ਏਅਰਸਟਾਲਕ ਮਾਲਵੇਅਰ

ਇੱਕ ਨਵੇਂ ਦੇਖੇ ਗਏ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ, ਜੋ ਕਿ ਇੱਕ ਸ਼ੱਕੀ ਨੇਸ਼ਨ-ਸਟੇਟ ਕਲੱਸਟਰ (CL-STA-1009 ਵਜੋਂ ਮਨੋਨੀਤ) ਨਾਲ ਸੰਬੰਧਿਤ ਹੈ, ਨੂੰ ਸਪਲਾਈ-ਚੇਨ ਘੁਸਪੈਠ ਦੇ ਅਨੁਕੂਲ ਤਰੀਕੇ ਨਾਲ ਵੰਡਿਆ ਜਾ ਰਿਹਾ ਹੈ। ਏਅਰਸਟਾਲਕ ਨਾਮਕ ਇਹ ਇਮਪਲਾਂਟ, ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਟ੍ਰੈਫਿਕ ਨੂੰ ਛੁਪਾਉਣ ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਹੋਸਟਾਂ ਤੋਂ ਬ੍ਰਾਊਜ਼ਰ ਆਰਟੀਫੈਕਟਸ ਅਤੇ ਹੋਰ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਕੱਢਣ ਲਈ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਮੋਬਾਈਲ ਡਿਵਾਈਸ ਮੈਨੇਜਮੈਂਟ (MDM) ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ।

ਖ਼ਤਰਾ ਸਾਦੀ ਨਜ਼ਰ ਵਿੱਚ ਕਿਵੇਂ ਛੁਪਦਾ ਹੈ

ਏਅਰਸਟਾਲਕ ਏਅਰਵਾਚ API (ਹੁਣ ਵਰਕਸਪੇਸ ਵਨ ਯੂਨੀਫਾਈਡ ਐਂਡਪੁਆਇੰਟ ਮੈਨੇਜਮੈਂਟ) ਨੂੰ ਆਪਣੇ ਗੁਪਤ C2 ਚੈਨਲ ਵਜੋਂ ਦੁਬਾਰਾ ਪੇਸ਼ ਕਰਦਾ ਹੈ। ਵੈਧ ਡਿਵਾਈਸ ਪ੍ਰਬੰਧਨ ਲਈ API ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਬਜਾਏ, ਮਾਲਵੇਅਰ ਆਪਣੇ ਆਪਰੇਟਰਾਂ ਨਾਲ ਸੁਨੇਹਿਆਂ ਦਾ ਆਦਾਨ-ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਕਸਟਮ ਡਿਵਾਈਸ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਅਤੇ ਫਾਈਲ-ਅਪਲੋਡ (ਬਲੌਬ) ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਹਮਲਾਵਰ ਸੰਚਾਰਾਂ ਅਤੇ ਵੱਡੇ ਡੇਟਾ ਅਪਲੋਡਾਂ ਲਈ ਇੱਕ MDM ਐਂਡਪੁਆਇੰਟ ਨੂੰ ਡੈੱਡ-ਡ੍ਰੌਪ ਰੈਜ਼ੋਲਵਰ ਵਿੱਚ ਬਦਲਦਾ ਹੈ।

