Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware Airstalk Malware

Airstalk Malware

Nga MezoMalware, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Një familje programesh keqdashëse e vëzhguar rishtazi, që i atribuohet një klasteri të dyshuar si shtet-komb (i përcaktuar si CL-STA-1009), po shpërndahet në një mënyrë që përputhet me një ndërhyrje në zinxhirin e furnizimit. Implanti, i quajtur Airstalk, shfrytëzon infrastrukturën e menaxhimit të pajisjeve mobile të ndërmarrjes (MDM) për të fshehur trafikun e Komandës dhe Kontrollit (C2) dhe për të nxjerrë artefakte të shfletuesit dhe të dhëna të tjera të ndjeshme nga hostet e kompromentuara.

Si fshihet kërcënimi në sy të publikut

Airstalk e ripërdor API-në e AirWatch (tani Workspace ONE Unified Endpoint Management) si kanalin e tij të fshehtë C2. Në vend që të përdorë API-në për menaxhimin legjitim të pajisjeve, malware përdor atribute të personalizuara të pajisjeve dhe veçori të ngarkimit të skedarëve (blob) për të shkëmbyer mesazhe me operatorët e tij, duke e shndërruar në mënyrë efektive një pikë fundore MDM në një zgjidhës të menjëhershëm për komunikimet e sulmuesve dhe ngarkimet e të dhënave të mëdha.

Dy Implementime: PowerShell kundrejt .NET

Janë vërejtur dy versione të dallueshme: një derë e pasme PowerShell dhe një variant .NET më i pasur me funksione. Të dyja zbatojnë një protokoll C2 me shumë fije dhe mbështesin operacione vjedhjeje të dhënash, të tilla si kapja e pamjeve të ekranit dhe mbledhja e cookie-ve, historikut të shfletimit dhe faqeshënuesve. Provat sugjerojnë se disa objekte janë nënshkruar me një certifikatë që studiuesit e konsiderojnë të mundshme të jetë vjedhur.

Varianti PowerShell: Sjellja dhe Aftësitë C2

Implanti PowerShell komunikon nëpërmjet pikës fundore /api/mdm/devices/. Pas nisjes, ai krijon kontakt me një shtrëngim duarsh të thjeshtë CONNECT/CONNECTED, merr detyra të paketuara si mesazhe 'ACTIONS', i ekzekuton ato dhe kthen rezultate duke përdorur mesazhet 'RESULT'. Kur një detyrë prodhon rezultate të mëdha, Airstalk ngarkon të dhënat duke përdorur veçorinë blob të MDM API.

VEPRIMET e vëzhguara të mbështetura nga dera e pasme e PowerShell përfshijnë:

  • Bëni një pamje të ekranit.
  • Merrni cookie-t nga Google Chrome.
  • Listo të gjitha profilet e përdoruesve të Chrome.
  • Merr faqeshënues për një profil të specifikuar të Chrome.
  • Mbledh historikun e shfletimit për një profil të specifikuar të Chrome.
  • Numëroni të gjitha skedarët në drejtorinë e përdoruesit.
  • Çinstalohet vetë.

Varianti .NET: Objektiva dhe Aftësi të Përmirësuara

Ndërtimi .NET zgjeron fushëveprimin dhe sofistikimin. Ai synon shfletues shtesë të ndërmarrjeve (Microsoft Edge dhe Island), përpiqet të maskohet si një skedar ekzekutues ndihmës i AirWatch (AirwatchHelper.exe) dhe shton tre lloje mesazhesh shtesë të përdorura për njoftimet e mospërputhjes së versioneve, daljen e debugging-ut dhe sinjalizimin.

Dallimet kryesore dhe sjelljet shtesë të variantit .NET:

Përdor tre fije ekzekutimi të dedikuara për të trajtuar detyrat C2, për të nxjerrë regjistrat e debugimit dhe për të kryer sinjalizues periodikë në C2.

Mbështet një grup më të gjerë komandash për nxjerrje të synuar dhe kontroll në distancë, duke përfshirë komandat për të shkarkuar profile specifike të shfletuesit, për të ngarkuar skedarë, për të hapur URL, për të listuar përmbajtjen e direktorisë dhe më shumë.

Disa mostra .NET janë të nënshkruara me një certifikatë që i atribuohet 'Aoteng Industrial Automation (Langfang) Co., Ltd)', të cilën analistët besojnë se ka të ngjarë të jetë vjedhur; mostrat e hershme mbajnë një pullë kohore përpilimi të 28 qershorit 2024.

Ndryshe nga versioni PowerShell, mostrat e varianteve .NET të analizuara nuk krijojnë vazhdimisht një detyrë të planifikuar për qëndrueshmëri.

Seti i zgjeruar i komandave i vërejtur në mostrat .NET përfshin:

  • Pamje e ekranit
  • UpdateChrome (nxirr një profil specifik të Chrome)
  • FileMap (listoni përmbajtjen e një drejtorie)
  • RunUtility (ende nuk është implementuar në mostrat e vëzhguara)
  • EnterpriseChromeProfiles (numëroni profilet e Chrome)
  • Ngarko skedarin (nxirr skedarët/artefaktet dhe kredencialet)
  • OpenURL (hap një URL në Chrome)
  • Çinstaloni
  • EnterpriseChromeBookmarks (merr faqeshënuesit nga një profil Chrome)
  • EnterpriseIslandProfiles (numëroni profilet e shfletuesit të Ishullit)
  • UpdateIsland (nxjerr një profil specifik të Ishullit)
  • ExfilAlreadyOpenChrome (fshin cookie-t nga profili aktual i Chrome)

Shpërndarja dhe Ndikimi

Atribuimi i atij që u shënjestrua dhe metoda e saktë e shpërndarjes mbetet e paqartë. Megjithatë, përdorimi i API-ve MDM si C2 dhe fokusi i qartë në shfletuesit e ndërmarrjeve, veçanërisht Island, i cili synon vendosjet e korporatave, tregojnë fuqimisht një kompromis të zinxhirit të furnizimit ose një palë të tretë të shitësve që synon firmat e outsourcing-ut të proceseve të biznesit (BPO). Ofruesit e BPO janë objektiva tërheqës sepse cookie-t e vjedhura të sesionit të shfletuesit dhe artefaktet e profilit mund t'u japin sulmuesve qasje në mjedise të shumta klientësh në rrjedhën e poshtme; qasja e vazhdueshme përmes infrastrukturës së një shitësi amplifikon ndikimin.

Përfundim

Airstalk demonstron një trend shqetësues: sulmuesit abuzojnë me platformat e besueshme të menaxhimit për të përzier trafikun keqdashës me telemetrinë legjitime administrative. Për organizatat që mbështeten te shitësit e palëve të treta ose shërbimet BPO, kjo teknikë rrit ndjeshëm rrezikun që një kompromis i vetëm të përhapet në shumë mjedise klientësh. Vigjilenca rreth aktivitetit MDM, origjinës së certifikatës dhe integritetit të zinxhirëve të mjeteve të shitësve është thelbësore për të zbuluar dhe kufizuar këtë klasë kërcënimi.

Në trend

Më e shikuara

Po ngarkohet...