Airstalk मैलवेयर

एक नए देखे गए मैलवेयर परिवार, जिसे एक संदिग्ध राष्ट्र-राज्य क्लस्टर (जिसे CL-STA-1009 नाम दिया गया है) से जोड़ा गया है, को आपूर्ति-श्रृंखला में घुसपैठ के अनुरूप तरीके से वितरित किया जा रहा है। एयरस्टॉक नामक यह इम्प्लांट, कमांड-एंड-कंट्रोल (C2) ट्रैफ़िक को छिपाने और ब्राउज़र आर्टिफैक्ट्स और अन्य संवेदनशील डेटा को संक्रमित होस्ट से बाहर निकालने के लिए एंटरप्राइज़ मोबाइल डिवाइस प्रबंधन (MDM) इन्फ्रास्ट्रक्चर का लाभ उठाता है।

ख़तरा कैसे साफ़ नज़र आता है

एयरस्टॉक, एयरवॉच एपीआई (अब वर्कस्पेस वन यूनिफाइड एंडपॉइंट मैनेजमेंट) को अपने गुप्त C2 चैनल के रूप में पुनः उपयोग करता है। वैध डिवाइस प्रबंधन के लिए एपीआई का उपयोग करने के बजाय, मैलवेयर अपने ऑपरेटरों के साथ संदेशों का आदान-प्रदान करने के लिए कस्टम डिवाइस विशेषताओं और फ़ाइल-अपलोड (ब्लॉब) सुविधाओं का उपयोग करता है, जिससे एमडीएम एंडपॉइंट हमलावर संचार और बड़े डेटा अपलोड के लिए डेड-ड्रॉप रिज़ॉल्वर में बदल जाता है।

दो कार्यान्वयन: PowerShell बनाम .NET

दो अलग-अलग बिल्ड देखे गए हैं: एक पावरशेल बैकडोर और एक ज़्यादा फ़ीचर-समृद्ध .NET संस्करण। दोनों ही मल्टी-थ्रेडेड C2 प्रोटोकॉल लागू करते हैं और डेटा चोरी की गतिविधियों, जैसे स्क्रीनशॉट कैप्चर करना और कुकीज़, ब्राउज़िंग हिस्ट्री और बुकमार्क्स को इकट्ठा करना, को सपोर्ट करते हैं। सबूत बताते हैं कि कुछ कलाकृतियों पर एक ऐसे प्रमाणपत्र के साथ हस्ताक्षर किए गए थे जिसे शोधकर्ता चोरी होने की संभावना मानते हैं।

PowerShell संस्करण: C2 व्यवहार और क्षमताएँ

PowerShell इम्प्लांट /api/mdm/devices/ एंडपॉइंट के माध्यम से संचार करता है। स्टार्टअप पर, यह एक साधारण CONNECT/CONNECTED हैंडशेक के माध्यम से संपर्क स्थापित करता है, 'ACTIONS' संदेशों के रूप में पैकेज किए गए कार्यों को प्राप्त करता है, उन्हें निष्पादित करता है, और 'RESULT' संदेशों का उपयोग करके परिणाम लौटाता है। जब कोई कार्य बड़ा आउटपुट उत्पन्न करता है, तो Airstalk MDM API की ब्लॉब सुविधा का उपयोग करके डेटा अपलोड करता है।

PowerShell बैकडोर द्वारा समर्थित देखी गई कार्रवाइयों में शामिल हैं:

• कोई स्क्रीनशॉट लें।
• Google Chrome से कुकीज़ पुनर्प्राप्त करें.
• सभी उपयोगकर्ता Chrome प्रोफ़ाइल सूचीबद्ध करें.
• किसी निर्दिष्ट Chrome प्रोफ़ाइल के लिए बुकमार्क प्राप्त करें.
• किसी निर्दिष्ट Chrome प्रोफ़ाइल के लिए ब्राउज़िंग इतिहास एकत्रित करें.
• उपयोगकर्ता निर्देशिका के अंतर्गत सभी फ़ाइलों की गणना करें.
• स्वयं को अनइंस्टॉल करें.

