Ponuda s popustom na više licenci
Baza prijetnji Malware Zlonamjerni softver Airstalk

Zlonamjerni softver Airstalk

Do Mezo. Malware, Napredna trajna prijetnja (APT). godine
Prevedi na:

Novootkrivena obitelj zlonamjernog softvera, koja se pripisuje sumnjivom klasteru nacionalnih država (označenom kao CL-STA-1009), distribuira se na način koji je konzistentan s upadom u lanac opskrbe. Implant, nazvan Airstalk, koristi infrastrukturu upravljanja mobilnim uređajima (MDM) poduzeća kako bi prikrio promet sustava Command-and-Control (C2) i izvukao artefakte preglednika i druge osjetljive podatke s kompromitiranih hostova.

Kako se prijetnja skriva na očigled

Airstalk prenamjenjuje AirWatch API (sada Workspace ONE Unified Endpoint Management) kao svoj prikriveni C2 kanal. Umjesto korištenja API-ja za legitimno upravljanje uređajima, zlonamjerni softver koristi prilagođene atribute uređaja i značajke prijenosa datoteka (blob) za razmjenu poruka sa svojim operaterima, učinkovito pretvarajući MDM krajnju točku u dead-drop resolver za komunikaciju napadača i prijenos velikih podataka.

Dvije implementacije: PowerShell vs. .NET

Uočene su dvije različite verzije: PowerShell backdoor i .NET varijanta bogatija značajkama. Obje implementiraju višenitni C2 protokol i podržavaju operacije krađe podataka, kao što su snimanje zaslona i prikupljanje kolačića, povijesti pregledavanja i oznaka. Dokazi upućuju na to da su neki artefakti potpisani certifikatom za koji istraživači smatraju da je vjerojatno ukraden.

PowerShell varijanta: C2 ponašanje i mogućnosti

PowerShell implant komunicira putem krajnje točke /api/mdm/devices/. Nakon pokretanja uspostavlja kontakt jednostavnim rukovanjem CONNECT/CONNECTED, prima zadatke pakirane kao poruke 'ACTIONS', izvršava ih i vraća rezultate pomoću poruka 'RESULT'. Kada zadatak proizvede veliki izlaz, Airstalk prenosi podatke pomoću blob značajke MDM API-ja.

Opažene AKCIJE koje podržava PowerShell backdoor uključuju:

  • Napravite snimku zaslona.
  • Dohvati kolačiće iz Google Chromea.
  • Navedite sve korisničke profile u Chromeu.
  • Preuzmite oznake za određeni Chrome profil.
  • Prikupi povijest pregledavanja za određeni Chrome profil.
  • Nabroji sve datoteke u korisničkom direktoriju.
  • Deinstaliraj sam.

.NET varijanta: Poboljšani ciljevi i mogućnosti

.NET verzija proširuje opseg i sofisticiranost. Cilja dodatne poslovne preglednike (Microsoft Edge i Island), pokušava se maskirati kao izvršna datoteka pomoćnika AirWatcha (AirwatchHelper.exe) i dodaje tri dodatne vrste poruka koje se koriste za obavijesti o neusklađenosti verzija, ispis za otklanjanje pogrešaka i beaconing.

Ključne razlike i dodatna ponašanja .NET varijante:

Koristi tri namjenske niti za izvršavanje zadataka C2, izdvajanje zapisnika o otklanjanju pogrešaka i izvođenje periodičnih signala za C2.

Podržava širi skup naredbi za ciljano uklanjanje podataka i daljinsko upravljanje, uključujući naredbe za ispis određenih profila preglednika, prijenos datoteka, otvaranje URL-ova, popis sadržaja direktorija i još mnogo toga.

Neki .NET uzorci potpisani su certifikatom koji se pripisuje tvrtki 'Aoteng Industrial Automation (Langfang) Co., Ltd)' za koji analitičari smatraju da je vjerojatno ukraden; rani uzorci nose vremensku oznaku kompilacije od 28. lipnja 2024.

Za razliku od PowerShell verzije, analizirani uzorci .NET varijanti ne stvaraju dosljedno planirani zadatak za trajnost.

Prošireni skup naredbi uočen u .NET primjerima uključuje:

  • Snimka zaslona
  • UpdateChrome (uklanjanje određenog Chrome profila)
  • FileMap (popis sadržaja direktorija)
  • RunUtility (još nije implementirano u promatranim uzorcima)
  • EnterpriseChromeProfiles (nabrajanje Chrome profila)
  • UploadFile (izvlačenje datoteka/artefakata i vjerodajnica)
  • OpenURL (pokreni URL u Chromeu)
  • Deinstaliraj
  • EnterpriseChromeBookmarks (preuzimanje oznaka iz Chrome profila)
  • EnterpriseIslandProfiles (nabrajanje profila preglednika Island)
  • UpdateIsland (otkrivanje određenog profila s otoka)
  • ExfilAlreadyOpenChrome (izbacivanje kolačića iz trenutnog Chrome profila)

Distribucija i utjecaj

Pripisivanje tko je bio meta napada i točna metoda distribucije ostaju nejasni. Međutim, korištenje MDM API-ja kao C2 i eksplicitni fokus na poslovne preglednike, posebno Island, koji je namijenjen korporativnim implementacijama, snažno ukazuju na kompromitiranje lanca opskrbe ili treće strane od strane dobavljača usmjerenog na tvrtke za outsourcing poslovnih procesa (BPO). Pružatelji BPO usluga atraktivne su mete jer ukradeni kolačići sesije preglednika i artefakti profila mogu napadačima omogućiti pristup brojnim nizvodnim klijentskim okruženjima; trajni pristup putem infrastrukture dobavljača pojačava utjecaj.

Zaključak

Airstalk pokazuje zabrinjavajući trend: napadači zloupotrebljavaju pouzdane platforme za upravljanje kako bi kombinirali zlonamjerni promet s legitimnom administrativnom telemetrijom. Za organizacije koje se oslanjaju na dobavljače trećih strana ili BPO usluge, ova tehnika značajno povećava rizik da će se jedno kompromitiranje proširiti na mnoga klijentska okruženja. Budnost oko MDM aktivnosti, porijekla certifikata i integriteta lanaca alata dobavljača ključna je za otkrivanje i ograničavanje ove klase prijetnji.

U trendu

Nagledanije

Učitavam...