ਦੋ ਲਾਗੂਕਰਨ: ਪਾਵਰਸ਼ੈਲ ਬਨਾਮ .NET

ਦੋ ਵੱਖ-ਵੱਖ ਬਿਲਡ ਦੇਖੇ ਗਏ ਹਨ: ਇੱਕ PowerShell ਬੈਕਡੋਰ ਅਤੇ ਇੱਕ ਹੋਰ ਵਿਸ਼ੇਸ਼ਤਾ-ਅਮੀਰ .NET ਵੇਰੀਐਂਟ। ਦੋਵੇਂ ਇੱਕ ਮਲਟੀ-ਥ੍ਰੈੱਡਡ C2 ਪ੍ਰੋਟੋਕੋਲ ਲਾਗੂ ਕਰਦੇ ਹਨ ਅਤੇ ਡੇਟਾ ਚੋਰੀ ਦੇ ਕਾਰਜਾਂ ਦਾ ਸਮਰਥਨ ਕਰਦੇ ਹਨ, ਜਿਵੇਂ ਕਿ ਸਕ੍ਰੀਨਸ਼ਾਟ ਕੈਪਚਰ ਕਰਨਾ ਅਤੇ ਕੂਕੀਜ਼ ਦੀ ਕਟਾਈ, ਬ੍ਰਾਊਜ਼ਿੰਗ ਇਤਿਹਾਸ ਅਤੇ ਬੁੱਕਮਾਰਕਸ। ਸਬੂਤ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ ਕਿ ਕੁਝ ਕਲਾਕ੍ਰਿਤੀਆਂ ਨੂੰ ਇੱਕ ਸਰਟੀਫਿਕੇਟ ਨਾਲ ਦਸਤਖਤ ਕੀਤੇ ਗਏ ਸਨ ਜਿਸਨੂੰ ਖੋਜਕਰਤਾ ਚੋਰੀ ਹੋਣ ਦੀ ਸੰਭਾਵਨਾ ਮੰਨਦੇ ਹਨ।

ਪਾਵਰਸ਼ੈਲ ਵੇਰੀਐਂਟ: C2 ਵਿਵਹਾਰ ਅਤੇ ਸਮਰੱਥਾਵਾਂ

ਪਾਵਰਸ਼ੈਲ ਇਮਪਲਾਂਟ /api/mdm/devices/ ਐਂਡਪੁਆਇੰਟ ਰਾਹੀਂ ਸੰਚਾਰ ਕਰਦਾ ਹੈ। ਸਟਾਰਟਅੱਪ 'ਤੇ, ਇਹ ਇੱਕ ਸਧਾਰਨ CONNECT/CONNECTED ਹੈਂਡਸ਼ੇਕ ਨਾਲ ਸੰਪਰਕ ਸਥਾਪਿਤ ਕਰਦਾ ਹੈ, 'ACTIONS' ਸੁਨੇਹਿਆਂ ਦੇ ਰੂਪ ਵਿੱਚ ਪੈਕ ਕੀਤੇ ਕਾਰਜਾਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ, ਉਹਨਾਂ ਨੂੰ ਚਲਾਉਂਦਾ ਹੈ, ਅਤੇ 'RESULT' ਸੁਨੇਹਿਆਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਨਤੀਜੇ ਵਾਪਸ ਕਰਦਾ ਹੈ। ਜਦੋਂ ਕੋਈ ਕਾਰਜ ਵੱਡਾ ਆਉਟਪੁੱਟ ਪੈਦਾ ਕਰਦਾ ਹੈ, ਤਾਂ Airstalk MDM API ਦੇ ਬਲੌਬ ਵਿਸ਼ੇਸ਼ਤਾ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਡੇਟਾ ਅਪਲੋਡ ਕਰਦਾ ਹੈ।

ਪਾਵਰਸ਼ੈਲ ਬੈਕਡੋਰ ਦੁਆਰਾ ਸਮਰਥਿਤ ਨਿਰੀਖਣ ਕੀਤੀਆਂ ਕਾਰਵਾਈਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਇੱਕ ਸਕ੍ਰੀਨਸ਼ੌਟ ਲਓ।
• ਗੂਗਲ ਕਰੋਮ ਤੋਂ ਕੂਕੀਜ਼ ਪ੍ਰਾਪਤ ਕਰੋ।
• ਸਾਰੇ ਉਪਭੋਗਤਾ Chrome ਪ੍ਰੋਫਾਈਲਾਂ ਦੀ ਸੂਚੀ ਬਣਾਓ।
• ਇੱਕ ਨਿਰਧਾਰਤ Chrome ਪ੍ਰੋਫਾਈਲ ਲਈ ਬੁੱਕਮਾਰਕ ਪ੍ਰਾਪਤ ਕਰੋ।
• ਕਿਸੇ ਖਾਸ Chrome ਪ੍ਰੋਫਾਈਲ ਲਈ ਬ੍ਰਾਊਜ਼ਿੰਗ ਇਤਿਹਾਸ ਇਕੱਠਾ ਕਰੋ।
• ਯੂਜ਼ਰ ਡਾਇਰੈਕਟਰੀ ਦੇ ਅਧੀਨ ਸਾਰੀਆਂ ਫਾਈਲਾਂ ਦੀ ਗਿਣਤੀ ਕਰੋ।
• ਆਪਣੇ ਆਪ ਨੂੰ ਅਣਇੰਸਟੌਲ ਕਰੋ।

