Airstalk Malware

یک خانواده بدافزار جدید مشاهده شده که به یک خوشه مشکوک به دولت ملی (با نام CL-STA-1009) نسبت داده می‌شود، به شیوه‌ای سازگار با نفوذ زنجیره تأمین در حال توزیع است. این بدافزار که Airstalk نام دارد، از زیرساخت مدیریت دستگاه‌های تلفن همراه سازمانی (MDM) برای پنهان کردن ترافیک فرماندهی و کنترل (C2) و استخراج مصنوعات مرورگر و سایر داده‌های حساس از میزبان‌های آسیب‌دیده استفاده می‌کند.

چگونه تهدید در دید ساده پنهان می‌شود

Airstalk از API AirWatch (که اکنون Workspace ONE Unified Endpoint Management نام دارد) به عنوان کانال مخفی C2 خود استفاده می‌کند. این بدافزار به جای استفاده از API برای مدیریت مشروع دستگاه، از ویژگی‌های سفارشی دستگاه و ویژگی‌های آپلود فایل (blob) برای تبادل پیام با اپراتورهای خود استفاده می‌کند و عملاً یک نقطه پایانی MDM را به یک حل‌کننده‌ی بی‌اثر برای ارتباطات مهاجم و آپلود داده‌های بزرگ تبدیل می‌کند.

دو پیاده‌سازی: PowerShell در مقابل .NET

دو نسخه مجزا مشاهده شده است: یک در پشتی PowerShell و یک نسخه .NET با ویژگی‌های بیشتر. هر دو پروتکل C2 چند رشته‌ای را پیاده‌سازی می‌کنند و از عملیات سرقت داده‌ها، مانند گرفتن اسکرین‌شات و جمع‌آوری کوکی‌ها، تاریخچه مرور و بوک‌مارک‌ها، پشتیبانی می‌کنند. شواهد نشان می‌دهد که برخی از مصنوعات با گواهی‌نامه‌ای امضا شده‌اند که محققان آن را احتمالاً سرقتی می‌دانند.

نوع PowerShell: رفتار و قابلیت‌های C2

ایمپلنت PowerShell از طریق نقطه پایانی /api/mdm/devices/ ارتباط برقرار می‌کند. پس از راه‌اندازی، با یک دستور ساده CONNECT/CONNECTED handshake ارتباط برقرار می‌کند، وظایف بسته‌بندی‌شده به عنوان پیام‌های 'ACTIONS' را دریافت می‌کند، آنها را اجرا می‌کند و نتایج را با استفاده از پیام‌های 'RESULT' برمی‌گرداند. هنگامی که یک وظیفه خروجی بزرگی تولید می‌کند، Airstalk داده‌ها را با استفاده از ویژگی blob در MDM API آپلود می‌کند.

اقدامات مشاهده‌شده‌ی پشتیبانی‌شده توسط درب‌پشتی PowerShell عبارتند از:

• اسکرین شات بگیرید.
• کوکی‌ها را از گوگل کروم بازیابی کنید.
• فهرست کردن تمام پروفایل‌های کاربران کروم.
• دریافت نشانک‌ها برای یک نمایه مشخص‌شده در کروم.
• سابقه مرور را برای یک نمایه Chrome مشخص شده جمع‌آوری کنید.
• تمام فایل‌های موجود در دایرکتوری کاربر را بشمارید.
• خودش را حذف نصب کند.

نوع دات‌نت: اهداف و قابلیت‌های پیشرفته

نسخه .NET دامنه و پیچیدگی را گسترش می‌دهد. این نسخه مرورگرهای سازمانی بیشتری (مایکروسافت اج و آیلند) را هدف قرار می‌دهد، تلاش می‌کند تا خود را به عنوان یک فایل اجرایی کمکی AirWatch (AirwatchHelper.exe) جا بزند، و سه نوع پیام اضافی اضافه می‌کند که برای اعلان‌های عدم تطابق نسخه، خروجی اشکال‌زدایی و ارسال سیگنال استفاده می‌شوند.

