Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa „Airstalk“ kenkėjiška programa

„Airstalk“ kenkėjiška programa

Autorius Mezo, Kenkėjiška programa, Išplėstinė nuolatinė grėsmė (APT)
Versti į:

Naujai pastebėta kenkėjiškų programų šeima, priskiriama įtariamam nacionalinės valstybės klasteriui (pažymėtam kaip CL-STA-1009), platinama taip, kad būtų įsilaužta į tiekimo grandinę. Implantas, pavadintas „Airstalk“, naudoja įmonės mobiliųjų įrenginių valdymo (MDM) infrastruktūrą, kad paslėptų komandų ir kontrolės (C2) srautą ir išfiltruotų naršyklės artefaktus bei kitus jautrius duomenis iš pažeistų kompiuterių.

Kaip grėsmė slepiasi akyse

„Airstalk“ pakartotinai panaudoja „AirWatch“ API (dabar „Workspace ONE Unified Endpoint Management“) kaip slaptą C2 kanalą. Užuot naudojusi API teisėtam įrenginių valdymui, kenkėjiška programa naudoja pasirinktinius įrenginių atributus ir failų įkėlimo (blob) funkcijas, kad keistųsi pranešimais su savo operatoriais, efektyviai paversdama MDM galinį tašką neveikiančių duomenų sprendikliu užpuolikų komunikacijai ir didelių duomenų įkėlimui.

Du įgyvendinimai: „PowerShell“ ir .NET

Pastebėtos dvi skirtingos versijos: „PowerShell“ galinė durų sąsaja ir funkcijomis turtingesnė .NET variantas. Abi jos įgyvendina daugiagijas C2 protokolą ir palaiko duomenų vagystės operacijas, pvz., ekrano kopijų darymą ir slapukų, naršymo istorijos bei žymių rinkimą. Įrodymai rodo, kad kai kurie artefaktai buvo pasirašyti sertifikatu, kurį tyrėjai laiko greičiausiai pavogtu.

„PowerShell“ variantas: C2 elgesys ir galimybės

„PowerShell“ implantas bendrauja per /api/mdm/devices/ galinį tašką. Paleidimo metu jis užmezga ryšį paprastu CONNECT/CONNECTED paspaudimu, gauna užduotis, supakuotas kaip „ACTIONS“ pranešimai, jas vykdo ir grąžina rezultatus naudodamas „RESULT“ pranešimus. Kai užduotis sukuria didelę išvestį, „Airstalk“ įkelia duomenis naudodama MDM API „blob“ funkciją.

„PowerShell“ galinių durų palaikomi stebimi VEIKSMAI:

  • Padarykite ekrano kopiją.
  • Gauti slapukus iš „Google Chrome“.
  • Išvardykite visus naudotojų „Chrome“ profilius.
  • Gauti nurodyto „Chrome“ profilio žymes.
  • Surinkite nurodyto „Chrome“ profilio naršymo istoriją.
  • Išvardykite visus failus, esančius vartotojo kataloge.
  • Pašalinti save.

.NET variantas: patobulinti tikslai ir galimybės

.NET versija išplečia taikymo sritį ir yra sudėtingesnė. Ji skirta papildomoms įmonių naršyklėms („Microsoft Edge“ ir „Island“), bando apsimesti „AirWatch“ pagalbininko vykdomuoju failu („AirwatchHelper.exe“) ir prideda tris papildomus pranešimų tipus, naudojamus versijų neatitikimo pranešimams, derinimo išvesčiai ir švyturėlių signalams.

Pagrindiniai .NET varianto skirtumai ir papildomas veikimas:

Naudoja tris specialias vykdymo gijas C2 užduotims tvarkyti, derinimo žurnalams išfiltruoti ir periodiniams signalams į C2 siųsti.

Palaiko platesnį komandų rinkinį, skirtą tiksliniam išfiltravimui ir nuotoliniam valdymui, įskaitant komandas, skirtas konkrečių naršyklės profilių išmetimui, failų įkėlimui, URL atidarymui, katalogų turinio sąrašui ir kt.

