Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra Airstalk ļaunprogrammatūra

Airstalk ļaunprogrammatūra

Līdz Mezo. gadam Ļaunprātīga programmatūra, Advanced Persistent Threat (APT). gadā
Tulkot uz:

Jaunizveidota ļaunprogrammatūras saime, kas saistīta ar iespējamu nacionālās valsts mēroga klasteri (apzīmēta ar CL-STA-1009), tiek izplatīta veidā, kas atbilst piegādes ķēdes ielaušanās kritērijiem. Implants ar nosaukumu Airstalk izmanto uzņēmuma mobilo ierīču pārvaldības (MDM) infrastruktūru, lai slēptu vadības un kontroles (C2) datplūsmu un izfiltrētu pārlūkprogrammas artefaktus un citus sensitīvus datus no apdraudētiem resursdatoriem.

Kā drauds slēpjas acu priekšā

Airstalk pārveido AirWatch API (tagad Workspace ONE Unified Endpoint Management) par savu slēpto C2 kanālu. Tā vietā, lai izmantotu API likumīgai ierīču pārvaldībai, ļaunprogrammatūra izmanto pielāgotus ierīču atribūtus un failu augšupielādes (blob) funkcijas, lai apmainītos ar ziņojumiem ar saviem operatoriem, efektīvi pārvēršot MDM galapunktu par neveiksmīgu failu risinātāju uzbrucēju saziņai un lielu datu augšupielādei.

Divas ieviešanas: PowerShell pret .NET

Ir novērotas divas atšķirīgas versijas: PowerShell aizmugures durvis un ar funkcijām bagātāka .NET variants. Abas ievieš daudzpavedienu C2 protokolu un atbalsta datu zādzības operācijas, piemēram, ekrānuzņēmumu uzņemšanu un sīkfailu, pārlūkošanas vēstures un grāmatzīmju apkopošanu. Pierādījumi liecina, ka daži artefakti tika parakstīti ar sertifikātu, ko pētnieki uzskata par, visticamāk, nozagtu.

PowerShell variants: C2 uzvedība un iespējas

PowerShell implants sazinās, izmantojot /api/mdm/devices/ galapunktu. Pēc palaišanas tas izveido savienojumu ar vienkāršu CONNECT/CONNECTED rokasspiedienu, saņem uzdevumus, kas iesaiņoti kā “ACTIONS” ziņojumi, izpilda tos un atgriež rezultātus, izmantojot “RESULT” ziņojumus. Kad uzdevums ģenerē lielu izvadi, Airstalk augšupielādē datus, izmantojot MDM API blob funkciju.

PowerShell aizmugurējās durvis atbalstītās novērotās DARBĪBAS ietver:

  • Uzņemiet ekrānuzņēmumu.
  • Iegūt sīkfailus no Google Chrome.
  • Uzskaitīt visus lietotāju Chrome profilus.
  • Iegūt grāmatzīmes norādītajam Chrome profilam.
  • Apkopot pārlūkošanas vēsturi norādītajam Chrome profilam.
  • Uzskaitiet visus failus lietotāja direktorijā.
  • Atinstalēt sevi.

.NET variants: uzlaboti mērķi un iespējas

.NET versija paplašina darbības jomu un sarežģītību. Tā ir vērsta uz papildu uzņēmumu pārlūkprogrammām (Microsoft Edge un Island), mēģina maskēties kā AirWatch palīga izpildāmais fails (AirwatchHelper.exe) un pievieno trīs papildu ziņojumu veidus, kas tiek izmantoti versiju neatbilstības paziņojumiem, atkļūdošanas izvadei un signālu ģenerēšanai.

.NET varianta galvenās atšķirības un papildu darbības:

Izmanto trīs īpašus izpildes pavedienus, lai apstrādātu C2 uzdevumus, izvadītu atkļūdošanas žurnālus un veiktu periodiskus signālus uz C2.

Atbalsta plašāku komandu kopu mērķtiecīgai eksfiltrācijai un tālvadībai, tostarp komandas konkrētu pārlūkprogrammas profilu izmešanai, failu augšupielādei, URL atvēršanai, direktoriju satura uzskaitīšanai un citām darbībām.

