Malware-ul Airstalk
O familie de programe malware recent observată, atribuită unui cluster suspectat de tip stat-națiune (desemnat CL-STA-1009), este distribuită într-un mod compatibil cu o intruziune în lanțul de aprovizionare. Implantul, numit Airstalk, utilizează infrastructura de gestionare a dispozitivelor mobile (MDM) la nivel de întreprindere pentru a ascunde traficul de comandă și control (C2) și a exfiltra artefactele browserului și alte date sensibile de la gazdele compromise.
Cuprins
Cum se ascunde amenințarea la vedere
Airstalk reutilizează API-ul AirWatch (acum Workspace ONE Unified Endpoint Management) ca și canal C2 secret. În loc să utilizeze API-ul pentru gestionarea legitimă a dispozitivelor, malware-ul utilizează atribute personalizate ale dispozitivelor și funcții de încărcare a fișierelor (blob) pentru a schimba mesaje cu operatorii săi, transformând efectiv un endpoint MDM într-un rezolveror de date fără depunere pentru comunicațiile atacatorilor și încărcările voluminoase de date.
Două implementări: PowerShell vs. .NET
Au fost observate două versiuni distincte: un backdoor PowerShell și o variantă .NET mai bogată în funcții. Ambele implementează un protocol C2 multi-threaded și acceptă operațiuni de furt de date, cum ar fi capturarea de capturi de ecran și colectarea de cookie-uri, istoricul de navigare și marcaje. Dovezile sugerează că unele artefacte au fost semnate cu un certificat pe care cercetătorii îl consideră probabil a fi furat.
Varianta PowerShell: Comportament și capacități C2
Implantul PowerShell comunică prin intermediul punctului final /api/mdm/devices/. La pornire, stabilește contactul cu o simplă strângere de mână CONNECT/CONNECTED, primește sarcini ambalate ca mesaje „ACTIONS”, le execută și returnează rezultatele folosind mesaje „RESULT”. Când o sarcină produce un randament mare, Airstalk încarcă datele folosind funcția blob a API-ului MDM.
ACȚIUNILE observate și suportate de backdoor-ul PowerShell includ:
- Fă o captură de ecran.
- Preluați cookie-urile din Google Chrome.
- Listează toate profilurile utilizatorilor Chrome.
- Obțineți marcaje pentru un anumit profil Chrome.
- Colectează istoricul de navigare pentru un profil Chrome specificat.
- Enumerați toate fișierele din directorul utilizatorului.
- Dezinstalează-te singur.
Varianta .NET: Ținte și capacități îmbunătățite
Versiunea .NET extinde domeniul de aplicare și sofisticarea. Vizează browsere suplimentare pentru întreprinderi (Microsoft Edge și Island), încearcă să se deghizeze într-un executabil de ajutor AirWatch (AirwatchHelper.exe) și adaugă trei tipuri suplimentare de mesaje utilizate pentru notificări privind nepotrivirea versiunilor, depanare și semnalizare.
Diferențe cheie și comportamente suplimentare ale variantei .NET:
Folosește trei fire de execuție dedicate pentru a gestiona sarcinile C2, a exfiltra jurnalele de depanare și a efectua semnale periodice către C2.
Acceptă un set mai larg de comenzi pentru exfiltrare țintită și control de la distanță, inclusiv comenzi pentru descărcarea anumitor profiluri de browser, încărcarea fișierelor, deschiderea adreselor URL, listarea conținutului directoarelor și multe altele.
Unele mostre .NET sunt semnate cu un certificat atribuit „Aoteng Industrial Automation (Langfang) Co., Ltd)” despre care analiștii cred că a fost probabil furat; mostrele timpurii au o marcă temporală de compilare de 28 iunie 2024.
Spre deosebire de versiunea PowerShell, exemplele de variante .NET analizate nu creează în mod constant o sarcină programată pentru persistență.
Setul extins de comenzi observat în exemplele .NET include:
- Captură de ecran
- UpdateChrome (exfiltrarea unui anumit profil Chrome)
- FileMap (listează conținutul unui director)
- RunUtility (neimplementat încă în eșantioanele observate)
- EnterpriseChromeProfiles (enumerarea profilurilor Chrome)
- UploadFile (exfiltrarea fișierelor/artefactelor și a acreditărilor)
- OpenURL (lansează o adresă URL în Chrome)
- Dezinstalare
- Bookmarks pentru Chrome Enterprise (preluare marcaje dintr-un profil Chrome)
- EnterpriseIslandProfiles (enumerarea profilurilor de browser Island)
- UpdateIsland (exfiltrarea unui profil specific al insulei)
- ExfilAlreadyOpenChrome (șterge cookie-urile din profilul Chrome curent)
Distribuție și impact
Atribuirea informațiilor vizate și metoda exactă de distribuție rămâne neclară. Cu toate acestea, utilizarea API-urilor MDM ca C2 și concentrarea explicită pe browserele enterprise, în special Island, care vizează implementările corporative, indică cu tărie o compromitere a lanțului de aprovizionare sau a unui furnizor terț care vizează firmele de externalizare a proceselor de afaceri (BPO). Furnizorii de BPO sunt ținte atractive deoarece cookie-urile furate ale sesiunii de browser și artefactele de profil pot oferi atacatorilor acces la numeroase medii client din aval; accesul persistent prin infrastructura unui furnizor amplifică impactul.
Concluzie
Airstalk demonstrează o tendință îngrijorătoare: atacatorii abuzează de platforme de management de încredere pentru a combina traficul rău intenționat cu telemetrie administrativă legitimă. Pentru organizațiile care se bazează pe furnizori terți sau servicii BPO, această tehnică crește semnificativ riscul ca o singură compromitere să se extindă în mai multe medii client. Vigilența în ceea ce privește activitatea MDM, proveniența certificatelor și integritatea lanțurilor de instrumente ale furnizorilor este esențială pentru a detecta și limita această clasă de amenințări.