.NET ਰੂਪ: ਵਧੇ ਹੋਏ ਟੀਚੇ ਅਤੇ ਸਮਰੱਥਾਵਾਂ

.NET ਬਿਲਡ ਦਾਇਰੇ ਅਤੇ ਸੂਝ-ਬੂਝ ਨੂੰ ਵਧਾਉਂਦਾ ਹੈ। ਇਹ ਵਾਧੂ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਬ੍ਰਾਊਜ਼ਰਾਂ (ਮਾਈਕ੍ਰੋਸਾਫਟ ਐਜ ਅਤੇ ਆਈਲੈਂਡ) ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ, ਇੱਕ ਏਅਰਵਾਚ ਸਹਾਇਕ ਐਗਜ਼ੀਕਿਊਟੇਬਲ (AirwatchHelper.exe) ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਬਦਲਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ, ਅਤੇ ਵਰਜਨ ਮੇਲ ਨਾ ਖਾਣ ਵਾਲੀਆਂ ਸੂਚਨਾਵਾਂ, ਡੀਬੱਗਿੰਗ ਆਉਟਪੁੱਟ, ਅਤੇ ਬੀਕਨਿੰਗ ਲਈ ਵਰਤੇ ਜਾਂਦੇ ਤਿੰਨ ਵਾਧੂ ਸੰਦੇਸ਼ ਕਿਸਮਾਂ ਨੂੰ ਜੋੜਦਾ ਹੈ।

.NET ਵੇਰੀਐਂਟ ਦੇ ਮੁੱਖ ਅੰਤਰ ਅਤੇ ਵਾਧੂ ਵਿਵਹਾਰ:

C2 ਕਾਰਜਾਂ ਨੂੰ ਸੰਭਾਲਣ, ਡੀਬੱਗ ਲੌਗਸ ਨੂੰ ਐਕਸਫਿਲਟ੍ਰੇਟ ਕਰਨ, ਅਤੇ C2 ਵਿੱਚ ਆਵਰਤੀ ਬੀਕਨ ਕਰਨ ਲਈ ਤਿੰਨ ਸਮਰਪਿਤ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਥ੍ਰੈੱਡਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।

ਟਾਰਗੇਟਡ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਅਤੇ ਰਿਮੋਟ ਕੰਟਰੋਲ ਲਈ ਇੱਕ ਵਿਸ਼ਾਲ ਕਮਾਂਡ ਸੈੱਟ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਖਾਸ ਬ੍ਰਾਊਜ਼ਰ ਪ੍ਰੋਫਾਈਲਾਂ ਨੂੰ ਡੰਪ ਕਰਨ, ਫਾਈਲਾਂ ਅਪਲੋਡ ਕਰਨ, URL ਖੋਲ੍ਹਣ, ਡਾਇਰੈਕਟਰੀ ਸਮੱਗਰੀ ਦੀ ਸੂਚੀ ਬਣਾਉਣ ਅਤੇ ਹੋਰ ਬਹੁਤ ਕੁਝ ਸ਼ਾਮਲ ਹੈ।

ਕੁਝ .NET ਨਮੂਨਿਆਂ 'Aoteng Industrial Automation (Langfang) Co., Ltd)' ਦੇ ਸਰਟੀਫਿਕੇਟ ਨਾਲ ਦਸਤਖਤ ਕੀਤੇ ਗਏ ਹਨ ਜਿਸ ਬਾਰੇ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਦਾ ਮੰਨਣਾ ਹੈ ਕਿ ਚੋਰੀ ਹੋ ਗਿਆ ਸੀ; ਸ਼ੁਰੂਆਤੀ ਨਮੂਨਿਆਂ 'ਤੇ 28 ਜੂਨ, 2024 ਦਾ ਸੰਕਲਨ ਟਾਈਮਸਟੈਂਪ ਹੈ।

