Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware Airstalk kártevő

Airstalk kártevő

Mezo -ra Malware, Advanced Persistent Threat (APT)-ben
Fordítás ide:

Egy újonnan felfedezett, egy feltételezett nemzetállami klaszterhez (CL-STA-1009 jelzéssel) köthető kártevőcsalád terjesztése az ellátási láncba való behatolásra jellemző módon történik. Az Airstalk névre keresztelt beültetett program a vállalati mobileszköz-kezelési (MDM) infrastruktúrát használja ki a Command-and-Control (C2) forgalom elrejtésére, valamint a böngészőbeli hibák és más érzékeny adatok kiszivárgására a feltört hosztokról.

Hogyan rejtőzik el a fenyegetés a szem elől

Az Airstalk az AirWatch API-t (jelenleg Workspace ONE Unified Endpoint Management) használja újra titkos C2 csatornának. Ahelyett, hogy az API-t használná a legitim eszközkezeléshez, a rosszindulatú program egyéni eszközattribútumokat és fájlfeltöltési (blob) funkciókat használ az operátorokkal való üzenetváltáshoz, így az MDM végpontot gyakorlatilag egy holtpont-feloldóvá alakítja a támadó kommunikációjához és a nagyméretű adatfeltöltésekhez.

Két implementáció: PowerShell vs. .NET

Két különböző build-et figyeltek meg: egy PowerShell hátsó ajtót és egy funkciókban gazdagabb .NET variánst. Mindkettő többszálú C2 protokollt valósít meg, és támogatja az adatlopási műveleteket, például a képernyőképek rögzítését és a sütik, a böngészési előzmények és a könyvjelzők gyűjtését. A bizonyítékok arra utalnak, hogy egyes elemeket egy olyan tanúsítvánnyal írtak alá, amelyet a kutatók valószínűleg elloptak.

PowerShell-változat: C2 viselkedés és képességek

A PowerShell implantátum az /api/mdm/devices/ végponton keresztül kommunikál. Indításkor egy egyszerű CONNECT/CONNECTED kézfogással létesít kapcsolatot, fogadja az „ACTIONS” üzenetekbe csomagolt feladatokat, végrehajtja azokat, és „RESULT” üzenetek formájában adja vissza az eredményeket. Amikor egy feladat nagy kimenetet produkál, az Airstalk feltölti az adatokat az MDM API blob funkciójának használatával.

A PowerShell hátsó ajtó által támogatott megfigyelt MŰVELETEK a következők:

  • Készítsen egy képernyőképet.
  • Sütik lekérése a Google Chrome-ból.
  • Az összes felhasználói Chrome-profil listázása.
  • Könyvjelzők beszerzése egy megadott Chrome-profilhoz.
  • Gyűjtse össze egy adott Chrome-profil böngészési előzményeit.
  • Sorolja fel az összes fájlt a felhasználói könyvtárban.
  • Eltávolítja magát.

A .NET variáns: továbbfejlesztett célok és képességek

A .NET-build kibővíti a hatókört és kifinomultabbá teszi a funkciót. További vállalati böngészőket céloz meg (Microsoft Edge és Island), megpróbál AirWatch helper futtatható fájlnak álcázni magát (AirwatchHelper.exe), és három további üzenettípust ad hozzá, amelyeket a verzióeltérés-értesítésekhez, a hibakeresési kimenethez és a beaconinghoz használnak.

A .NET variáns főbb különbségei és további viselkedései:

Három dedikált végrehajtási szálat használ a C2 feladatok kezelésére, a hibakeresési naplók kiszűrésére és a C2 felé irányuló periodikus jelzők küldésére.

Szélesebb körű parancskészletet támogat a célzott kiszűréshez és a távvezérléshez, beleértve a parancsokat adott böngészőprofilok kiíratására, fájlok feltöltésére, URL-ek megnyitására, könyvtárak tartalmának listázására és egyebekre.

