Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad Perisian Hasad Airstalk

Perisian Hasad Airstalk

Menjelang Mezo pada perisian hasad, Ancaman Berterusan Lanjutan (APT)
Terjemahkan ke

Keluarga perisian hasad yang baru diperhatikan, dikaitkan dengan kumpulan negara bangsa yang disyaki (ditetapkan sebagai CL-STA-1009), sedang diedarkan dalam cara yang konsisten dengan pencerobohan rantaian bekalan. Implan itu, dinamakan Airstalk, memanfaatkan infrastruktur pengurusan peranti mudah alih perusahaan (MDM) untuk menyembunyikan trafik Command-and-Control (C2) dan mengeluarkan artifak penyemak imbas dan data sensitif lain daripada hos yang terjejas.

Bagaimana Ancaman Bersembunyi Dalam Penglihatan

Airstalk menggunakan semula AirWatch API (kini Workspace ONE Unified Endpoint Management) sebagai saluran C2 rahsianya. Daripada menggunakan API untuk pengurusan peranti yang sah, perisian hasad menggunakan atribut peranti tersuai dan ciri muat naik fail (blob) untuk bertukar-tukar mesej dengan pengendalinya, dengan berkesan menjadikan titik akhir MDM menjadi penyelesai mati-mati untuk komunikasi penyerang dan muat naik data yang besar.

Dua Pelaksanaan: PowerShell lwn. .NET

Dua binaan berbeza telah diperhatikan: pintu belakang PowerShell dan varian .NET yang lebih kaya ciri. Kedua-duanya melaksanakan protokol C2 berbilang benang dan menyokong operasi kecurian data, seperti menangkap tangkapan skrin dan menuai kuki, sejarah penyemakan imbas dan penanda halaman. Bukti menunjukkan bahawa beberapa artifak telah ditandatangani dengan sijil yang dianggap penyelidik berkemungkinan dicuri.

Varian PowerShell: tingkah laku dan Keupayaan C2

Implan PowerShell berkomunikasi melalui titik akhir /api/mdm/devices/. Apabila dimulakan, ia mewujudkan hubungan dengan jabat tangan CONNECT/CONNECTED yang mudah, menerima tugasan yang dibungkus sebagai mesej 'ACTIONS', melaksanakannya dan mengembalikan hasil menggunakan mesej 'RESULT'. Apabila tugasan menghasilkan output yang besar, Airstalk memuat naik data menggunakan ciri gumpalan API MDM.

TINDAKAN yang diperhatikan yang disokong oleh pintu belakang PowerShell termasuk:

  • Ambil tangkapan skrin.
  • Dapatkan kuki daripada Google Chrome.
  • Senaraikan semua profil Chrome pengguna.
  • Dapatkan penanda halaman untuk profil Chrome yang ditentukan.
  • Kumpul sejarah penyemakan imbas untuk profil Chrome yang ditentukan.
  • Hitungkan semua fail di bawah direktori pengguna.
  • Nyahpasang sendiri.

Varian .NET: Sasaran Dan Keupayaan Dipertingkat

Binaan .NET mengembangkan skop dan kecanggihan. Ia menyasarkan penyemak imbas perusahaan tambahan (Microsoft Edge dan Island), cuba untuk menyamar sebagai pembantu AirWatch boleh laku (AirwatchHelper.exe), dan menambah tiga jenis mesej tambahan yang digunakan untuk pemberitahuan ketidakpadanan versi, output penyahpepijatan dan suar.

Perbezaan utama dan gelagat tambahan bagi varian .NET:

Menggunakan tiga utas pelaksanaan khusus untuk mengendalikan tugas C2, mengeksfiltrasi log nyahpepijat dan melaksanakan suar berkala kepada C2.

Menyokong set arahan yang lebih luas untuk exfiltration disasarkan dan kawalan jauh, termasuk arahan untuk membuang profil penyemak imbas tertentu, memuat naik fail, membuka URL, menyenaraikan kandungan direktori dan banyak lagi.

Beberapa sampel .NET ditandatangani dengan sijil yang dikaitkan dengan 'Aoteng Industrial Automation (Langfang) Co., Ltd)' yang dipercayai oleh penganalisis kemungkinan dicuri; sampel awal membawa cap masa kompilasi pada 28 Jun 2024.

Tidak seperti versi PowerShell, sampel varian .NET yang dianalisis tidak secara konsisten membuat tugas berjadual untuk kegigihan.

Set arahan diperluas yang diperhatikan dalam sampel .NET termasuk:

  • Tangkapan skrin
  • Kemas kiniChrome (exfiltrate profil Chrome tertentu)
  • FileMap (senarai kandungan direktori)
  • RunUtility (belum dilaksanakan dalam sampel yang diperhatikan)
  • EnterpriseChromeProfiles (hitung profil Chrome)
  • UploadFile (exfiltrate fail/artifak dan bukti kelayakan)
  • OpenURL (lancarkan URL dalam Chrome)
  • Nyahpasang
  • EnterpriseChromeBookmarks (dapatkan penanda halaman daripada profil Chrome)
  • EnterpriseIslandProfiles (hitung profil penyemak imbas Pulau)
  • UpdateIsland (exfiltrate profil Pulau tertentu)
  • ExfilAlreadyOpenChrome (buang kuki daripada profil Chrome semasa)

Pengagihan Dan Kesan

Atribusi siapa yang disasarkan dan kaedah pengedaran yang tepat masih tidak jelas. Walau bagaimanapun, penggunaan API MDM sebagai C2 dan tumpuan eksplisit pada penyemak imbas perusahaan, khususnya Island, yang bertujuan untuk penempatan korporat, sangat menjurus kepada kompromi vendor rantaian bekalan atau pihak ketiga yang menyasarkan firma penyumberan luar proses perniagaan (BPO). Pembekal BPO adalah sasaran yang menarik kerana kuki sesi pelayar yang dicuri dan artifak profil boleh memberikan penyerang akses kepada banyak persekitaran pelanggan hiliran; akses berterusan melalui infrastruktur vendor menguatkan impak.

Kesimpulan

Airstalk menunjukkan trend yang membimbangkan: penyerang menyalahgunakan platform pengurusan yang dipercayai untuk menggabungkan trafik berniat jahat dengan telemetri pentadbiran yang sah. Bagi organisasi yang bergantung pada vendor pihak ketiga atau perkhidmatan BPO, teknik ini secara ketara meningkatkan risiko bahawa satu kompromi akan merentasi banyak persekitaran pelanggan. Kewaspadaan terhadap aktiviti MDM, asal sijil dan integriti rantai alat vendor adalah penting untuk mengesan dan mengehadkan kelas ancaman ini.

Trending

Paling banyak dilihat

Memuatkan...