Вредоносное ПО Airstalk
Недавно обнаруженное семейство вредоносных программ, предположительно относящееся к кластеру, расположенному на территории страны (обозначено как CL-STA-1009), распространяется способом, характерным для вторжения в цепочку поставок. Имплант, получивший название Airstalk, использует инфраструктуру управления корпоративными мобильными устройствами (MDM) для сокрытия трафика командно-административного управления (C2) и извлечения артефактов браузера и других конфиденциальных данных со скомпрометированных хостов.
Оглавление
Как угроза скрывается на виду
Airstalk использует API AirWatch (теперь Workspace ONE Unified Endpoint Management) в качестве скрытого канала управления (C2). Вместо использования API для легитимного управления устройствами вредоносная программа использует настраиваемые атрибуты устройств и функции загрузки файлов (BLOB-объектов) для обмена сообщениями с операторами, фактически превращая конечную точку MDM в тайник для обмена данными злоумышленников и загрузки больших объёмов данных.
Две реализации: PowerShell против .NET
Были обнаружены две различные сборки: бэкдор PowerShell и более функциональная версия .NET. Обе реализуют многопоточный протокол C2 и поддерживают операции по краже данных, такие как создание снимков экрана и сбор файлов cookie, истории браузера и закладок. Имеются данные, указывающие на то, что некоторые артефакты были подписаны сертификатом, который, по мнению исследователей, может быть украден.
Вариант PowerShell: поведение и возможности C2
Имплант PowerShell взаимодействует через конечную точку /api/mdm/devices/. При запуске он устанавливает соединение с помощью простого рукопожатия CONNECT/CONNECTED, получает задачи, упакованные как сообщения «ACTIONS», выполняет их и возвращает результаты в сообщениях «RESULT». Когда задача генерирует большой объём выходных данных, Airstalk загружает данные с помощью функции BLOB-объектов API MDM.
Наблюдаемые ДЕЙСТВИЯ, поддерживаемые бэкдором PowerShell, включают:
- Сделайте снимок экрана.
- Извлечь файлы cookie из Google Chrome.
- Вывести список всех пользовательских профилей Chrome.
- Получить закладки для указанного профиля Chrome.
- Собирайте историю посещений для указанного профиля Chrome.
- Перечислить все файлы в каталоге пользователя.
- Удалить себя.
Вариант .NET: расширенные цели и возможности
Сборка .NET расширяет область применения и уровень сложности. Она ориентирована на дополнительные корпоративные браузеры (Microsoft Edge и Island), пытается маскироваться под исполняемый файл AirWatch Helper (AirwatchHelper.exe) и добавляет три дополнительных типа сообщений, используемых для уведомлений о несоответствии версий, вывода отладочной информации и маяков.
Основные отличия и дополнительные особенности варианта .NET:
Использует три выделенных потока выполнения для обработки задач C2, извлечения журналов отладки и отправки периодических маяков на C2.
Поддерживает расширенный набор команд для целенаправленной эксфильтрации и удаленного управления, включая команды для сброса определенных профилей браузера, загрузки файлов, открытия URL-адресов, вывода списка содержимого каталогов и т. д.
Некоторые образцы .NET подписаны сертификатом, приписываемым «Aoteng Industrial Automation (Langfang) Co., Ltd), который, по мнению аналитиков, вероятно, был украден; ранние образцы имеют метку времени компиляции от 28 июня 2024 года.
В отличие от версии PowerShell, проанализированные образцы вариантов .NET не всегда создают запланированную задачу для сохранения.
Расширенный набор команд, обнаруженный в образцах .NET, включает:
- Скриншот
- UpdateChrome (извлечь определенный профиль Chrome)
- FileMap (список содержимого каталога)
- RunUtility (еще не реализовано в наблюдаемых образцах)
- EnterpriseChromeProfiles (перечисление профилей Chrome)
- UploadFile (извлечение файлов/артефактов и учетных данных)
- OpenURL (запуск URL в Chrome)
- Удалить
- EnterpriseChromeBookmarks (извлечение закладок из профиля Chrome)
- EnterpriseIslandProfiles (перечисление профилей браузера Island)
- UpdateIsland (извлечь профиль конкретного острова)
- ExfilAlreadyOpenChrome (дамп файлов cookie из текущего профиля Chrome)
Распространение и воздействие
Атрибуция объекта атаки и точный метод распространения остаются неясными. Однако использование API MDM в качестве командного сервера (C2) и явная ориентация на корпоративные браузеры, в частности Island, предназначенный для корпоративных развертываний, однозначно указывают на взлом цепочки поставок или стороннего поставщика, нацеленный на компании, занимающиеся аутсорсингом бизнес-процессов (BPO). Поставщики BPO являются привлекательными целями, поскольку украденные файлы cookie сеанса браузера и артефакты профиля могут предоставить злоумышленникам доступ к многочисленным клиентским средам нижестоящих инстанций; постоянный доступ через инфраструктуру поставщика усиливает воздействие.
Заключение
Airstalk демонстрирует тревожную тенденцию: злоумышленники злоупотребляют доверенными платформами управления, чтобы совмещать вредоносный трафик с легитимной административной телеметрией. Для организаций, использующих сторонних поставщиков или сервисы BPO, этот метод существенно увеличивает риск каскадного распространения одной компрометации на множество клиентских сред. Для обнаружения и ограничения этого класса угроз крайне важно уделять внимание активности MDM, происхождению сертификатов и целостности цепочек инструментов поставщиков.
