrome (απομάκρυνση cookies από το τρέχον προφίλ Chrome)

Διανομή και αντίκτυπος

Η απόδοση του ποιος στοχοποιήθηκε και η ακριβής μέθοδος διανομής παραμένουν ασαφείς. Ωστόσο, η χρήση των MDM API ως C2 και η σαφής εστίαση σε εταιρικά προγράμματα περιήγησης, ιδίως στο Island, το οποίο απευθύνεται σε εταιρικές αναπτύξεις, υποδεικνύουν έντονα μια παραβίαση της αλυσίδας εφοδιασμού ή ενός τρίτου προμηθευτή που στοχεύει εταιρείες εξωτερικής ανάθεσης επιχειρηματικών διαδικασιών (BPO). Οι πάροχοι BPO είναι ελκυστικοί στόχοι επειδή τα κλεμμένα cookies περιόδου λειτουργίας προγράμματος περιήγησης και τα αντικείμενα προφίλ μπορούν να δώσουν στους εισβολείς πρόσβαση σε πολλά περιβάλλοντα πελατών κατάντη. Η συνεχής πρόσβαση μέσω της υποδομής ενός προμηθευτή ενισχύει τον αντίκτυπο.

Σύναψη

Το Airstalk καταδεικνύει μια ανησυχητική τάση: οι εισβολείς καταχρώνται αξιόπιστες πλατφόρμες διαχείρισης για να συνδυάσουν κακόβουλη κίνηση με νόμιμη διοικητική τηλεμετρία. Για οργανισμούς που βασίζονται σε τρίτους προμηθευτές ή υπηρεσίες BPO, αυτή η τεχνική αυξάνει σημαντικά τον κίνδυνο μια μεμονωμένη παραβίαση να διαπεράσει πολλά περιβάλλοντα πελατών. Η επαγρύπνηση σχετικά με τη δραστηριότητα MDM, την προέλευση πιστοποιητικών και την ακεραιότητα των αλυσίδων εργαλείων προμηθευτών είναι απαραίτητη για την ανίχνευση και τον περιορισμό αυτής της κατηγορίας απειλών.

Τάσεις

Απάτη με απώλεια δεμάτων από την DHL Express

Phishing, Ανεπιθύμητη αλληλογραφία
Ερευνητές κυβερνοασφάλειας έχουν προειδοποιήσει για μια παραπλανητική εκστρατεία ηλεκτρονικού "ψαρέματος" (phishing) γνωστή ως απάτη κατά την τοποθέτηση δεμάτων μέσω DHL Express. Αυτά τα δόλια email μεταμφιέζονται σε επίσημες ειδοποιήσεις παράδοσης που υποτίθεται ότι αποστέλλονται από την DHL. Τα μηνύματα συνήθως ισχυρίζονται ότι ο παραλήπτης πρέπει να επαληθεύσει τη διεύθυνσή του ή να...

Απάτη τακτικού καθαρισμού αχρησιμοποίητων λογαριασμών

Phishing, Ανεπιθύμητη αλληλογραφία
Ερευνητές κυβερνοασφάλειας αποκάλυψαν ότι τα λεγόμενα email «Ρουτίνας Εκκαθάρισης Αχρησιμοποίητων Λογαριασμών» δεν αποτελούν νόμιμες ειδοποιήσεις συντήρησης, αλλά μάλλον κακόβουλες απόπειρες ηλεκτρονικού «ψαρέματος» (phishing). Αυτά τα δόλια μηνύματα έχουν σχεδιαστεί για να ξεγελάσουν τους παραλήπτες ώστε να αποκαλύψουν ευαίσθητα στοιχεία σύνδεσης με το πρόσχημα ενός ελέγχου ασφαλείας. Δεν...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
32,947
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...