Preventivo sconto multi-licenza
Database delle minacce Malware Malware Airstalk

Malware Airstalk

Entro Mezo nel Malware, Minaccia persistente avanzata (APT)
Traduci in:

Una famiglia di malware recentemente individuata, attribuita a un sospetto cluster nazionale (designato come CL-STA-1009), si sta diffondendo in modo coerente con un'intrusione nella supply chain. L'impianto, denominato Airstalk, sfrutta l'infrastruttura di gestione dei dispositivi mobili (MDM) aziendale per nascondere il traffico di Comando e Controllo (C2) ed esfiltrare artefatti del browser e altri dati sensibili dagli host compromessi.

Come la minaccia si nasconde in bella vista

Airstalk riutilizza l'API AirWatch (ora Workspace ONE Unified Endpoint Management) come canale C2 nascosto. Invece di utilizzare l'API per la gestione legittima dei dispositivi, il malware sfrutta attributi personalizzati dei dispositivi e funzionalità di caricamento file (blob) per scambiare messaggi con i suoi operatori, trasformando di fatto un endpoint MDM in un risolutore di dead-drop per le comunicazioni degli aggressori e i caricamenti di dati di grandi dimensioni.

Due implementazioni: PowerShell vs. .NET

Sono state osservate due build distinte: una backdoor PowerShell e una variante .NET più ricca di funzionalità. Entrambe implementano un protocollo C2 multi-thread e supportano operazioni di furto di dati, come l'acquisizione di screenshot e la raccolta di cookie, cronologia di navigazione e segnalibri. Le prove suggeriscono che alcuni artefatti siano stati firmati con un certificato che i ricercatori ritengono possa essere stato rubato.

Variante di PowerShell: comportamento e funzionalità C2

L'impianto PowerShell comunica tramite l'endpoint /api/mdm/devices/. All'avvio, stabilisce un contatto con un semplice handshake CONNECT/CONNECTED, riceve le attività impacchettate come messaggi "ACTIONS", le esegue e restituisce i risultati tramite messaggi "RESULT". Quando un'attività produce un output di grandi dimensioni, Airstalk carica i dati utilizzando la funzionalità blob dell'API MDM.

Le AZIONI osservate supportate dalla backdoor di PowerShell includono:

  • Fai uno screenshot.
  • Recupera i cookie da Google Chrome.
  • Elenca tutti i profili utente di Chrome.
  • Ottieni segnalibri per un profilo Chrome specificato.
  • Raccogli la cronologia di navigazione per un profilo Chrome specificato.
  • Enumera tutti i file nella directory utente.
  • Si disinstalla da solo.

Variante .NET: obiettivi e funzionalità migliorati

La build .NET amplia la portata e la complessità. È rivolta ad altri browser aziendali (Microsoft Edge e Island), tenta di mascherarsi da eseguibile helper di AirWatch (AirwatchHelper.exe) e aggiunge tre tipi di messaggio aggiuntivi utilizzati per le notifiche di mancata corrispondenza di versione, l'output di debug e il beaconing.

Differenze principali e comportamenti aggiuntivi della variante .NET:

Utilizza tre thread di esecuzione dedicati per gestire le attività C2, estrarre i log di debug ed eseguire beacon periodici su C2.

Supporta un set di comandi più ampio per l'esfiltrazione mirata e il controllo remoto, inclusi comandi per scaricare profili browser specifici, caricare file, aprire URL, elencare il contenuto delle directory e altro ancora.

Alcuni campioni .NET sono firmati con un certificato attribuito a "Aoteng Industrial Automation (Langfang) Co., Ltd)" che gli analisti ritengono sia stato probabilmente rubato; i primi campioni riportano un timestamp di compilazione del 28 giugno 2024.

A differenza della versione PowerShell, gli esempi di varianti .NET analizzati non creano in modo coerente un'attività pianificata per la persistenza.

Il set di comandi ampliato osservato negli esempi .NET include:

  • Schermata
  • UpdateChrome (esfiltra uno specifico profilo Chrome)
  • FileMap (elenca il contenuto di una directory)
  • RunUtility (non ancora implementato nei campioni osservati)
  • EnterpriseChromeProfiles (enumera i profili Chrome)
  • UploadFile (esfiltra file/artefatti e credenziali)
  • OpenURL (avvia un URL in Chrome)
  • Disinstallare
  • EnterpriseChromeBookmarks (recupera i segnalibri da un profilo Chrome)
  • EnterpriseIslandProfiles (enumera i profili del browser Island)
  • UpdateIsland (esfiltra un profilo specifico dell'isola)
  • ExfilAlreadyOpenChrome (scarica i cookie dal profilo Chrome corrente)

Distribuzione e impatto

L'attribuzione del bersaglio e l'esatto metodo di distribuzione rimangono poco chiari. Tuttavia, l'utilizzo delle API MDM come C2 e l'attenzione esplicita rivolta ai browser aziendali, in particolare Island, destinato alle distribuzioni aziendali, indicano chiaramente una compromissione della supply chain o di un fornitore terzo, mirata alle aziende di outsourcing dei processi aziendali (BPO). I fornitori di BPO sono obiettivi interessanti perché i cookie di sessione del browser rubati e gli artefatti del profilo possono consentire agli aggressori di accedere a numerosi ambienti client downstream; l'accesso persistente attraverso l'infrastruttura di un fornitore amplifica l'impatto.

Conclusione

Airstalk dimostra una tendenza preoccupante: gli aggressori sfruttano piattaforme di gestione affidabili per combinare traffico dannoso con dati di telemetria amministrativa legittimi. Per le organizzazioni che si affidano a fornitori terzi o servizi BPO, questa tecnica aumenta significativamente il rischio che una singola compromissione si propaghi a cascata su più ambienti client. La vigilanza sulle attività MDM, sulla provenienza dei certificati e sull'integrità delle toolchain dei fornitori è essenziale per rilevare e limitare questa classe di minacce.

Tendenza

I più visti

Caricamento in corso...