Kai kurie .NET pavyzdžiai yra pasirašyti sertifikatu, priskirtu „Aoteng Industrial Automation (Langfang) Co., Ltd)“, kuris, analitikų manymu, greičiausiai buvo pavogtas; ankstyvieji pavyzdžiai turi 2024 m. birželio 28 d. kompiliavimo laiko žymą.

Kitaip nei „PowerShell“ versijoje, analizuojami .NET variantų pavyzdžiai nuosekliai nesukuria suplanuotos užduoties išsaugojimui.

Išplėstinis komandų rinkinys, pastebėtas .NET pavyzdžiuose, apima:

  • Ekrano kopija
  • „UpdateChrome“ (išfiltruoti konkretų „Chrome“ profilį)
  • Failų žemėlapis (katalogo turinio sąrašas)
  • „RunUtility“ (dar neįdiegta stebimuose pavyzdžiuose)
  • „EnterpriseChromeProfiles“ (išvardinti „Chrome“ profilius)
  • „UploadFile“ (išfiltruoti failus / artefaktus ir kredencialus)
  • „OpenURL“ (paleisti URL naršyklėje „Chrome“)
  • Pašalinti
  • „EnterpriseChromeBookmarks“ (žymių gavimas iš „Chrome“ profilio)
  • „EnterpriseIslandProfiles“ (išvardija salos naršyklės profilius)
  • „UpdateIsland“ (išfiltruoti konkretų salos profilį)
  • „ExfilAlreadyOpenChrome“ (ištrinti slapukus iš dabartinio „Chrome“ profilio)

Pasiskirstymas ir poveikis

Kas buvo taikinys ir tikslus platinimo metodas lieka neaiškūs. Tačiau MDM API naudojimas kaip C2 ir aiškus dėmesys įmonių naršyklėms, ypač „Island“, kuri skirta įmonių diegimams, aiškiai rodo tiekimo grandinės arba trečiųjų šalių tiekėjų kompromisą, nukreiptą į verslo procesų perdavimo (BPO) įmones. BPO teikėjai yra patrauklūs taikiniai, nes pavogti naršyklės sesijos slapukai ir profilio artefaktai gali suteikti užpuolikams prieigą prie daugybės klientų aplinkų; nuolatinė prieiga per tiekėjo infrastruktūrą sustiprina poveikį.

Išvada

„Airstalk“ rodo nerimą keliančią tendenciją: užpuolikai piktnaudžiauja patikimomis valdymo platformomis, kad sujungtų kenkėjišką srautą su teisėta administracine telemetrija. Organizacijoms, kurios pasikliauja trečiųjų šalių tiekėjais arba BPO paslaugomis, ši technika gerokai padidina riziką, kad vienas kompromitavimas pasklis daugelyje klientų aplinkų. Norint aptikti ir apriboti šios klasės grėsmes, būtina atidžiai stebėti MDM veiklą, sertifikatų kilmę ir tiekėjų įrankių grandinių vientisumą.

Tendencijos

DHL Express siuntos pristatymo sukčiavimas

Sukčiavimas, Šlamštas
Kibernetinio saugumo tyrėjai perspėjo apie apgaulingą sukčiavimo kampaniją, vadinamą „DHL Express“ siuntų dingimo sukčiavimu. Šie apgaulingi el. laiškai yra užmaskuoti kaip oficialūs pristatymo pranešimai, tariamai siųsti DHL. Paprastai pranešimuose teigiama, kad gavėjas turi patvirtinti savo adresą arba pristatymą, kad būtų išvengta siuntos dingimo. Iš tikrųjų šie teiginiai yra visiškai...

Įprastas nenaudojamų paskyrų valymo sukčiavimas

Sukčiavimas, Šlamštas
Kibernetinio saugumo tyrėjai atskleidė, kad vadinamieji „Įprasto nenaudojamų paskyrų valymo“ el. laiškai nėra teisėti priežiūros pranešimai, o piktavališki sukčiavimo bandymai. Šie apgaulingi pranešimai skirti apgauti gavėjus, kad šie atskleistų slaptą prisijungimo informaciją, prisidengdami saugumo patikrinimu. Jie nėra susiję su jokiomis realiomis ar patikimomis įmonėmis, organizacijomis ar...

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
32,947
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...