Злонамерни софтвер Airstalk
Новооткривена породица злонамерног софтвера, која се приписује сумњивом кластеру националних држава (означеном као CL-STA-1009), дистрибуира се на начин који је консистентан са упадом у ланац снабдевања. Имплантат, назван Airstalk, користи инфраструктуру за управљање мобилним уређајима предузећа (MDM) како би прикрио саобраћај командовања и контроле (C2) и издвојио артефакте прегледача и друге осетљиве податке са угрожених хостова.
Преглед садржаја
Како се претња крије на видном месту
Airstalk пренамењује AirWatch API (сада Workspace ONE Unified Endpoint Management) као свој тајни C2 канал. Уместо да користи API за легитимно управљање уређајима, злонамерни софтвер користи прилагођене атрибуте уређаја и функције отпремања датотека (blob) за размену порука са својим оператерима, ефикасно претварајући MDM крајњу тачку у решавач мртвих тачака за комуникацију нападача и отпремање великих података.
Две имплементације: PowerShell наспрам .NET-а
Примећене су две различите верзије: PowerShell бекдор и .NET варијанта богатија функцијама. Обе имплементирају вишенитни C2 протокол и подржавају операције крађе података, као што су снимање екрана и прикупљање колачића, историје прегледања и обележивача. Докази указују на то да су неки артефакти потписани сертификатом за који истраживачи сматрају да је вероватно украден.
PowerShell варијанта: C2 понашање и могућности
PowerShell имплант комуницира преко крајње тачке /api/mdm/devices/. По покретању, успоставља контакт једноставним руковањем CONNECT/CONNECTED, прима задатке упаковане као поруке „ACTIONS“, извршава их и враћа резултате користећи поруке „RESULT“. Када задатак произведе велики излаз, Airstalk отпрема податке користећи функцију blob-а MDM API-ја.
Уочене АКЦИЈЕ које подржава PowerShell бекдор укључују:
- Направите снимак екрана.
- Преузмите колачиће из Google Chrome-а.
- Наведите све корисничке профиле у Chrome-у.
- Преузмите обележиваче за одређени Chrome профил.
- Прикупљајте историју прегледања за одређени Chrome профил.
- Набројте све датотеке у корисничком директоријуму.
- Деинсталирај сам.
.NET варијанта: Побољшани циљеви и могућности
.NET верзија проширује обим и софистицираност. Циља додатне пословне прегледаче (Microsoft Edge и Island), покушава да се маскира као извршна датотека помоћника AirWatch-а (AirwatchHelper.exe) и додаје три додатна типа порука која се користе за обавештења о неусклађености верзија, излаз за отклањање грешака и сигнализирање.
Кључне разлике и додатна понашања .NET варијанте:
Користи три наменске нити извршавања за руковање C2 задацима, издвајање логова за отклањање грешака и периодично слање сигнала C2.
Подржава шири скуп команди за циљано откривање података и даљинско управљање, укључујући команде за избацивање одређених профила прегледача, отпремање датотека, отварање URL адреса, листање садржаја директоријума и још много тога.
Неки .NET узорци су потписани сертификатом који се приписује „Aoteng Industrial Automation (Langfang) Co., Ltd)“ за који аналитичари верују да је вероватно украден; рани узорци носе временску ознаку компилације од 28. јуна 2024. године.
За разлику од PowerShell верзије, анализирани узорци .NET варијанти не креирају доследно заказани задатак за перзистентност.
Проширени скуп команди примећен у .NET примерима укључује:
- Снимак екрана
- UpdateChrome (извлачење одређеног Chrome профила)
- FileMap (приказ садржаја директоријума)
- RunUtility (још није имплементирано у посматраним узорцима)
- EnterpriseChromeProfiles (наброј Chrome профиле)
- UploadFile (извлачење датотека/артефаката и акредитива)
- OpenURL (покрени URL у Chrome-у)
- Деинсталирај
- EnterpriseChromeBookmarks (преузимање обележивача из Chrome профила)
- EnterpriseIslandProfiles (наброј профиле прегледача на острву)
- UpdateIsland (извлачење одређеног профила са острва)
- ExfilAlreadyOpenChrome (избриши колачиће из тренутног Chrome профила)
Дистрибуција и утицај
Остаје нејасно ко је био мета и тачан метод дистрибуције. Међутим, употреба MDM API-ја као C2 и експлицитни фокус на пословне прегледаче, посебно Island, који је намењен корпоративним имплементацијама, снажно указују на компромис у ланцу снабдевања или од стране треће стране, усмерен на фирме за аутсорсинг пословних процеса (BPO). Добављачи BPO услуга су атрактивне мете јер украдени колачићи сесије прегледача и артефакти профила могу нападачима омогућити приступ бројним клијентским окружењима низводно; стални приступ кроз инфраструктуру добављача појачава утицај.
Закључак
Airstalk показује забрињавајући тренд: нападачи злоупотребљавају поуздане платформе за управљање како би комбиновали злонамерни саобраћај са легитимном административном телеметријом. За организације које се ослањају на добављаче трећих страна или BPO услуге, ова техника значајно повећава ризик да ће се једно компромитовање проширити на многа клијентска окружења. Будност у вези са MDM активностима, пореклом сертификата и интегритетом алата добављача је неопходна за откривање и ограничавање ове класе претњи.
