Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Škodlivý softvér Airstalk

Škodlivý softvér Airstalk

Do roku Mezo v roku Malvér, Pokročilá perzistentná hrozba (APT)
Preložiť do:

Novo pozorovaná rodina škodlivého softvéru, ktorá sa pripisuje podozrivému klastru národných štátov (označenému ako CL-STA-1009), sa šíri spôsobom zodpovedajúcim narušeniu dodávateľského reťazca. Implantát s názvom Airstalk využíva infraštruktúru správy mobilných zariadení (MDM) podniku na skrytie prevádzky systému Command-and-Control (C2) a na získanie artefaktov prehliadača a ďalších citlivých údajov z napadnutých hostiteľov.

Ako sa hrozba skrýva na očiach

Airstalk prehodnocuje rozhranie AirWatch API (teraz Workspace ONE Unified Endpoint Management) ako svoj skrytý kanál C2. Namiesto použitia rozhrania API na legitímnu správu zariadení malvér využíva vlastné atribúty zariadení a funkcie nahrávania súborov (blob) na výmenu správ so svojimi operátormi, čím efektívne mení koncový bod MDM na mŕtvy bod pre komunikáciu útočníka a nahrávanie veľkých dát.

Dve implementácie: PowerShell vs. .NET

Boli pozorované dve odlišné zostavenia: backdoor PowerShellu a variant .NET bohatší na funkcie. Obe implementujú viacvláknový protokol C2 a podporujú operácie krádeže údajov, ako je zachytávanie snímok obrazovky a zhromažďovanie súborov cookie, histórie prehliadania a záložiek. Dôkazy naznačujú, že niektoré artefakty boli podpísané certifikátom, ktorý výskumníci považujú za pravdepodobne ukradnutý.

Variant PowerShellu: Správanie a schopnosti C2

Implantát PowerShell komunikuje prostredníctvom koncového bodu /api/mdm/devices/. Po spustení nadviaže kontakt jednoduchým handshake CONNECT/CONNECTED, prijíma úlohy zabalené ako správy „ACTIONS“, vykoná ich a vráti výsledky pomocou správ „RESULT“. Keď úloha vygeneruje veľký výstup, Airstalk nahrá dáta pomocou funkcie blob rozhrania MDM API.

Medzi pozorované AKCIE podporované zadnými vrátkami PowerShellu patria:

  • Urobte snímku obrazovky.
  • Načítať súbory cookie z prehliadača Google Chrome.
  • Zobraziť všetky používateľské profily prehliadača Chrome.
  • Získať záložky pre zadaný profil prehliadača Chrome.
  • Zhromažďovať históriu prehliadania pre zadaný profil prehliadača Chrome.
  • Vymenovať všetky súbory v adresári používateľa.
  • Odinštalovať sám.

Variant .NET: Vylepšené ciele a možnosti

Zostavenie .NET rozširuje rozsah a sofistikovanosť. Zameriava sa na ďalšie podnikové prehliadače (Microsoft Edge a Island), pokúša sa maskovať ako spustiteľný súbor pomocníka AirWatch (AirwatchHelper.exe) a pridáva tri ďalšie typy správ používané na upozornenia na nezhodu verzií, ladenie výstupu a signalizáciu.

Kľúčové rozdiely a ďalšie správanie variantu .NET:

Používa tri vyhradené vykonávacie vlákna na spracovanie úloh C2, exfiltráciu ladiacich protokolov a vykonávanie pravidelných signálov pre C2.

Podporuje širšiu sadu príkazov pre cielené odhalenie a diaľkové ovládanie vrátane príkazov na výpis konkrétnych profilov prehliadača, nahrávanie súborov, otváranie URL adries, zobrazovanie obsahu adresárov a ďalšie.

Niektoré vzorky .NET sú podpísané certifikátom pripisovaným spoločnosti „Aoteng Industrial Automation (Langfang) Co., Ltd)“, o ktorom analytici predpokladajú, že bol pravdepodobne ukradnutý; skoré vzorky majú časovú pečiatku kompilácie 28. júna 2024.

