Airstalk मालवेयर

संदिग्ध राष्ट्र-राज्य क्लस्टर (CL-STA-1009 को रूपमा तोकिएको) लाई जिम्मेवार ठहराइएको नयाँ अवलोकन गरिएको मालवेयर परिवार, आपूर्ति-श्रृंखला घुसपैठसँग मिल्दोजुल्दो तरिकाले वितरण गरिएको छ। एयरस्टक नामक इम्प्लान्टले कमाण्ड-एन्ड-कन्ट्रोल (C2) ट्राफिक लुकाउन र सम्झौता गरिएका होस्टहरूबाट ब्राउजर कलाकृतिहरू र अन्य संवेदनशील डेटा बाहिर निकाल्न इन्टरप्राइज मोबाइल उपकरण व्यवस्थापन (MDM) पूर्वाधारको लाभ उठाउँछ।

कसरी खतरा स्पष्ट दृष्टिमा लुकेको छ

एयरस्टल्कले एयरवाच एपीआई (अहिले वर्कस्पेस वन युनिफाइड एन्डपोइन्ट म्यानेजमेन्ट) लाई यसको गोप्य C2 च्यानलको रूपमा पुन: प्रयोग गर्दछ। वैध उपकरण व्यवस्थापनको लागि एपीआई प्रयोग गर्नुको सट्टा, मालवेयरले आफ्ना अपरेटरहरूसँग सन्देशहरू आदानप्रदान गर्न अनुकूलन उपकरण विशेषताहरू र फाइल-अपलोड (ब्लब) सुविधाहरू प्रयोग गर्दछ, प्रभावकारी रूपमा MDM एन्डपोइन्टलाई आक्रमणकारी सञ्चार र ठूला डेटा अपलोडहरूको लागि डेड-ड्रप रिजल्भरमा परिणत गर्दछ।

दुई कार्यान्वयनहरू: PowerShell बनाम .NET

दुई फरक निर्माणहरू अवलोकन गरिएको छ: एउटा PowerShell ब्याकडोर र थप सुविधा सम्पन्न .NET भेरियन्ट। दुवैले बहु-थ्रेडेड C2 प्रोटोकल लागू गर्छन् र स्क्रिनसटहरू खिच्ने र कुकीहरू सङ्कलन गर्ने, ब्राउजिङ इतिहास, र बुकमार्कहरू जस्ता डेटा चोरी कार्यहरूलाई समर्थन गर्छन्। प्रमाणले सुझाव दिन्छ कि केही कलाकृतिहरू प्रमाणपत्रको साथ हस्ताक्षर गरिएको थियो जुन अनुसन्धानकर्ताहरूले चोरी हुन सक्ने सम्भावना मान्छन्।

PowerShell भेरियन्ट: C2 व्यवहार र क्षमताहरू

PowerShell इम्प्लान्टले /api/mdm/devices/ endpoint मार्फत सञ्चार गर्छ। स्टार्टअपमा, यसले साधारण CONNECT/CONNECTED ह्यान्डशेकको साथ सम्पर्क स्थापित गर्छ, 'ACTIONS' सन्देशहरूको रूपमा प्याकेज गरिएका कार्यहरू प्राप्त गर्छ, तिनीहरूलाई कार्यान्वयन गर्छ, र 'RESULT' सन्देशहरू प्रयोग गरेर परिणामहरू फर्काउँछ। जब कुनै कार्यले ठूलो आउटपुट उत्पादन गर्छ, Airstalk ले MDM API को ब्लब सुविधा प्रयोग गरेर डेटा अपलोड गर्छ।

PowerShell ब्याकडोर द्वारा समर्थित अवलोकन गरिएका कार्यहरू समावेश छन्:

• स्क्रिनसट लिनुहोस्।
• गुगल क्रोमबाट कुकीहरू पुन: प्राप्त गर्नुहोस्।
• सबै प्रयोगकर्ता क्रोम प्रोफाइलहरू सूचीबद्ध गर्नुहोस्।
• निर्दिष्ट क्रोम प्रोफाइलको लागि बुकमार्कहरू प्राप्त गर्नुहोस्।
• निर्दिष्ट क्रोम प्रोफाइलको लागि ब्राउजिङ इतिहास सङ्कलन गर्नुहोस्।
• प्रयोगकर्ता निर्देशिका अन्तर्गत सबै फाइलहरूको गणना गर्नुहोस्।
• आफैँ अनइन्स्टल गर्नुहोस्।

.NET भेरियन्ट: परिष्कृत लक्ष्य र क्षमताहरू

.NET निर्माणले दायरा र परिष्कारलाई विस्तार गर्दछ। यसले थप इन्टरप्राइज ब्राउजरहरू (माइक्रोसफ्ट एज र आइल्याण्ड) लाई लक्षित गर्दछ, एयरवाच हेल्पर एक्जिक्युटेबल (AirwatchHelper.exe) को रूपमा लुकाउने प्रयास गर्दछ, र संस्करण बेमेल सूचनाहरू, डिबगिङ आउटपुट, र बीकनिङको लागि प्रयोग गरिने तीन अतिरिक्त सन्देश प्रकारहरू थप्छ।

