Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Malware Airstalk

Malware Airstalk

Do Mezo w Złośliwe oprogramowanie, Zaawansowane trwałe zagrożenie (APT)
Przetłumacz na:

Nowo zaobserwowana rodzina złośliwego oprogramowania, przypisywana do podejrzewanego klastra państwowego (oznaczonego jako CL-STA-1009), jest rozpowszechniana w sposób zgodny z włamaniem do łańcucha dostaw. Implant o nazwie Airstalk wykorzystuje infrastrukturę zarządzania urządzeniami mobilnymi (MDM) w przedsiębiorstwie, aby ukryć ruch w systemie Command-and-Control (C2) oraz wykraść artefakty przeglądarek i inne poufne dane z zainfekowanych hostów.

Jak zagrożenie kryje się na widoku

Airstalk wykorzystuje API AirWatch (obecnie Workspace ONE Unified Endpoint Management) jako swój ukryty kanał C2. Zamiast używać API do legalnego zarządzania urządzeniami, złośliwe oprogramowanie wykorzystuje niestandardowe atrybuty urządzeń i funkcje przesyłania plików (blob) do wymiany wiadomości z operatorami, skutecznie przekształcając punkt końcowy MDM w rozwiązanie typu dead-drop dla komunikacji atakujących i przesyłania dużych ilości danych.

Dwie implementacje: PowerShell kontra .NET

Zaobserwowano dwie różne kompilacje: backdoor w programie PowerShell i bogatszą w funkcje wersję .NET. Obie implementują wielowątkowy protokół C2 i obsługują operacje kradzieży danych, takie jak przechwytywanie zrzutów ekranu i gromadzenie plików cookie, historii przeglądania i zakładek. Dowody sugerują, że niektóre artefakty zostały podpisane certyfikatem, który zdaniem badaczy prawdopodobnie został skradziony.

Wariant programu PowerShell: zachowanie i możliwości C2

Implant PowerShell komunikuje się za pośrednictwem punktu końcowego /api/mdm/devices/. Po uruchomieniu nawiązuje kontakt za pomocą prostego uzgadniania CONNECT/CONNECTED, odbiera zadania spakowane jako komunikaty „ACTIONS”, wykonuje je i zwraca wyniki za pomocą komunikatów „RESULT”. Gdy zadanie generuje duże dane wyjściowe, Airstalk przesyła je za pomocą funkcji blob interfejsu API MDM.

Zaobserwowane DZIAŁANIA obsługiwane przez backdoor programu PowerShell obejmują:

  • Zrób zrzut ekranu.
  • Pobierz pliki cookie z przeglądarki Google Chrome.
  • Wyświetl listę wszystkich profili użytkowników Chrome.
  • Pobierz zakładki dla określonego profilu Chrome.
  • Zbierz historię przeglądania dla określonego profilu Chrome.
  • Wypisz wszystkie pliki w katalogu użytkownika.
  • Odinstaluje się sam.

Wariant .NET: ulepszone cele i możliwości

Kompilacja .NET rozszerza zakres i wyrafinowanie. Jest przeznaczona dla dodatkowych przeglądarek korporacyjnych (Microsoft Edge i Island), próbuje podszywać się pod plik wykonywalny pomocniczy AirWatch (AirwatchHelper.exe) i dodaje trzy dodatkowe typy komunikatów używanych do powiadomień o niezgodności wersji, debugowania danych wyjściowych i sygnalizacji.

Główne różnice i dodatkowe zachowania wariantu .NET:

Używa trzech dedykowanych wątków wykonawczych do obsługi zadań C2, eksfiltracji dzienników debugowania i okresowego wysyłania sygnałów do C2.

Obsługuje szerszy zestaw poleceń umożliwiających ukierunkowaną eksfiltrację i zdalne sterowanie, w tym polecenia służące do zrzucania określonych profili przeglądarek, przesyłania plików, otwierania adresów URL, wyświetlania listy zawartości katalogów i wiele innych.