PowerShell ਸੰਸਕਰਣ ਦੇ ਉਲਟ, ਵਿਸ਼ਲੇਸ਼ਣ ਕੀਤੇ ਗਏ .NET ਵੇਰੀਐਂਟ ਨਮੂਨੇ ਨਿਰੰਤਰਤਾ ਲਈ ਇੱਕ ਅਨੁਸੂਚਿਤ ਕਾਰਜ ਨਹੀਂ ਬਣਾਉਂਦੇ ਹਨ।

.NET ਸੈਂਪਲਾਂ ਵਿੱਚ ਦੇਖੇ ਗਏ ਵਿਸਤ੍ਰਿਤ ਕਮਾਂਡ ਸੈੱਟ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਸਕ੍ਰੀਨਸ਼ੌਟ
• UpdateChrome (ਇੱਕ ਖਾਸ Chrome ਪ੍ਰੋਫਾਈਲ ਨੂੰ ਐਕਸਫਿਲਟ ਕਰੋ)
• ਫਾਈਲਮੈਪ (ਇੱਕ ਡਾਇਰੈਕਟਰੀ ਦੀ ਸਮੱਗਰੀ ਦੀ ਸੂਚੀ)
• ਰਨਯੂਟੀਲਿਟੀ (ਅਜੇ ਤੱਕ ਦੇਖੇ ਗਏ ਸੈਂਪਲਾਂ ਵਿੱਚ ਲਾਗੂ ਨਹੀਂ ਕੀਤੀ ਗਈ)
• ਐਂਟਰਪ੍ਰਾਈਜ਼ ਕਰੋਮਪ੍ਰੋਫਾਈਲ (Chrome ਪ੍ਰੋਫਾਈਲਾਂ ਦੀ ਗਿਣਤੀ ਕਰੋ)
• ਅੱਪਲੋਡਫਾਈਲ (ਫਾਈਲਾਂ/ਕਲਾਕਾਰੀਆਂ ਅਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਬਾਹਰ ਕੱਢੋ)
• ਓਪਨਯੂਆਰਐਲ (ਕ੍ਰੋਮ ਵਿੱਚ ਇੱਕ ਯੂਆਰਐਲ ਲਾਂਚ ਕਰੋ)
• ਅਣਇੰਸਟੌਲ ਕਰੋ
• ਐਂਟਰਪ੍ਰਾਈਜ਼ ਕਰੋਮਬੁੱਕਮਾਰਕਸ (ਇੱਕ Chrome ਪ੍ਰੋਫਾਈਲ ਤੋਂ ਬੁੱਕਮਾਰਕਸ ਪ੍ਰਾਪਤ ਕਰੋ)
• ਐਂਟਰਪ੍ਰਾਈਜ਼ ਆਈਲੈਂਡਪ੍ਰੋਫਾਈਲ (ਆਈਲੈਂਡ ਬ੍ਰਾਊਜ਼ਰ ਪ੍ਰੋਫਾਈਲਾਂ ਦੀ ਗਿਣਤੀ ਕਰੋ)
• ਆਈਲੈਂਡ ਅੱਪਡੇਟ ਕਰੋ (ਇੱਕ ਖਾਸ ਆਈਲੈਂਡ ਪ੍ਰੋਫਾਈਲ ਨੂੰ ਬਾਹਰ ਕੱਢੋ)
• ExfilAlreadyOpenChrome (ਮੌਜੂਦਾ Chrome ਪ੍ਰੋਫਾਈਲ ਤੋਂ ਕੂਕੀਜ਼ ਡੰਪ ਕਰੋ)

