Airstalk-haittaohjelma
Äskettäin havaittu haittaohjelmaperhe, joka on liitetty epäiltyyn kansallisvaltioryppääseen (nimeltään CL-STA-1009), leviää toimitusketjun tunkeutumisen kaltaisella tavalla. Airstalk-niminen ohjelma hyödyntää yritysten mobiililaitteiden hallintainfrastruktuuria (MDM) piilottaakseen komento- ja ohjausliikenteen (C2) ja vuotaakseen selainsisältöjä ja muita arkaluonteisia tietoja vaarantuneilta isänniltä.
Sisällysluettelo
Kuinka uhka piiloutuu näkyville
Airstalk käyttää AirWatch API:a (nykyään Workspace ONE Unified Endpoint Management) uudelleen peiteltynä C2-kanavanaan. Sen sijaan, että haittaohjelma käyttäisi API:a lailliseen laitehallintaan, se hyödyntää mukautettuja laiteominaisuuksia ja tiedostojen latausominaisuuksia (blob) viestien vaihtamiseen operaattoreiden kanssa, mikä muuttaa MDM-päätepisteen tehokkaasti hyökkääjien viestinnän ja suurten tietomäärien latauksen kaatuneiden asioiden ratkaisijaksi.
Kaksi toteutusta: PowerShell vs. .NET
Kaksi erillistä versiota on havaittu: PowerShell-takaovi ja ominaisuuksiltaan rikkaampi .NET-variantti. Molemmat toteuttavat monisäikeisen C2-protokollan ja tukevat tietojen varastamista, kuten kuvakaappausten ottamista sekä evästeiden, selaushistorian ja kirjanmerkkien keräämistä. Todisteet viittaavat siihen, että jotkin esineet oli allekirjoitettu varmenteella, jota tutkijat pitävät todennäköisesti varastettuna.
PowerShell-variantti: C2:n toiminta ja ominaisuudet
PowerShell-implantti kommunikoi /api/mdm/devices/-päätepisteen kautta. Käynnistyksen yhteydessä se muodostaa yhteyden yksinkertaisella CONNECT/CONNECTED-kättelyllä, vastaanottaa ACTIONS-viesteiksi pakattuja tehtäviä, suorittaa ne ja palauttaa tulokset RESULT-viesteinä. Kun tehtävä tuottaa suuren tulosteen, Airstalk lataa tiedot MDM-rajapinnan blob-ominaisuuden avulla.
PowerShell-takaoven tukemiin havaittuihin TOIMENPITEISIIN kuuluvat:
- Ota kuvakaappaus.
- Hae evästeet Google Chromesta.
- Listaa kaikki Chrome-käyttäjien profiilit.
- Hae kirjanmerkkejä tietylle Chrome-profiilille.
- Kerää tietyn Chrome-profiilin selaushistoria.
- Listaa kaikki käyttäjähakemistossa olevat tiedostot.
- Poistaa itsensä.
.NET-variantti: Parannetut kohteet ja ominaisuudet
.NET-koontiversio laajentaa laajuutta ja hienostuneisuutta. Se kohdistuu useampiin yritysselaimiin (Microsoft Edge ja Island), yrittää naamioitua AirWatch-apuohjelman suoritettavaksi tiedostoksi (AirwatchHelper.exe) ja lisää kolme uutta viestityyppiä, joita käytetään versioiden epäsuhtailmoituksiin, virheenkorjaustulokseen ja jäljityksiin.
.NET-variantin keskeiset erot ja lisätoiminnot:
Käyttää kolmea erillistä suoritussäiettä C2-tehtävien käsittelyyn, virheenkorjauslokien purkamiseen ja säännöllisten majakoiden suorittamiseen C2:lle.
Tukee laajempaa komentojoukkoa kohdennettuun tiedonsiirtoon ja etähallintaan, mukaan lukien komentoja tiettyjen selainprofiilien vedostamiseen, tiedostojen lataamiseen, URL-osoitteiden avaamiseen, hakemistojen sisällön luettelointiin ja muuhun.
Jotkin .NET-näytteet on allekirjoitettu Aoteng Industrial Automation (Langfang) Co., Ltd:lle osoitetulla varmenteella, jonka analyytikot uskovat todennäköisesti varastetuksi; varhaisissa näytteissä on käännöksen aikaleima 28. kesäkuuta 2024.
Toisin kuin PowerShell-versiossa, analysoidut .NET-varianttinäytteet eivät johdonmukaisesti luo ajoitettua tehtävää pysyvyyden varmistamiseksi.
.NET-esimerkeissä havaittu laajennettu komentojoukko sisältää:
- Kuvakaappaus
- UpdateChrome (tietyn Chrome-profiilin purkaminen)
- Tiedostokartta (hakemiston sisällön listaus)
- RunUtility (ei vielä toteutettu havaituissa esimerkeissä)
- EnterpriseChromeProfiles (Chrome-profiilien luettelointi)
- UploadFile (tiedostojen/artefaktien ja tunnistetietojen poisto)
- OpenURL (URL-osoitteen avaaminen Chromessa)
- Poista
- EnterpriseChromeBookmarks (hae kirjanmerkkejä Chrome-profiilista)
- EnterpriseIslandProfiles (luetteloi Islandin selainprofiilit)
- UpdateIsland (tietyn saaren profiilin poisto)
- ExfilAlreadyOpenChrome (poista evästeet nykyisestä Chrome-profiilista)
Jakautuminen ja vaikutus
Kohteen alkuperä ja tarkka levitystapa ovat edelleen epäselviä. MDM-rajapintojen käyttö C2-strategiana ja nimenomainen keskittyminen yritysselaimiin, erityisesti Islandiin, joka on suunnattu yrityskäyttöönotoille, viittaavat kuitenkin vahvasti toimitusketjun tai kolmannen osapuolen toimittajan kompromisseihin, jotka kohdistuvat liiketoimintaprosessien ulkoistamiseen (BPO) keskittyviin yrityksiin. BPO-palveluntarjoajat ovat houkuttelevia kohteita, koska varastetut selainistuntoevästeet ja profiilitiedostot voivat antaa hyökkääjille pääsyn lukuisiin asiakasympäristöihin; jatkuva pääsy toimittajan infrastruktuurin kautta vahvistaa vaikutusta.
Johtopäätös
Airstalk osoittaa huolestuttavan trendin: hyökkääjät käyttävät hyväkseen luotettavia hallinta-alustoja sekoittaakseen haitallista liikennettä lailliseen hallinnolliseen telemetriaan. Organisaatioille, jotka ovat riippuvaisia kolmannen osapuolen toimittajista tai BPO-palveluista, tämä tekniikka lisää merkittävästi riskiä, että yksittäinen tietomurto leviää useisiin asiakasympäristöihin. MDM-toiminnan, varmenteiden alkuperän ja toimittajien työkaluketjujen eheyden tarkkailu on olennaista tämän luokan uhkien havaitsemiseksi ja rajoittamiseksi.