.NET संस्करण: उन्नत लक्ष्य और क्षमताएँ

.NET बिल्ड इसके दायरे और परिष्कार का विस्तार करता है। यह अतिरिक्त एंटरप्राइज़ ब्राउज़रों (Microsoft Edge और Island) को लक्षित करता है, AirWatch हेल्पर एक्ज़ीक्यूटेबल (AirwatchHelper.exe) का रूप धारण करने का प्रयास करता है, और संस्करण बेमेल सूचनाओं, डिबगिंग आउटपुट और बीकनिंग के लिए उपयोग किए जाने वाले तीन अतिरिक्त संदेश प्रकार जोड़ता है।

.NET संस्करण के मुख्य अंतर और अतिरिक्त व्यवहार:

C2 कार्यों को संभालने, डिबग लॉग को निकालने, तथा C2 को आवधिक बीकन निष्पादित करने के लिए तीन समर्पित निष्पादन थ्रेड्स का उपयोग करता है।

लक्षित निष्कासन और रिमोट कंट्रोल के लिए व्यापक कमांड सेट का समर्थन करता है, जिसमें विशिष्ट ब्राउज़र प्रोफाइल को डंप करने, फ़ाइलें अपलोड करने, URL खोलने, निर्देशिका सामग्री को सूचीबद्ध करने आदि के लिए कमांड शामिल हैं।

कुछ .NET नमूनों पर 'आओटेंग इंडस्ट्रियल ऑटोमेशन (लैंगफैंग) कंपनी लिमिटेड' के नाम से एक प्रमाणपत्र हस्ताक्षरित है, जिसके बारे में विश्लेषकों का मानना है कि संभवतः इसे चुराया गया है; प्रारंभिक नमूनों पर 28 जून, 2024 का संकलन समय अंकित है।

PowerShell संस्करण के विपरीत, विश्लेषण किए गए .NET संस्करण नमूने लगातार स्थायित्व के लिए शेड्यूल किए गए कार्य का निर्माण नहीं करते हैं।

.NET नमूनों में देखे गए विस्तारित कमांड सेट में शामिल हैं:

• स्क्रीनशॉट
• UpdateChrome (किसी विशिष्ट Chrome प्रोफ़ाइल को एक्सफ़िल्ट्रेट करें)
• फ़ाइलमैप (निर्देशिका की सामग्री की सूची)
• रनयूटिलिटी (अभी तक देखे गए नमूनों में कार्यान्वित नहीं)
• एंटरप्राइज़ChromeProfiles (Chrome प्रोफ़ाइल की गणना करें)
• अपलोडफ़ाइल (फ़ाइलें/कलाकृतियाँ और क्रेडेंशियल्स निकालना)
• OpenURL (Chrome में URL लॉन्च करें)
• अनइंस्टॉल करें
• एंटरप्राइज़ChromeBookmarks (Chrome प्रोफ़ाइल से बुकमार्क पुनर्प्राप्त करें)
• एंटरप्राइज़आइलैंडप्रोफाइल्स (आइलैंड ब्राउज़र प्रोफाइल की गणना करें)
• UpdateIsland (किसी विशिष्ट द्वीप प्रोफ़ाइल को बाहर निकालना)
• ExfilAlreadyOpenChrome (वर्तमान Chrome प्रोफ़ाइल से कुकीज़ डंप करें)

वितरण और प्रभाव

किसे निशाना बनाया गया और वितरण का सटीक तरीका अभी भी स्पष्ट नहीं है। हालाँकि, C2 के रूप में MDM API का उपयोग और एंटरप्राइज़ ब्राउज़रों, विशेष रूप से आइलैंड, जो कॉर्पोरेट परिनियोजनों के लिए लक्षित है, पर स्पष्ट ध्यान, आपूर्ति-श्रृंखला या तृतीय-पक्ष विक्रेता द्वारा किए गए समझौते की ओर स्पष्ट रूप से इशारा करता है, जो व्यावसायिक प्रक्रिया आउटसोर्सिंग (BPO) फर्मों को लक्षित कर रहा है। BPO प्रदाता आकर्षक लक्ष्य होते हैं क्योंकि चुराए गए ब्राउज़र सत्र कुकीज़ और प्रोफ़ाइल आर्टिफ़ैक्ट हमलावरों को कई डाउनस्ट्रीम क्लाइंट परिवेशों तक पहुँच प्रदान कर सकते हैं; विक्रेता के बुनियादी ढाँचे के माध्यम से लगातार पहुँच प्रभाव को बढ़ा देती है।

निष्कर्ष

एयरस्टॉक एक चिंताजनक प्रवृत्ति दर्शाता है: हमलावर विश्वसनीय प्रबंधन प्लेटफ़ॉर्म का दुरुपयोग करके दुर्भावनापूर्ण ट्रैफ़िक को वैध प्रशासनिक टेलीमेट्री के साथ मिला रहे हैं। तृतीय-पक्ष विक्रेताओं या बीपीओ सेवाओं पर निर्भर संगठनों के लिए, यह तकनीक इस जोखिम को काफी हद तक बढ़ा देती है कि एक ही समझौता कई क्लाइंट परिवेशों में फैल जाएगा। इस प्रकार के खतरे का पता लगाने और उसे सीमित करने के लिए एमडीएम गतिविधि, प्रमाणपत्र स्रोत और विक्रेता टूलचेन की अखंडता पर सतर्कता आवश्यक है।