다중 라이센스 할인 견적
위협 데이터베이스 멀웨어 Airstalk Malware

Airstalk Malware

멀웨어, 지능형 지속 위협(APT)년에 Mezo 년까지
번역 :

새롭게 발견된 악성코드군은 의심스러운 국가 기반 클러스터(CL-STA-1009로 지정됨)에서 유래되었으며, 공급망 침입과 유사한 방식으로 유포되고 있습니다. Airstalk라는 이름의 이 악성코드는 엔터프라이즈 모바일 기기 관리(MDM) 인프라를 활용하여 명령 및 제어(C2) 트래픽을 은폐하고 손상된 호스트에서 브라우저 아티팩트 및 기타 중요 데이터를 유출합니다.

위협이 어떻게 눈에 띄지 않게 숨어 있는가

Airstalk는 AirWatch API(현재 Workspace ONE Unified Endpoint Management)를 은밀한 C2 채널로 재활용합니다. 이 맬웨어는 정상적인 기기 관리에 API를 사용하는 대신, 사용자 지정 기기 속성과 파일 업로드(BLOB) 기능을 활용하여 운영자와 메시지를 교환합니다. 이를 통해 MDM 엔드포인트를 공격자 통신 및 대용량 데이터 업로드를 위한 데드드랍 리졸버로 효과적으로 전환합니다.

두 가지 구현: PowerShell 대 .NET

PowerShell 백도어와 기능이 더 풍부한 .NET 변종, 두 가지 뚜렷한 빌드가 관찰되었습니다. 두 빌드 모두 다중 스레드 C2 프로토콜을 구현하고 스크린샷 캡처, 쿠키, 검색 기록, 북마크 수집과 같은 데이터 유출 작업을 지원합니다. 증거에 따르면 일부 아티팩트는 연구원들이 도난당했을 가능성이 높다고 판단하는 인증서로 서명된 것으로 보입니다.

PowerShell 변형: C2 동작 및 기능

PowerShell 임플란트는 /api/mdm/devices/ 엔드포인트를 통해 통신합니다. 시작 시 간단한 CONNECT/CONNECTED 핸드셰이크를 통해 연결을 설정하고, 'ACTIONS' 메시지로 패키징된 작업을 수신하여 실행하고, 'RESULT' 메시지를 사용하여 결과를 반환합니다. 작업에서 큰 출력이 생성되면 Airstalk는 MDM API의 BLOB 기능을 사용하여 데이터를 업로드합니다.

PowerShell 백도어에서 지원하는 관찰된 동작은 다음과 같습니다.

  • 스크린샷을 찍으세요.
  • Google Chrome에서 쿠키를 검색합니다.
  • 모든 사용자의 Chrome 프로필을 나열합니다.
  • 지정된 Chrome 프로필에 대한 북마크를 가져옵니다.
  • 지정된 Chrome 프로필에 대한 검색 기록을 수집합니다.
  • 사용자 디렉토리 아래의 모든 파일을 열거합니다.
  • 자체 제거.

.NET 변형: 향상된 대상 및 기능

.NET 빌드는 범위와 정교함을 확장합니다. Microsoft Edge 및 Island와 같은 엔터프라이즈 브라우저를 추가로 지원하고, AirWatch 도우미 실행 파일(AirwatchHelper.exe)로 위장하며, 버전 불일치 알림, 디버깅 출력 및 비커닝에 사용되는 세 가지 추가 메시지 유형을 추가합니다.

.NET 변형의 주요 차이점 및 추가 동작:

C2 작업을 처리하고, 디버그 로그를 추출하고, C2에 대한 주기적 비콘을 수행하기 위해 3개의 전용 실행 스레드를 사용합니다.

특정 브라우저 프로필 삭제, 파일 업로드, URL 열기, 디렉토리 내용 나열 등의 명령을 포함하여 타겟형 침출 및 원격 제어를 위한 보다 광범위한 명령 세트를 지원합니다.

일부 .NET 샘플은 'Aoteng Industrial Automation (Langfang) Co., Ltd)'에 귀속된 인증서로 서명되어 있는데, 분석가들은 이 인증서가 도난당했을 가능성이 높다고 생각합니다. 초기 샘플의 컴파일 타임스탬프는 2024년 6월 28일입니다.

PowerShell 버전과 달리 분석된 .NET 변형 샘플은 지속성을 위한 예약된 작업을 일관되게 생성하지 않습니다.

.NET 샘플에서 관찰되는 확장된 명령 세트는 다음과 같습니다.

