Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware Airstalk-malware

Airstalk-malware

Tegen Mezo in Malware, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

Een recent ontdekte malwarefamilie, toegeschreven aan een vermoedelijk cluster van natiestaten (aangeduid als CL-STA-1009), wordt verspreid op een manier die overeenkomt met een inbraak in de toeleveringsketen. De implementatie, genaamd Airstalk, maakt gebruik van Enterprise Mobile Device Management (MDM)-infrastructuur om Command-and-Control (C2)-verkeer te verbergen en browserartefacten en andere gevoelige gegevens van gecompromitteerde hosts te exfiltreren.

Hoe de dreiging zich in het volle zicht verbergt

Airstalk gebruikt de AirWatch API (nu Workspace ONE Unified Endpoint Management) als zijn geheime C2-kanaal. In plaats van de API te gebruiken voor legitiem apparaatbeheer, gebruikt de malware aangepaste apparaatkenmerken en file-upload (blob)-functies om berichten uit te wisselen met zijn operators. Dit verandert een MDM-eindpunt in feite in een dead-drop resolver voor aanvallerscommunicatie en het uploaden van grote hoeveelheden data.

Twee implementaties: PowerShell versus .NET

Er zijn twee verschillende builds waargenomen: een PowerShell-backdoor en een .NET-variant met meer functionaliteit. Beide implementeren een multithreaded C2-protocol en ondersteunen bewerkingen voor gegevensdiefstal, zoals het maken van screenshots en het verzamelen van cookies, browsegeschiedenis en bladwijzers. Er zijn aanwijzingen dat sommige artefacten waren ondertekend met een certificaat waarvan onderzoekers denken dat het waarschijnlijk gestolen is.

PowerShell-variant: C2-gedrag en -mogelijkheden

Het PowerShell-implantaat communiceert via het eindpunt /api/mdm/devices/. Bij het opstarten maakt het contact met een eenvoudige CONNECT/CONNECTED-handshake, ontvangt taken verpakt als 'ACTIONS'-berichten, voert deze uit en retourneert resultaten met 'RESULT'-berichten. Wanneer een taak grote output produceert, uploadt Airstalk de gegevens met behulp van de blob-functie van de MDM API.

De waargenomen ACTIES die door de PowerShell-backdoor worden ondersteund, zijn onder meer:

  • Maak een screenshot.
  • Cookies ophalen van Google Chrome.
  • Bekijk alle Chrome-gebruikersprofielen.
  • Bladwijzers ophalen voor een bepaald Chrome-profiel.
  • Verzamel de browsegeschiedenis voor een bepaald Chrome-profiel.
  • Maak een lijst van alle bestanden in de gebruikersmap.
  • Zichzelf verwijderen.

De .NET-variant: verbeterde doelen en mogelijkheden

De .NET-build breidt de reikwijdte en verfijning uit. Het richt zich op extra zakelijke browsers (Microsoft Edge en Island), probeert zich voor te doen als een uitvoerbaar AirWatch-hulpprogramma (AirwatchHelper.exe) en voegt drie extra berichttypen toe voor meldingen over versie-mismatches, foutopsporing en beaconing.

Belangrijkste verschillen en aanvullende gedragingen van de .NET-variant:

Gebruikt drie speciale uitvoeringthreads om C2-taken af te handelen, foutopsporingslogboeken te exfiltreren en periodieke bakens naar C2 uit te voeren.

Ondersteunt een bredere set opdrachten voor gerichte exfiltratie en controle op afstand, inclusief opdrachten om specifieke browserprofielen te dumpen, bestanden te uploaden, URL's te openen, de inhoud van mappen weer te geven en meer.

Sommige .NET-voorbeelden zijn ondertekend met een certificaat dat toegeschreven wordt aan 'Aoteng Industrial Automation (Langfang) Co., Ltd)' en dat volgens analisten waarschijnlijk gestolen is. Vroege voorbeelden hebben een compilatietijdstempel van 28 juni 2024.

In tegenstelling tot de PowerShell-versie maken de geanalyseerde .NET-variantvoorbeelden niet consequent een geplande taak voor persistentie aan.

De uitgebreide set opdrachten die in de .NET-voorbeelden te zien is, omvat:

  • Schermafbeelding
  • UpdateChrome (exfiltreer een specifiek Chrome-profiel)
  • FileMap (inhoud van een directory weergeven)
  • RunUtility (nog niet geïmplementeerd in waargenomen samples)
  • EnterpriseChromeProfiles (Chrome-profielen opsommen)
  • UploadFile (exfiltreren van bestanden/artefacten en inloggegevens)
  • OpenURL (een URL openen in Chrome)
  • Verwijderen
  • EnterpriseChromeBookmarks (bladwijzers ophalen uit een Chrome-profiel)
  • EnterpriseIslandProfiles (opsomming van Island-browserprofielen)
  • UpdateIsland (exfiltreer een specifiek eilandprofiel)
  • ExfilAlreadyOpenChrome (cookies dumpen van het huidige Chrome-profiel)

Distributie en impact

De toeschrijving van wie het doelwit was en de exacte distributiemethode blijven onduidelijk. Het gebruik van MDM API's als C2 en de expliciete focus op zakelijke browsers, met name Island, dat gericht is op implementaties binnen bedrijven, wijzen echter sterk op een aanval via de toeleveringsketen of externe leveranciers die zich richt op BPO-bedrijven (Business Process Outsourcing). BPO-providers zijn aantrekkelijke doelwitten omdat gestolen browsersessiecookies en profielartefacten aanvallers toegang kunnen geven tot talloze downstream clientomgevingen; permanente toegang via de infrastructuur van een leverancier versterkt de impact.

Conclusie

Airstalk laat een zorgwekkende trend zien: aanvallers misbruiken vertrouwde beheerplatforms om kwaadaardig verkeer te combineren met legitieme administratieve telemetrie. Voor organisaties die afhankelijk zijn van externe leveranciers of BPO-services, verhoogt deze techniek het risico aanzienlijk dat één enkele inbreuk zich over meerdere clientomgevingen verspreidt. Waakzaamheid rondom MDM-activiteiten, de herkomst van certificaten en de integriteit van leverancierstoolchains is essentieel om dit type bedreiging te detecteren en te beperken.

Trending

Meest bekeken

Bezig met laden...