تفاوت‌های کلیدی و رفتارهای اضافی نوع .NET:

از سه رشته اجرایی اختصاصی برای مدیریت وظایف C2، استخراج لاگ‌های اشکال‌زدایی و اجرای beacons دوره‌ای به C2 استفاده می‌کند.

از مجموعه دستورات گسترده‌تری برای استخراج هدفمند و کنترل از راه دور پشتیبانی می‌کند، از جمله دستوراتی برای حذف پروفایل‌های خاص مرورگر، آپلود فایل‌ها، باز کردن URLها، فهرست کردن محتویات دایرکتوری و موارد دیگر.

برخی از نمونه‌های .NET با گواهی‌نامه‌ای منسوب به «Aoteng Industrial Automation (Langfang) Co., Ltd)» امضا شده‌اند که تحلیلگران معتقدند احتمالاً به سرقت رفته است؛ نمونه‌های اولیه دارای مهر زمانی کامپایل ۲۸ ژوئن ۲۰۲۴ هستند.

برخلاف نسخه PowerShell، نمونه‌های مورد بررسی نوع .NET به طور مداوم یک وظیفه زمان‌بندی شده برای ماندگاری ایجاد نمی‌کنند.

مجموعه دستورات گسترش‌یافته مشاهده‌شده در نمونه‌های .NET شامل موارد زیر است:

• تصویر صفحه
• به‌روزرسانی کروم (خروجی گرفتن از یک پروفایل خاص کروم)
• نقشه فایل (فهرست محتویات یک دایرکتوری)
• RunUtility (هنوز در نمونه‌های مشاهده‌شده پیاده‌سازی نشده است)
• EnterpriseChromeProfiles (شمارش پروفایل‌های کروم)
• آپلودفایل (خروجی فایل‌ها/مصنوعات و اعتبارنامه‌ها)
• OpenURL (اجرای یک URL در کروم)
• حذف نصب
• EnterpriseChromeBookmarks (بازیابی بوکمارک‌ها از پروفایل کروم)
• EnterpriseIslandProfiles (شمارش پروفایل‌های مرورگر جزیره)
• UpdateIsland (فیلتر کردن یک پروفایل خاص در Island)
• ExfilAlreadyOpenChrome (پاک کردن کوکی‌ها از پروفایل فعلی کروم)

توزیع و تأثیر

انتساب اینکه چه کسی هدف قرار گرفته و روش دقیق توزیع هنوز مشخص نیست. با این حال، استفاده از APIهای MDM به عنوان C2 و تمرکز صریح بر مرورگرهای سازمانی، به ویژه Island که با هدف استقرار شرکت‌ها انجام می‌شود، قویاً به یک نفوذ فروشنده زنجیره تأمین یا شخص ثالث اشاره دارد که شرکت‌های برون‌سپاری فرآیند کسب‌وکار (BPO) را هدف قرار می‌دهد. ارائه‌دهندگان BPO اهداف جذابی هستند زیرا کوکی‌های جلسه مرورگر سرقت شده و مصنوعات پروفایل می‌توانند به مهاجمان دسترسی به محیط‌های متعدد کلاینت پایین‌دستی را بدهند. دسترسی مداوم از طریق زیرساخت یک فروشنده، تأثیر را تقویت می‌کند.

نتیجه‌گیری

Airstalk یک روند نگران‌کننده را نشان می‌دهد: مهاجمان از پلتفرم‌های مدیریتی معتبر سوءاستفاده می‌کنند تا ترافیک مخرب را با تله‌متری اداری قانونی ترکیب کنند. برای سازمان‌هایی که به فروشندگان شخص ثالث یا سرویس‌های BPO متکی هستند، این تکنیک به طور قابل توجهی خطر سرایت یک نفوذ واحد به بسیاری از محیط‌های کلاینت را افزایش می‌دهد. هوشیاری در مورد فعالیت MDM، منشأ گواهی و یکپارچگی زنجیره ابزارهای فروشندگان برای شناسایی و محدود کردن این نوع تهدید ضروری است.