.NET भेरियन्टको मुख्य भिन्नता र अतिरिक्त व्यवहार:

C2 कार्यहरू ह्यान्डल गर्न, डिबग लगहरू एक्सफिल्ट्रेट गर्न, र C2 मा आवधिक बीकनहरू प्रदर्शन गर्न तीन समर्पित कार्यान्वयन थ्रेडहरू प्रयोग गर्दछ।

लक्षित एक्सफिल्ट्रेसन र रिमोट कन्ट्रोलको लागि फराकिलो आदेश सेटलाई समर्थन गर्दछ, जसमा विशिष्ट ब्राउजर प्रोफाइलहरू डम्प गर्ने, फाइलहरू अपलोड गर्ने, URL हरू खोल्ने, निर्देशिका सामग्रीहरू सूचीबद्ध गर्ने, र थप कुराहरू समावेश छन्।

केही .NET नमूनाहरूमा 'Aoteng Industrial Automation (Langfang) Co., Ltd)' को प्रमाणपत्रको साथ हस्ताक्षर गरिएको छ जुन विश्लेषकहरूले चोरी भएको हुन सक्ने विश्वास गर्छन्; प्रारम्भिक नमूनाहरूमा जुन २८, २०२४ को संकलन टाइमस्ट्याम्प छ।

PowerShell संस्करणको विपरीत, विश्लेषण गरिएका .NET भेरियन्ट नमूनाहरूले निरन्तरताको लागि निर्धारित कार्य सिर्जना गर्दैनन्।

.NET नमूनाहरूमा अवलोकन गरिएको विस्तारित आदेश सेटमा समावेश छ:

• स्क्रिनशटहरू
• अपडेट क्रोम (विशिष्ट क्रोम प्रोफाइल एक्सफिल्ट्रेट गर्नुहोस्)
• फाइलम्याप (डाइरेक्टरीको सामग्रीहरूको सूची)
• रनयुटिलिटी (अहिलेसम्म अवलोकन गरिएका नमूनाहरूमा लागू गरिएको छैन)
• EnterpriseChromeProfiles (Chrome प्रोफाइलहरूको गणना गर्नुहोस्)
• अपलोडफाइल (फाइलहरू/कलाकृतिहरू र प्रमाणपत्रहरू एक्सफिल्ट्रेट गर्नुहोस्)
• OpenURL (क्रोममा URL सुरु गर्नुहोस्)
• स्थापना रद्द गर्नुहोस्
• EnterpriseChromeBookmarks (Chrome प्रोफाइलबाट बुकमार्कहरू पुन: प्राप्त गर्नुहोस्)
• इन्टरप्राइजआइल्याण्डप्रोफाइलहरू (आइल्याण्ड ब्राउजर प्रोफाइलहरू गणना गर्नुहोस्)
• अपडेट टापु (विशिष्ट टापु प्रोफाइल निकाल्नुहोस्)
• ExfilAlreadyOpenChrome (हालको Chrome प्रोफाइलबाट कुकीहरू डम्प गर्नुहोस्)

वितरण र प्रभाव

कसलाई लक्षित गरिएको थियो र सही वितरण विधिको श्रेय अझै अस्पष्ट छ। यद्यपि, C2 को रूपमा MDM API को प्रयोग र उद्यम ब्राउजरहरूमा स्पष्ट ध्यान केन्द्रित गरिएको छ, विशेष गरी आइल्याण्ड, जुन कर्पोरेट तैनातीहरूमा लक्षित छ, यसले व्यापार प्रक्रिया आउटसोर्सिङ (BPO) फर्महरूलाई लक्षित गर्ने आपूर्ति-श्रृंखला वा तेस्रो-पक्ष विक्रेता सम्झौतालाई जोड दिन्छ। BPO प्रदायकहरू आकर्षक लक्ष्य हुन् किनभने चोरी गरिएको ब्राउजर सत्र कुकीहरू र प्रोफाइल कलाकृतिहरूले आक्रमणकारीहरूलाई असंख्य डाउनस्ट्रीम क्लाइन्ट वातावरणमा पहुँच प्रदान गर्न सक्छन्; विक्रेताको पूर्वाधार मार्फत निरन्तर पहुँचले प्रभावलाई बढाउँछ।

निष्कर्ष

एयरस्टल्कले चिन्ताजनक प्रवृत्ति प्रदर्शन गर्दछ: आक्रमणकारीहरूले विश्वसनीय व्यवस्थापन प्लेटफर्महरूको दुरुपयोग गर्दै वैध प्रशासनिक टेलिमेट्रीसँग दुर्भावनापूर्ण ट्राफिक मिसाउँछन्। तेस्रो-पक्ष विक्रेताहरू वा BPO सेवाहरूमा भर पर्ने संस्थाहरूका लागि, यो प्रविधिले धेरै ग्राहक वातावरणहरूमा एकल सम्झौता हुने जोखिमलाई भौतिक रूपमा बढाउँछ। यस वर्गको खतरा पत्ता लगाउन र सीमित गर्न MDM गतिविधि, प्रमाणपत्र उत्पत्ति, र विक्रेता उपकरण चेनहरूको अखण्डता वरिपरि सतर्कता आवश्यक छ।