Niektóre próbki .NET są podpisane certyfikatem przypisywanym do „Aoteng Industrial Automation (Langfang) Co., Ltd”), który zdaniem analityków został najprawdopodobniej skradziony; wczesne próbki mają znacznik czasu kompilacji z datą 28 czerwca 2024 r.

W przeciwieństwie do wersji PowerShell, analizowane przykłady wariantów .NET nie tworzą konsekwentnie zaplanowanego zadania na potrzeby trwałości.

Rozszerzony zestaw poleceń zaobserwowany w przykładach .NET obejmuje:

  • Zrzut ekranu
  • UpdateChrome (usunięcie określonego profilu Chrome)
  • FileMap (wyświetla zawartość katalogu)
  • RunUtility (jeszcze nie zaimplementowane w obserwowanych próbkach)
  • EnterpriseChromeProfiles (wylicza profile Chrome)
  • UploadFile (eksfiltracja plików/artefaktów i danych uwierzytelniających)
  • OpenURL (uruchom adres URL w Chrome)
  • Odinstaluj
  • EnterpriseChromeBookmarks (pobieranie zakładek z profilu Chrome)
  • EnterpriseIslandProfiles (wylicza profile przeglądarek Island)
  • UpdateIsland (eksfiltracja określonego profilu wyspy)
  • ExfilAlreadyOpenChrome (usuwa pliki cookie z bieżącego profilu Chrome)

Dystrybucja i wpływ

Identyfikacja celu ataku i dokładna metoda dystrybucji pozostają niejasne. Jednakże wykorzystanie interfejsów API MDM jako C2 (Corporate-in-the-Corrier) oraz wyraźne skupienie się na przeglądarkach korporacyjnych, w szczególności na platformie Island, która jest przeznaczona do wdrożeń korporacyjnych, zdecydowanie wskazują na zagrożenie łańcucha dostaw lub dostawcy zewnętrznego, skierowane do firm outsourcingu procesów biznesowych (BPO). Dostawcy BPO są atrakcyjnym celem, ponieważ skradzione pliki cookie sesji przeglądarki i artefakty profili mogą zapewnić atakującym dostęp do wielu środowisk klienckich niższego szczebla; trwały dostęp za pośrednictwem infrastruktury dostawcy wzmacnia skutki ataku.

Wniosek

Airstalk ilustruje niepokojący trend: atakujący wykorzystują zaufane platformy zarządzania, aby łączyć złośliwy ruch z legalną telemetrią administracyjną. W organizacjach korzystających z usług zewnętrznych dostawców lub usług BPO, technika ta znacząco zwiększa ryzyko, że pojedyncze naruszenie bezpieczeństwa rozprzestrzeni się na wiele środowisk klienckich. Czujność w zakresie aktywności MDM, pochodzenia certyfikatów i integralności łańcuchów narzędzi dostawców jest niezbędna do wykrywania i ograniczania tej klasy zagrożeń.

Popularne

Oszustwo związane z zagubieniem przesyłki DHL Express

Phishing, Spam
Badacze cyberbezpieczeństwa ostrzegają przed oszukańczą kampanią phishingową znaną jako oszustwo DHL Express Parcel Misplacement. Te fałszywe e-maile podszywają się pod oficjalne powiadomienia o doręczeniu, rzekomo wysyłane przez DHL. Wiadomości zazwyczaj sugerują, że odbiorca musi zweryfikować swój adres lub potwierdzić doręczenie, aby zapobiec zaginięciu przesyłki. W rzeczywistości te...

Rutynowe czyszczenie nieużywanych kont – oszustwo

Phishing, Spam
Badacze cyberbezpieczeństwa odkryli, że tak zwane e-maile „Rutynowe czyszczenie nieużywanych kont” nie są legalnymi powiadomieniami o konserwacji, a raczej złośliwymi próbami phishingu. Te fałszywe wiadomości mają na celu nakłonienie odbiorców do ujawnienia poufnych danych logowania pod pretekstem kontroli bezpieczeństwa. Nie są one powiązane z żadnymi prawdziwymi ani godnymi zaufania firmami,...

Najczęściej oglądane

Ładowanie...