Na rozdiel od verzie PowerShell, analyzované vzorky variantov .NET nevytvárajú konzistentne naplánovanú úlohu pre perzistenciu.

Rozšírená sada príkazov pozorovaná vo vzorkách .NET zahŕňa:

  • Snímka obrazovky
  • UpdateChrome (exfiltrácia konkrétneho profilu prehliadača Chrome)
  • FileMap (zoznam obsahu adresára)
  • RunUtility (zatiaľ nie je implementované v pozorovaných vzorkách)
  • EnterpriseChromeProfiles (vymenovanie profilov prehliadača Chrome)
  • UploadFile (exfiltrácia súborov/artefaktov a prihlasovacích údajov)
  • OpenURL (spustiť URL v prehliadači Chrome)
  • Odinštalovať
  • EnterpriseChromeBookmarks (načítanie záložiek z profilu Chrome)
  • EnterpriseIslandProfiles (vymenovanie profilov prehliadača Island)
  • UpdateIsland (exfiltrácia profilu z konkrétneho ostrova)
  • ExfilAlreadyOpenChrome (výpis súborov cookie z aktuálneho profilu prehliadača Chrome)

Distribúcia a vplyv

Priradenie cieľovej skupiny a presná metóda distribúcie zostávajú nejasné. Použitie MDM API ako C2 a explicitné zameranie na podnikové prehliadače, najmä Island, ktorý je zameraný na firemné nasadenie, však silne poukazujú na kompromitáciu dodávateľského reťazca alebo zo strany dodávateľa tretej strany zameranú na firmy zaoberajúce sa outsourcingom obchodných procesov (BPO). Poskytovatelia BPO sú atraktívnymi cieľmi, pretože ukradnuté súbory cookie relácie prehliadača a artefakty profilov môžu útočníkom poskytnúť prístup k mnohým klientskym prostrediam v nadväznosti na downstreamové siete; trvalý prístup prostredníctvom infraštruktúry dodávateľa zosilňuje dopad.

Záver

Airstalk demonštruje znepokojujúci trend: útočníci zneužívajú dôveryhodné platformy správy na miešanie škodlivej prevádzky s legitímnou administratívnou telemetriou. Pre organizácie, ktoré sa spoliehajú na dodávateľov tretích strán alebo služby BPO, táto technika výrazne zvyšuje riziko, že jedno narušenie sa rozšíri do mnohých klientskych prostredí. Na odhalenie a obmedzenie tejto triedy hrozieb je nevyhnutná ostražitosť v súvislosti s aktivitou MDM, pôvodom certifikátov a integritou reťazcov nástrojov dodávateľov.

Trendy

Podvod s nesprávnym umiestnením balíka DHL Express

Phishing, Spam
Výskumníci v oblasti kybernetickej bezpečnosti varovali pred klamlivou phishingovou kampaňou známou ako podvod s chybným umiestnením balíka DHL Express. Tieto podvodné e-maily sú maskované ako oficiálne oznámenia o doručení, ktoré údajne odosiela spoločnosť DHL. V správach sa zvyčajne uvádza, že príjemca musí overiť svoju adresu alebo potvrdiť doručenie, aby sa predišlo strate balíka. V...

Podvod s bežným čistením nepoužívaných účtov

Phishing, Spam
Výskumníci v oblasti kybernetickej bezpečnosti zistili, že e-maily s takzvaným „bežným čistením nepoužívaných účtov“ nie sú legitímnymi oznámeniami o údržbe, ale skôr škodlivými phishingovými pokusmi. Tieto podvodné správy sú navrhnuté tak, aby oklamali príjemcov a pod rúškom bezpečnostnej kontroly odhalili citlivé prihlasovacie informácie. Nie sú spojené so žiadnymi skutočnými alebo...

Najviac videné

Načítava...