תוכנה זדונית של Airstalk

משפחת תוכנות זדוניות שנצפתה לאחרונה, המיוחסת לאשכול חשוד של מדינות לאום (מסומן כ-CL-STA-1009), מופצת באופן התואם חדירה לשרשרת האספקה. השתל, ששמו Airstalk, ממנף תשתית ניהול מכשירים ניידים (MDM) ארגונית כדי להסתיר תעבורת פיקוד ובקרה (C2) ולגנוב פריטי דפדפן ונתונים רגישים אחרים ממחשבים מאוחרים שנפרצו.

כיצד האיום מסתתר לעין

Airstalk משנה את ייעודו של ממשק ה-API של AirWatch (כיום Workspace ONE Unified Endpoint Management) כערוץ C2 הסמוי שלו. במקום להשתמש בממשק ה-API לניהול מכשירים לגיטימי, התוכנה הזדונית משתמשת בתכונות מכשירים מותאמות אישית ובתכונות העלאת קבצים (blob) כדי להחליף הודעות עם המפעילים שלה, ובכך הופכת למעשה נקודת קצה של MDM לנקודת פתרון ללא שינוי (dead drop) עבור תקשורת עם תוקפים והעלאות נתונים גדולים.

שני יישומים: PowerShell לעומת .NET

שתי גרסאות מבנים נפרדות נצפו: דלת אחורית של PowerShell וגרסה עשירה יותר של .NET. שתיהן מיישמות פרוטוקול C2 מרובה-הליכים ותומכות בפעולות גניבת נתונים, כגון צילום מסך ואיסוף קובצי Cookie, היסטוריית גלישה וסימניות. ראיות מצביעות על כך שחלק מהממצאים נחתמו באמצעות תעודה שחוקרים רואים כסבירות לגניבה.

גרסת PowerShell: התנהגות ויכולות של C2

שתל PowerShell מתקשר דרך נקודת הקצה /api/mdm/devices/. עם ההפעלה, הוא יוצר קשר באמצעות לחיצת יד פשוטה מסוג CONNECT/CONNECTED, מקבל משימות שנארזו כהודעות 'ACTIONS', מבצע אותן ומחזיר תוצאות באמצעות הודעות 'RESULT'. כאשר משימה מייצרת פלט גדול, Airstalk מעלה את הנתונים באמצעות תכונת ה-blob של ממשק ה-MDM API.

פעולות שנצפו הנתמכות על ידי דלת אחורית של PowerShell כוללות:

• צלם צילום מסך.
• אחזור קובצי Cookie מגוגל כרום.
• רשימת כל פרופילי המשתמשים ב-Chrome.
• השג סימניות עבור פרופיל Chrome מסוים.
• איסוף היסטוריית הגלישה עבור פרופיל Chrome מסוים.
• מנה את כל הקבצים תחת ספריית המשתמש.
• הסר את ההתקנה של עצמו.

גרסת .NET: מטרות ויכולות משופרות

בניית .NET מרחיבה את ההיקף והתחכום. היא מכוונת לדפדפנים ארגוניים נוספים (Microsoft Edge ו-Island), מנסה להתחזות לקובץ הרצה של עזר AirWatch (AirwatchHelper.exe), ומוסיפה שלושה סוגי הודעות נוספים המשמשים להודעות על אי-התאמה בגירסאות, פלט ניפוי שגיאות ו-beaconing.

הבדלים עיקריים והתנהגויות נוספות של גרסת .NET:

משתמש בשלושה הליכי ביצוע ייעודיים לטיפול במשימות C2, סינון יומני ניפוי באגים וביצוע משואות תקופתיות ל-C2.

תומך בקבוצת פקודות רחבה יותר עבור סינון ממוקד ושליטה מרחוק, כולל פקודות לdump של פרופילי דפדפן ספציפיים, העלאת קבצים, פתיחת כתובות URL, הצגת תוכן ספריות ועוד.

חלק מדגימות .NET חתומות עם תעודה המיוחסת ל-'Aoteng Industrial Automation (Langfang) Co., Ltd)' שלדעת אנליסטים כנראה נגנבה; דגימות מוקדמות נושאות חותמת זמן קומפילציה של 28 ביוני 2024.

בניגוד לגרסת PowerShell, דוגמאות גרסת ה-.NET שנותחו אינן יוצרות באופן עקבי משימה מתוזמנת לצורך שמירה על תפקוד תקין.

מערך הפקודות המורחב שנצפתה בדוגמאות .NET כולל:

• צילום מסך
• עדכון כרום (סינון פרופיל כרום ספציפי)
• FileMap (הצגת תוכן של ספרייה)
• RunUtility (עדיין לא מיושם בדגימות שנצפו)
• פרופילי כרום ארגוניים (מפרטים פרופילי כרום)
• UploadFile (קבצים/ארטיפקטים ופרטי אישורים מסוננים)
• OpenURL (הפעלת כתובת URL בכרום)
• הסרת ההתקנה
• EnterpriseChromeBookmarks (אחזור סימניות מפרופיל Chrome)
• EnterpriseIslandProfiles (מפרט פרופילי דפדפן באי)
• עדכון האי (חילוץ פרופיל אי ספציפי)
• ExfilAlreadyOpenChrome (מחיקת קובצי Cookie מפרופיל Chrome הנוכחי)

הפצה והשפעה

ייחוס הגורם המכוון ושיטת ההפצה המדויקת נותרו לא ברורים. עם זאת, השימוש ב-MDM APIs כ-C2 וההתמקדות המפורשת בדפדפנים ארגוניים, ובמיוחד Island, המכוון לפריסה ארגונית, מצביעים בצורה חזקה על פגיעה בשרשרת האספקה או בספק צד שלישי המכוון לחברות מיקור חוץ של תהליכים עסקיים (BPO). ספקי BPO הם מטרות אטרקטיביות מכיוון שעוגיות גנובות של סשן דפדפן ותקלות בפרופיל יכולים להעניק לתוקפים גישה לסביבות רבות של לקוחות במורד הזרם; גישה מתמשכת דרך תשתית של ספק מגבירה את ההשפעה.

מַסְקָנָה

Airstalk מדגים מגמה מדאיגה: תוקפים מנצלים לרעה פלטפורמות ניהול מהימנות כדי לשלב תעבורה זדונית עם טלמטריה אדמיניסטרטיבית לגיטימית. עבור ארגונים המסתמכים על ספקי צד שלישי או שירותי BPO, טכניקה זו מגדילה באופן מהותי את הסיכון שפגיעה אחת תתפשט על פני סביבות לקוח רבות. ערנות סביב פעילות MDM, מקור אישורים ושלמות שרשראות הכלים של הספקים חיונית לזיהוי והגבלת סוג זה של איום.