Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare Airstalk-skadevare

Airstalk-skadevare

Med Mezo i Skadelig programvare, Advanced Persistent Threat (APT)
Oversett til:

En nylig observert skadevarefamilie, tilskrevet en mistenkt nasjonalstatsklynge (betegnet som CL-STA-1009), distribueres på en måte som er konsistent med et innbrudd i forsyningskjeden. Implantatet, kalt Airstalk, utnytter bedriftens MDM-infrastruktur (Mobile Device Management) for å skjule kommando-og-kontroll-trafikk (C2) og stramme inn nettleserartefakter og andre sensitive data fra kompromitterte verter.

Hvordan trusselen skjuler seg i vanlig syn

Airstalk omgjør AirWatch API-et (nå Workspace ONE Unified Endpoint Management) til sin skjulte C2-kanal. I stedet for å bruke API-et til legitim enhetsadministrasjon, bruker skadevaren tilpassede enhetsattributter og filopplastingsfunksjoner (blob) for å utveksle meldinger med operatørene sine, noe som effektivt gjør et MDM-endepunkt til en dead-drop-resolver for angriperkommunikasjon og opplasting av store data.

To implementeringer: PowerShell vs. .NET

To forskjellige versjoner har blitt observert: en PowerShell-bakdør og en mer funksjonsrik .NET-variant. Begge implementerer en flertrådet C2-protokoll og støtter datatyverioperasjoner, som å ta skjermbilder og samle informasjonskapsler, nettleserlogg og bokmerker. Bevis tyder på at noen artefakter ble signert med et sertifikat som forskere anser som sannsynlig stjålet.

PowerShell-variant: C2-oppførsel og -funksjoner

PowerShell-implantatet kommuniserer via /api/mdm/devices/-endepunktet. Ved oppstart oppretter det kontakt med et enkelt CONNECT/CONNECTED-håndtrykk, mottar oppgaver pakket som «ACTIONS»-meldinger, utfører dem og returnerer resultater ved hjelp av «RESULT»-meldinger. Når en oppgave produserer stor output, laster Airstalk opp dataene ved hjelp av MDM API-ens blob-funksjon.

Observerte HANDLINGER som støttes av PowerShell-bakdøren inkluderer:

  • Ta et skjermbilde.
  • Hent informasjonskapsler fra Google Chrome.
  • List opp alle brukerens Chrome-profiler.
  • Hent bokmerker for en spesifisert Chrome-profil.
  • Samle inn nettleserloggen for en spesifisert Chrome-profil.
  • List opp alle filene under brukerkatalogen.
  • Avinstallere seg selv.

.NET-varianten: Forbedrede mål og funksjoner

.NET-bygget utvider omfanget og sofistikasjonen. Det retter seg mot flere bedriftsnettlesere (Microsoft Edge og Island), forsøker å utgi seg for å være en kjørbar AirWatch-hjelperfil (AirwatchHelper.exe), og legger til tre ekstra meldingstyper som brukes til varsler om versjonsavvik, feilsøkingsutdata og beaconing.

Viktige forskjeller og ytterligere virkemåter for .NET-varianten:

Bruker tre dedikerte utførelsestråder til å håndtere C2-oppgaver, eksfiltrere feilsøkingslogger og utføre periodiske beacons til C2.

Støtter et bredere kommandosett for målrettet eksfiltrering og fjernkontroll, inkludert kommandoer for å dumpe bestemte nettleserprofiler, laste opp filer, åpne URL-er, vise kataloginnhold og mer.

Noen .NET-eksempler er signert med et sertifikat tilskrevet «Aoteng Industrial Automation (Langfang) Co., Ltd)» som analytikere mener sannsynligvis ble stjålet; tidlige eksempler har et kompileringstidsstempel 28. juni 2024.

I motsetning til PowerShell-versjonen oppretter ikke de analyserte .NET-varianteksemplene konsekvent en planlagt oppgave for vedvarende drift.

Utvidet kommandosett observert i .NET-eksemplene inkluderer:

  • Skjermbilde
  • OppdaterChrome (eksfiltrer en spesifikk Chrome-profil)
  • FileMap (liste innholdet i en katalog)
  • RunUtility (ikke implementert i observerte eksempler ennå)
  • EnterpriseChromeProfiles (opplist Chrome-profiler)
  • UploadFile (eksfiltrer filer/artefakter og legitimasjon)
  • OpenURL (start en URL i Chrome)
  • Avinstaller
  • EnterpriseChromeBookmarks (hent bokmerker fra en Chrome-profil)
  • EnterpriseIslandProfiles (opplisting av nettleserprofiler for Island)
  • OppdaterØy (utfiltrer en spesifikk øyprofil)
  • ExfilAlreadyOpenChrome (dump informasjonskapsler fra gjeldende Chrome-profil)

Distribusjon og påvirkning

Det er fortsatt uklart hvem som ble målrettet og hvilken distribusjonsmetoden det var. Bruken av MDM API-er som C2 og det eksplisitte fokuset på bedriftsnettlesere, spesielt Island, som er rettet mot bedriftsdistribusjoner, peker imidlertid sterkt på et kompromiss i forsyningskjeden eller en tredjepartsleverandør som retter seg mot BPO-firmaer (Business Process Outsourcing). BPO-leverandører er attraktive mål fordi stjålne informasjonskapsler for nettleserøkter og profilartefakter kan gi angripere tilgang til en rekke nedstrøms klientmiljøer. Vedvarende tilgang gjennom en leverandørs infrastruktur forsterker virkningen.

Konklusjon

Airstalk viser en bekymringsverdig trend: angripere misbruker pålitelige administrasjonsplattformer for å blande ondsinnet trafikk med legitim administrativ telemetri. For organisasjoner som er avhengige av tredjepartsleverandører eller BPO-tjenester, øker denne teknikken risikoen for at et enkelt kompromiss vil spre seg over mange klientmiljøer betydelig. Årvåkenhet rundt MDM-aktivitet, sertifikatopprinnelse og integriteten til leverandørverktøykjeder er avgjørende for å oppdage og begrense denne trusseltypen.

Trender

Mest sett

Laster inn...