ਵੰਡ ਅਤੇ ਪ੍ਰਭਾਵ

ਕਿਸਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਗਿਆ ਸੀ ਅਤੇ ਸਹੀ ਵੰਡ ਵਿਧੀ ਅਜੇ ਵੀ ਅਸਪਸ਼ਟ ਹੈ। ਹਾਲਾਂਕਿ, MDM APIs ਦੀ C2 ਵਜੋਂ ਵਰਤੋਂ ਅਤੇ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਬ੍ਰਾਊਜ਼ਰਾਂ, ਖਾਸ ਕਰਕੇ ਆਈਲੈਂਡ, ਜੋ ਕਿ ਕਾਰਪੋਰੇਟ ਤੈਨਾਤੀਆਂ 'ਤੇ ਉਦੇਸ਼ ਹੈ, 'ਤੇ ਸਪੱਸ਼ਟ ਫੋਕਸ, ਕਾਰੋਬਾਰੀ ਪ੍ਰਕਿਰਿਆ ਆਊਟਸੋਰਸਿੰਗ (BPO) ਫਰਮਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੀ ਸਪਲਾਈ-ਚੇਨ ਜਾਂ ਤੀਜੀ-ਧਿਰ ਵਿਕਰੇਤਾ ਸਮਝੌਤੇ ਵੱਲ ਜ਼ੋਰਦਾਰ ਇਸ਼ਾਰਾ ਕਰਦਾ ਹੈ। BPO ਪ੍ਰਦਾਤਾ ਆਕਰਸ਼ਕ ਨਿਸ਼ਾਨਾ ਹਨ ਕਿਉਂਕਿ ਚੋਰੀ ਹੋਏ ਬ੍ਰਾਊਜ਼ਰ ਸੈਸ਼ਨ ਕੂਕੀਜ਼ ਅਤੇ ਪ੍ਰੋਫਾਈਲ ਆਰਟੀਫੈਕਟ ਹਮਲਾਵਰਾਂ ਨੂੰ ਕਈ ਡਾਊਨਸਟ੍ਰੀਮ ਕਲਾਇੰਟ ਵਾਤਾਵਰਣਾਂ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕਰ ਸਕਦੇ ਹਨ; ਇੱਕ ਵਿਕਰੇਤਾ ਦੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੁਆਰਾ ਨਿਰੰਤਰ ਪਹੁੰਚ ਪ੍ਰਭਾਵ ਨੂੰ ਵਧਾਉਂਦੀ ਹੈ।

ਸਿੱਟਾ

ਏਅਰਸਟਾਲਕ ਇੱਕ ਚਿੰਤਾਜਨਕ ਰੁਝਾਨ ਦਰਸਾਉਂਦਾ ਹੈ: ਹਮਲਾਵਰ ਭਰੋਸੇਯੋਗ ਪ੍ਰਬੰਧਨ ਪਲੇਟਫਾਰਮਾਂ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਖਤਰਨਾਕ ਟ੍ਰੈਫਿਕ ਨੂੰ ਜਾਇਜ਼ ਪ੍ਰਸ਼ਾਸਕੀ ਟੈਲੀਮੈਟਰੀ ਨਾਲ ਮਿਲਾਉਂਦੇ ਹਨ। ਉਹਨਾਂ ਸੰਗਠਨਾਂ ਲਈ ਜੋ ਤੀਜੀ-ਧਿਰ ਵਿਕਰੇਤਾਵਾਂ ਜਾਂ BPO ਸੇਵਾਵਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ, ਇਹ ਤਕਨੀਕ ਇਸ ਜੋਖਮ ਨੂੰ ਵਧਾਉਂਦੀ ਹੈ ਕਿ ਇੱਕ ਸਿੰਗਲ ਸਮਝੌਤਾ ਕਈ ਕਲਾਇੰਟ ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ ਫੈਲ ਜਾਵੇਗਾ। ਇਸ ਸ਼੍ਰੇਣੀ ਦੇ ਖਤਰੇ ਦਾ ਪਤਾ ਲਗਾਉਣ ਅਤੇ ਸੀਮਤ ਕਰਨ ਲਈ MDM ਗਤੀਵਿਧੀ, ਸਰਟੀਫਿਕੇਟ ਉਤਪਤੀ, ਅਤੇ ਵਿਕਰੇਤਾ ਟੂਲਚੇਨਾਂ ਦੀ ਇਕਸਾਰਤਾ ਦੇ ਆਲੇ-ਦੁਆਲੇ ਚੌਕਸੀ ਜ਼ਰੂਰੀ ਹੈ।