Néhány .NET-minta az „Aoteng Industrial Automation (Langfang) Co., Ltd)” tulajdonában lévő tanúsítvánnyal van aláírva, amelyről az elemzők úgy vélik, hogy valószínűleg lopott; a korai minták fordítási időbélyege 2024. június 28-i.

A PowerShell-verzióval ellentétben az elemzett .NET-variáns minták nem hoznak létre következetesen ütemezett feladatot az adatmegőrzéshez.

A .NET mintákban megfigyelt kibővített parancskészlet a következőket tartalmazza:

  • Képernyőkép
  • UpdateChrome (egy adott Chrome-profil kiszűrése)
  • Fájltérkép (könyvtár tartalmának listázása)
  • RunUtility (a megfigyelt mintákban még nincs implementálva)
  • EnterpriseChromeProfiles (Chrome profilok felsorolása)
  • UploadFile (fájlok/összetevők és hitelesítő adatok eltávolítása)
  • OpenURL (URL indítása Chrome-ban)
  • Eltávolítás
  • EnterpriseChromeBookmarks (könyvjelzők lekérése Chrome-profilból)
  • EnterpriseIslandProfiles (sziget böngészőprofiljainak felsorolása)
  • UpdateIsland (egy adott szigetprofil kiszűrése)
  • ExfilAlreadyOpenChrome (sütik kimentése az aktuális Chrome profilból)

Terjesztés és hatás

A célpont kiléte és a pontos terjesztési módszer továbbra sem tisztázott. Az MDM API-k C2-ként való használata és a vállalati böngészőkre, különösen a vállalati telepítésekre irányuló Island-re való explicit összpontosítás azonban erősen arra utal, hogy az ellátási lánc vagy harmadik féltől származó szállítók veszélyeztetik az üzleti folyamatok kiszervezésével (BPO) foglalkozó cégeket. A BPO-szolgáltatók vonzó célpontok, mivel az ellopott böngésző munkamenet-sütik és profil-összetevők hozzáférést biztosíthatnak a támadóknak számos downstream klienskörnyezethez; a szállító infrastruktúráján keresztüli állandó hozzáférés felerősíti a hatást.

Következtetés

Az Airstalk egy aggasztó trendet mutat: a támadók visszaélnek a megbízható felügyeleti platformokkal, hogy rosszindulatú forgalmat keverjenek a legitim adminisztratív telemetriával. Azoknál a szervezeteknél, amelyek harmadik féltől származó szállítókra vagy BPO-szolgáltatásokra támaszkodnak, ez a technika jelentősen növeli annak kockázatát, hogy egyetlen kompromittálás több klienskörnyezetre is átterjedjen. Az MDM-tevékenység, a tanúsítványok eredete és a szállítói eszközláncok integritásának figyelése elengedhetetlen az ilyen típusú fenyegetések észleléséhez és korlátozásához.

Felkapott

DHL Express csomag téves kézbesítésével kapcsolatos...

Adathalászat, Spam
Kiberbiztonsági kutatók figyelmeztetnek egy megtévesztő adathalász kampányra, amely DHL Express csomag téves kézbesítési átverésként ismert. Ezeket a csaló e-maileket hivatalos kézbesítési értesítéseknek álcázzák, amelyeket állítólag a DHL küldött. Az üzenetek jellemzően azt állítják, hogy a címzettnek ellenőriznie kell a címét vagy meg kell erősítenie a kézbesítést a csomag téves...

Nem használt fiókok rendszeres tisztítása átverés

Adathalászat, Spam
Kiberbiztonsági kutatók felfedezték, hogy az úgynevezett „Nem használt fiókok rutinszerű tisztítása” e-mailek nem jogos karbantartási értesítések, hanem rosszindulatú adathalász kísérletek. Ezek a csalárd üzenetek arra szolgálnak, hogy a címzetteket biztonsági ellenőrzés ürügyén bizalmas bejelentkezési adatok kiszivárogtatására csalják ki. Nem állnak kapcsolatban semmilyen valós vagy megbízható...

Legnézettebb

Betöltés...