Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Zlonamerna programska oprema Airstalk

Zlonamerna programska oprema Airstalk

Do leta Mezo leta Zlonamerna programska oprema, Napredna trajna grožnja (APT)
Prevedi v:

Novo opažena družina zlonamerne programske opreme, ki jo pripisujejo domnevnemu grozdu nacionalnih držav (označenem kot CL-STA-1009), se širi na način, ki je skladen z vdorom v dobavno verigo. Vsadek z imenom Airstalk izkorišča infrastrukturo upravljanja mobilnih naprav podjetja (MDM) za prikrivanje prometa sistema Command-and-Control (C2) ter za izsiljevanje artefaktov brskalnika in drugih občutljivih podatkov iz ogroženih gostiteljev.

Kako se grožnja skriva na očeh

Airstalk preureja API AirWatch (zdaj Workspace ONE Unified Endpoint Management) kot svoj prikriti kanal C2. Namesto uporabe API-ja za legitimno upravljanje naprav zlonamerna programska oprema uporablja atribute naprav po meri in funkcije nalaganja datotek (blob) za izmenjavo sporočil s svojimi operaterji, s čimer končno točko MDM učinkovito spremeni v razreševalnik mrtvih točk za komunikacijo napadalcev in nalaganje velikih količin podatkov.

Dve implementaciji: PowerShell proti .NET

Opazili sta dve različni različici: zadnja vrata PowerShell in različica .NET z več funkcijami. Obe izvajata večnitni protokol C2 in podpirata operacije kraje podatkov, kot sta zajemanje posnetkov zaslona in zbiranje piškotkov, zgodovine brskanja in zaznamkov. Dokazi kažejo, da so bili nekateri artefakti podpisani s potrdilom, za katerega raziskovalci menijo, da je verjetno ukradeno.

Različica PowerShell: vedenje in zmogljivosti C2

Vsadek PowerShell komunicira prek končne točke /api/mdm/devices/. Ob zagonu vzpostavi stik s preprostim rokovanjem CONNECT/CONNECTED, prejme naloge, zapakirane kot sporočila »ACTIONS«, jih izvede in vrne rezultate s sporočili »RESULT«. Ko naloga ustvari velik izhod, Airstalk naloži podatke s funkcijo blob v MDM API-ju.

Opazovana DEJANJA, ki jih podpira PowerShell backdoor, vključujejo:

  • Naredite posnetek zaslona.
  • Pridobi piškotke iz brskalnika Google Chrome.
  • Seznam vseh uporabniških profilov Chroma.
  • Pridobi zaznamke za določen profil v Chromu.
  • Zbiranje zgodovine brskanja za določen profil v Chromu.
  • Naštejte vse datoteke v uporabniškem imeniku.
  • Odstrani se sam.

Različica .NET: Izboljšani cilji in zmogljivosti

Graditev .NET širi obseg in sofisticiranost. Cilja na dodatne brskalnike za podjetja (Microsoft Edge in Island), poskuša se maskirati kot izvedljiva datoteka pomočnika AirWatch (AirwatchHelper.exe) in dodaja tri dodatne vrste sporočil, ki se uporabljajo za obvestila o neskladju različic, izpis za odpravljanje napak in označevanje.

Ključne razlike in dodatna vedenja različice .NET:

Uporablja tri namenske izvedbene niti za obravnavo nalog C2, izvlečenje dnevnikov odpravljanja napak in izvajanje periodičnih signalov za C2.

Podpira širši nabor ukazov za ciljno izkopavanje in oddaljeno upravljanje, vključno z ukazi za izpis določenih profilov brskalnika, nalaganje datotek, odpiranje URL-jev, seznam vsebine imenikov in drugo.

Nekateri vzorci .NET so podpisani s potrdilom, ki je pripisano podjetju »Aoteng Industrial Automation (Langfang) Co., Ltd)«, za katerega analitiki menijo, da je bilo verjetno ukradeno; zgodnji vzorci imajo časovni žig prevajanja 28. junija 2024.

Za razliko od različice PowerShell analizirani primeri različic .NET ne ustvarjajo dosledno načrtovane naloge za vztrajnost.

Razširjen nabor ukazov, opažen v vzorcih .NET, vključuje:

  • Posnetek zaslona
  • UpdateChrome (izvleči določen profil v Chromu)
  • FileMap (seznam vsebine imenika)
  • RunUtility (še ni implementirano v opazovanih vzorcih)
  • EnterpriseChromeProfiles (naštevanje profilov v Chromu)
  • UploadFile (izvleči datoteke/artefakte in poverilnice)
  • OpenURL (zaženi URL v Chromu)
  • Odstrani
  • EnterpriseChromeBookmarks (pridobivanje zaznamkov iz profila v Chromu)
  • EnterpriseIslandProfiles (naštevanje profilov brskalnika Island)
  • UpdateIsland (izvleči določen profil otoka)
  • ExfilAlreadyOpenChrome (izbriši piškotke iz trenutnega profila Chrome)

Distribucija in vpliv

Pripisovanje tarč in natančna metoda distribucije ostajata nejasna. Vendar pa uporaba MDM API-jev kot C2 in izrecna osredotočenost na brskalnike v podjetjih, zlasti Island, ki je namenjen korporativnim uvajanjem, močno kažeta na kompromis dobavne verige ali tretjih ponudnikov, usmerjen v podjetja za zunanje izvajanje poslovnih procesov (BPO). Ponudniki BPO so privlačne tarče, ker lahko ukradeni piškotki seje brskalnika in artefakti profilov napadalcem omogočijo dostop do številnih odjemalskih okolij v nižji fazi prodaje; trajen dostop prek infrastrukture ponudnika poveča vpliv.

Zaključek

Airstalk kaže zaskrbljujoč trend: napadalci zlorabljajo zaupanja vredne platforme za upravljanje, da združijo zlonamerni promet z legitimno administrativno telemetrijo. Za organizacije, ki se zanašajo na zunanje ponudnike ali storitve BPO, ta tehnika bistveno poveča tveganje, da se bo ena sama ogrožitev razširila na številna odjemalska okolja. Za odkrivanje in omejevanje te vrste groženj je bistvenega pomena budnost glede dejavnosti MDM, izvora potrdil in integritete orodij ponudnikov.

V trendu

Prevara z zapravljenim paketom DHL Express

Lažno predstavljanje, Neželena pošta
Raziskovalci kibernetske varnosti so opozorili na zavajajočo phishing kampanjo, znano kot prevara z zapravljanjem paketov DHL Express. Ta goljufiva e-poštna sporočila so prikrita kot uradna obvestila o dostavi, ki naj bi jih poslal DHL. V sporočilih se običajno trdi, da mora prejemnik preveriti svoj naslov ali potrditi dostavo, da prepreči zapravljanje paketa. V resnici so te trditve popolnoma...

Prevara z rutinskim čiščenjem neuporabljenih računov

Lažno predstavljanje, Neželena pošta
Raziskovalci kibernetske varnosti so odkrili, da tako imenovana e-poštna sporočila o »rutinskem čiščenju neuporabljenih računov« niso legitimna obvestila o vzdrževanju, temveč zlonamerni poskusi lažnega predstavljanja. Ta goljufiva sporočila so zasnovana tako, da prejemnike pod pretvezo varnostnega preverjanja zvabijo v razkritje občutljivih podatkov za prijavo. Niso povezana z nobenim...

Najbolj gledan

Nalaganje...