Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara Airstalki pahavara

Airstalki pahavara

Aastaks Mezo aastal Pahavara, Täiustatud püsiv oht (APT)
Tõlgi:

Äsja avastatud pahavaraperekond, mis on omistatud oletatavale rahvusriigi klastrile (tähisega CL-STA-1009), levitatakse viisil, mis on kooskõlas tarneahela sissetungimisega. Airstalk nime kandev implantaat kasutab ettevõtte mobiilseadmete halduse (MDM) infrastruktuuri, et varjata käsu- ja juhtimissüsteemi (C2) liiklust ning välja filtreerida brauseri artefakte ja muid tundlikke andmeid ohustatud hostidest.

Kuidas oht peidab end silmapiiril

Airstalk kasutab AirWatchi API-t (nüüd Workspace ONE Unified Endpoint Management) oma varjatud C2-kanalina. API asemel seaduslikuks seadmehalduseks kasutab pahavara kohandatud seadme atribuute ja failide üleslaadimise (blob) funktsioone operaatoritega sõnumite vahetamiseks, muutes MDM-i lõpp-punkti sisuliselt ründajate suhtluse ja suurte andmete üleslaadimise surnud kohtade lahendajaks.

Kaks rakendust: PowerShell vs. .NET

Täheldatud on kahte erinevat versiooni: PowerShelli tagauks ja funktsiooniderikkam .NET-variant. Mõlemad rakendavad mitmelõimelist C2-protokolli ja toetavad andmete varguse toiminguid, näiteks ekraanipiltide jäädvustamist ning küpsiste, sirvimisajaloo ja järjehoidjate kogumist. Tõendid viitavad sellele, et mõned esemed olid allkirjastatud sertifikaadiga, mida teadlased peavad tõenäoliselt varastatuks.

PowerShelli variant: C2 käitumine ja võimalused

PowerShelli implantaat suhtleb /api/mdm/devices/ lõpp-punkti kaudu. Käivitamisel loob see ühenduse lihtsa CONNECT/CONNECTED käepigistusega, võtab vastu 'ACTIONS'-teadetena pakitud ülesandeid, käivitab need ja tagastab tulemused 'RESULT'-teadetena. Kui ülesanne annab suure väljundi, laadib Airstalk andmed üles MDM API blob-funktsiooni abil.

PowerShelli tagaukse toetatud vaadeldud TOIMINGUTE hulka kuuluvad:

  • Tehke ekraanipilt.
  • Küpsiste hankimine Google Chrome'ist.
  • Loetlege kõik Chrome'i kasutajaprofiilid.
  • Hankige määratud Chrome'i profiili järjehoidjad.
  • Koguge määratud Chrome'i profiili sirvimisajalugu.
  • Loetlege kõik kasutajakataloogis olevad failid.
  • Desinstalli ise.

.NET-variant: täiustatud eesmärgid ja võimalused

.NET-i järk laiendab ulatust ja keerukust. See on suunatud täiendavatele ettevõtte brauseritele (Microsoft Edge ja Island), püüab maskeeruda AirWatchi abiprogrammi käivitatavaks failiks (AirwatchHelper.exe) ning lisab kolm täiendavat sõnumitüüpi, mida kasutatakse versioonide mittevastavuse teavituste, silumisväljundi ja märguande jaoks.

.NET-variandi peamised erinevused ja täiendavad käitumisviisid:

Kasutab kolme spetsiaalset täitmislõime C2 ülesannete käsitlemiseks, silumislogide filtreerimiseks ja perioodiliste C2-le suunatud märguannete saatmiseks.

Toetab laiemat käskude komplekti sihipäraseks väljavooluks ja kaugjuhtimiseks, sealhulgas käske konkreetsete brauseriprofiilide väljavõtmiseks, failide üleslaadimiseks, URL-ide avamiseks, kataloogisisu loetlemiseks ja muuks.

Mõned .NET-näidised on allkirjastatud sertifikaadiga, mis on omistatud ettevõttele „Aoteng Industrial Automation (Langfang) Co., Ltd)” ja mis analüütikute arvates tõenäoliselt varastati; varajastel näidistel on kompileerimise ajatempliks 28. juuni 2024.

Erinevalt PowerShelli versioonist ei loo analüüsitud .NET-i variandi näidised järjepidevalt ajastatud ülesannet püsivuse tagamiseks.

.NET-näidistes täheldatud laiendatud käskude komplekt sisaldab:

  • Ekraanipilt
  • UpdateChrome (teatud Chrome'i profiili väljafiltreerimine)
  • FileMap (kataloogi sisu loend)
  • RunUtility (pole vaadeldud näidistes veel rakendatud)
  • EnterpriseChromeProfiles (Chrome'i profiilide loetlemine)
  • UploadFile (failide/artefaktide ja volituste väljavõtmine)
  • OpenURL (käivita URL Chrome'is)
  • Desinstalli
  • EnterpriseChromeBookmarks (järjehoidjate hankimine Chrome'i profiililt)
  • EnterpriseIslandProfiles (loetleb saare brauseriprofiilid)
  • UpdateIsland (teatud saare profiili filtreerimine)
  • ExfilAlreadyOpenChrome (küpsised praegusest Chrome'i profiilist eemaldatakse)

Levitamine ja mõju

Sihtrühma kuuluvuse ja täpse levitamismeetodi omistamine jääb ebaselgeks. MDM API-de kasutamine C2-na ja selge keskendumine ettevõtte brauseritele, eriti Islandile, mis on suunatud ettevõtete juurutamisele, viitab aga tugevalt tarneahela või kolmanda osapoole müüja kompromissile, mis on suunatud äriprotsesside allhanke (BPO) ettevõtetele. BPO pakkujad on atraktiivsed sihtmärgid, kuna varastatud brauseriseansi küpsised ja profiiliartefaktid võivad anda ründajatele juurdepääsu arvukatele allavoolu kliendikeskkondadele; püsiv juurdepääs müüja infrastruktuuri kaudu võimendab mõju.

Kokkuvõte

Airstalk näitab murettekitavat trendi: ründajad kuritarvitavad usaldusväärseid haldusplatvorme, et segada pahatahtlikku liiklust õigustatud administratiivse telemeetriaga. Organisatsioonide jaoks, mis tuginevad kolmandate osapoolte tarnijatele või BPO teenustele, suurendab see tehnika oluliselt riski, et üksainus kompromiteerimine levib paljudesse kliendikeskkondadesse. Selle ohuklassi avastamiseks ja piiramiseks on oluline olla valvas MDM-tegevuse, sertifikaatide päritolu ja tarnijate tööriistakettide terviklikkuse suhtes.

Trendikas

Kasutamata kontode rutiinse puhastamise pettus

Andmepüük, Rämpspost
Küberturvalisuse uurijad on avastanud, et niinimetatud „Kasutamata kontode rutiinse puhastamise” meilid ei ole õigustatud hooldusteated, vaid pigem pahatahtlikud andmepüügikatsed. Need petturlikud sõnumid on loodud selleks, et meelitada saajaid turvakontrolli ettekäändel tundlikku sisselogimisteavet avaldama. Need ei ole seotud ühegi tegeliku ega usaldusväärse ettevõtte, organisatsiooni ega...

Enim vaadatud

Laadimine...