  • 스크린샷
  • UpdateChrome(특정 Chrome 프로필 추출)
  • FileMap(디렉토리의 내용 나열)
  • RunUtility(아직 관찰된 샘플에 구현되지 않음)
  • EnterpriseChromeProfiles(Chrome 프로필 열거)
  • UploadFile(파일/아티팩트 및 자격 증명 추출)
  • OpenURL(Chrome에서 URL 실행)
  • 제거
  • EnterpriseChromeBookmarks(Chrome 프로필에서 북마크 검색)
  • EnterpriseIslandProfiles(Island 브라우저 프로필 열거)
  • UpdateIsland(특정 섬 프로필에서 탈출)
  • ExfilAlreadyOpenChrome(현재 Chrome 프로필에서 쿠키 덤프)

분포 및 영향

공격 대상의 출처와 정확한 배포 방식은 아직 불분명합니다. 그러나 MDM API를 C2로 사용하고 기업용 브라우저, 특히 기업 배포를 목표로 하는 Island 브라우저에 집중하는 것은 공급망 또는 서드파티 공급업체가 BPO(비즈니스 프로세스 아웃소싱) 기업을 표적으로 삼고 있음을 강력히 시사합니다. BPO 공급업체는 도난당한 브라우저 세션 쿠키와 프로필 아티팩트를 통해 공격자가 수많은 다운스트림 클라이언트 환경에 접근할 수 있기 때문에 매력적인 공격 대상입니다. 공급업체 인프라를 통한 지속적인 접근은 그 영향력을 증폭시킵니다.

결론

Airstalk는 공격자가 신뢰할 수 있는 관리 플랫폼을 악용하여 악성 트래픽과 합법적인 관리 원격 측정 데이터를 혼합하는 우려스러운 추세를 보여줍니다. 타사 공급업체나 BPO 서비스에 의존하는 조직의 경우, 이러한 기법은 단일 침해가 여러 클라이언트 환경으로 확산될 위험을 상당히 증가시킵니다. 이러한 유형의 위협을 탐지하고 제한하려면 MDM 활동, 인증서 출처, 그리고 공급업체 툴체인의 무결성에 대한 경계가 필수적입니다.

트렌드

DHL 익스프레스 소포 분실 사기

피싱, 스팸
사이버 보안 연구원들이 DHL 익스프레스 소포 분실 사기(DHL Express Parcel Misplacement Scam)로 알려진 사기성 피싱 캠페인에 대해 경고했습니다. 이 사기성 이메일은 DHL에서 발송한 것처럼 위장한 공식 배송 안내문으로 위장합니다. 해당 메시지는 일반적으로 소포 분실을 방지하기 위해 수신자가 주소를 확인하거나 배송을 확인해야 한다고 주장합니다. 하지만 실제로 이러한 주장은 완전히 거짓입니다. 해당 이메일은 DHL이나 기타 합법적인 회사, 기관 또는 서비스 제공업체와 관련이 없습니다. 사기 이메일은 종종 '배송 확인!'과 같은 제목을 사용하여 긴박감과 진정성을 은연중에 드러냅니다. 메시지 내용은 최근 소포 문제로 인해 새로운 확인 절차가 시행되었으며, 이를...

Unsfeths.com

불량 웹사이트, 애드웨어, 브라우저 하이재커
사이버 범죄자들은 사용자를 조종하고 브라우저 기능을 악의적인 목적으로 악용하는 새로운 수법을 끊임없이 개발하고 있습니다. 이러한 사기 수법 중 하나는 가짜 인증 메시지와 오해의 소지가 있는 푸시 알림입니다. Unsfeths.com이라는 악성 사이트는 이러한 추세가 확산되는 대표적인 사례이며, 사용자가 익숙하지 않거나 의심스러운 페이지를 탐색할 때...

사용하지 않는 계정의 정기 정리 사기

피싱, 스팸
사이버 보안 연구원들은 소위 '미사용 계정 정기 정리' 이메일이 합법적인 유지 관리 알림이 아니라 악의적인 피싱 시도임을 밝혀냈습니다. 이러한 사기성 메시지는 보안 검사를 가장하여 수신자를 속여 민감한 로그인 정보를 유출하도록 설계되었습니다. 실제로 신뢰할 수 있는 회사, 조직 또는 서비스 제공업체와 관련이 없습니다. 계정 유지 관리로 위장한 사기성 메시지 이 사기는 비활성 계정을 정기적으로 정리하는 이메일 서비스 제공업체에서 보낸 것처럼 위장한 이메일로 시작됩니다. 이 메시지는 수신자의 이메일 계정이 잠재적으로 비활성 상태로 표시되었으며, 사용자가 계정 활동을 확인하지 않으면 영구적으로 삭제될 것이라고 경고합니다. 긴급성을 강조하기 위해 메시지에는 '여기에서 계정을...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
52,120
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...

Discord가 회색 화면에 멈춤

문제
40,243
때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
38,156
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
로드 중...