Daži .NET paraugi ir parakstīti ar sertifikātu, kas piešķirts uzņēmumam “Aoteng Industrial Automation (Langfang) Co., Ltd)” un ko analītiķi, visticamāk, ir nozagts; agrīnajiem paraugiem ir kompilācijas laika zīmogs ar datumu 2024. gada 28. jūnijs.

Atšķirībā no PowerShell versijas, analizētie .NET variantu paraugi nekonsekventi izveido ieplānotu uzdevumu saglabāšanai.

Paplašinātajā komandu kopā, kas novērota .NET paraugos, ietilpst:

  • Ekrānuzņēmums
  • UpdateChrome (izfiltrēt konkrētu Chrome profilu)
  • FileMap (direktorija satura saraksts)
  • RunUtility (vēl nav ieviesta novērotajos paraugos)
  • EnterpriseChromeProfiles (uzskaitīt Chrome profilus)
  • Augšupielādēt failu (izfiltrēt failus/artefaktus un akreditācijas datus)
  • OpenURL (atvērt URL pārlūkprogrammā Chrome)
  • Atinstalēt
  • EnterpriseChromeBookmarks (grāmatzīmju izgūšana no Chrome profila)
  • EnterpriseIslandProfiles (uzskaitīt Island pārlūkprogrammas profilus)
  • UpdateIsland (izfiltrēt konkrētu salas profilu)
  • ExfilAlreadyOpenChrome (izmest sīkfailus no pašreizējā Chrome profila)

Izplatība un ietekme

Joprojām nav skaidrs, kas bija mērķis un precīza izplatīšanas metode. Tomēr MDM API izmantošana kā C2 un nepārprotama koncentrēšanās uz uzņēmumu pārlūkprogrammām, jo īpaši Island, kas paredzēta korporatīvai izvietošanai, stingri norāda uz piegādes ķēdes vai trešo pušu pārdevēju kompromitēšanu, kas vērsta pret biznesa procesu ārpakalpojumu (BPO) uzņēmumiem. BPO pakalpojumu sniedzēji ir pievilcīgi mērķi, jo nozagtas pārlūkprogrammas sesijas sīkdatnes un profila artefakti var piešķirt uzbrucējiem piekļuvi daudzām lejupējām klientu vidēm; pastāvīga piekļuve, izmantojot pārdevēja infrastruktūru, pastiprina ietekmi.

Secinājums

Airstalk demonstrē satraucošu tendenci: uzbrucēji ļaunprātīgi izmanto uzticamas pārvaldības platformas, lai apvienotu ļaunprātīgu datplūsmu ar likumīgu administratīvo telemetriju. Organizācijām, kas paļaujas uz trešo pušu piegādātājiem vai BPO pakalpojumiem, šī metode būtiski palielina risku, ka viens apdraudējums izplatīsies daudzās klientu vidēs. Lai atklātu un ierobežotu šīs klases apdraudējumus, ir svarīgi sekot līdzi MDM aktivitātēm, sertifikātu izcelsmei un piegādātāju rīku ķēžu integritātei.

Tendences

DHL Express sūtījumu nepareizas atrašanās vietas...

Pikšķerēšana, Mēstules
Kiberdrošības pētnieki ir brīdinājuši par maldinošu pikšķerēšanas kampaņu, kas pazīstama kā DHL Express sūtījumu nepareizas atrašanās vietas krāpniecība. Šīs krāpnieciskās e-pasta vēstules ir maskētas kā oficiāli piegādes paziņojumi, ko it kā sūta DHL. Ziņojumos parasti tiek apgalvots, ka saņēmējam ir jāpārbauda sava adrese vai jāapstiprina piegāde, lai novērstu sūtījuma nepareizu atrašanās...

Neizmantoto kontu regulāras tīrīšanas krāpniecība

Pikšķerēšana, Mēstules
Kiberdrošības pētnieki ir atklājuši, ka tā sauktie "neizmantoto kontu rutīnas tīrīšanas" e-pasti nav likumīgi apkopes paziņojumi, bet gan ļaunprātīgi pikšķerēšanas mēģinājumi. Šie krāpnieciskie ziņojumi ir izstrādāti, lai maldinātu adresātus, izrādot sensitīvu pieteikšanās informāciju, aizbildinoties ar drošības pārbaudi. Tie nav saistīti ar reāliem vai uzticamiem uzņēmumiem, organizācijām vai...

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
32,947
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...