Rabattoffert för flera licenser
Hotdatabas Skadlig programvara Airstalk-skadlig programvara

Airstalk-skadlig programvara

Med Mezo år Skadlig programvara, Advanced Persistent Threat (APT)
Översätt till:

En nyligen observerad familj av skadlig kod, tillskriven ett misstänkt nationalstatligt kluster (betecknat som CL-STA-1009), distribueras på ett sätt som överensstämmer med ett intrång i leveranskedjan. Implantatet, kallat Airstalk, utnyttjar företagsinfrastruktur för mobil enhetshantering (MDM) för att dölja kommando-och-kontrolltrafik (C2) och stjäla webbläsarartefakter och annan känslig data från komprometterade värdar.

Hur hotet gömmer sig i synhåll

Airstalk använder AirWatch API (nu Workspace ONE Unified Endpoint Management) som sin hemliga C2-kanal. Istället för att använda API:et för legitim enhetshantering använder den skadliga programvaran anpassade enhetsattribut och filuppladdningsfunktioner (blob) för att utbyta meddelanden med sina operatörer, vilket effektivt förvandlar en MDM-slutpunkt till en dead-drop-resolver för angriparkommunikation och stora datamängder.

Två implementeringar: PowerShell vs. .NET

Två distinkta versioner har observerats: en PowerShell-bakdörr och en mer funktionsrik .NET-variant. Båda implementerar ett flertrådat C2-protokoll och stöder datastöldsoperationer, såsom att ta skärmdumpar och samla in cookies, webbhistorik och bokmärken. Bevis tyder på att vissa artefakter signerades med ett certifikat som forskare anser sannolikt vara stulna.

PowerShell-variant: C2-beteende och funktioner

PowerShell-implantatet kommunicerar via slutpunkten /api/mdm/devices/. Vid uppstart upprättar det kontakt med en enkel CONNECT/CONNECTED-handskakning, tar emot uppgifter paketerade som 'ACTIONS'-meddelanden, kör dem och returnerar resultat med hjälp av 'RESULT'-meddelanden. När en uppgift producerar stor utdata laddar Airstalk upp data med hjälp av MDM API:s blob-funktion.

Observerade ÅTGÄRDER som stöds av PowerShell-bakdörren inkluderar:

  • Ta en skärmdump.
  • Hämta cookies från Google Chrome.
  • Lista alla användarprofiler i Chrome.
  • Hämta bokmärken för en specifik Chrome-profil.
  • Samla in webbhistoriken för en specifik Chrome-profil.
  • Räkna upp alla filer under användarkatalogen.
  • Avinstallera sig själv.

.NET-varianten: Förbättrade mål och funktioner

.NET-versionen utökar omfattningen och sofistikeringen. Den riktar sig till ytterligare företagswebbläsare (Microsoft Edge och Island), försöker utge sig för att vara en AirWatch-hjälparkörbar fil (AirwatchHelper.exe) och lägger till tre extra meddelandetyper som används för meddelanden om versionsavvikelser, felsökningsutdata och beaconing.

Viktiga skillnader och ytterligare beteenden hos .NET-varianten:

Använder tre dedikerade exekveringstrådar för att hantera C2-uppgifter, extrahera felsökningsloggar och utföra periodiska beacons till C2.

Stöder en bredare kommandouppsättning för riktad exfiltrering och fjärrstyrning, inklusive kommandon för att dumpa specifika webbläsarprofiler, ladda upp filer, öppna URL:er, lista kataloginnehåll med mera.

Vissa .NET-exempel är signerade med ett certifikat som tillskrivs "Aoteng Industrial Automation (Langfang) Co., Ltd)" och som analytiker tror sannolikt har stulits; tidiga exempel har en kompileringstidsstämpel den 28 juni 2024.

Till skillnad från PowerShell-versionen skapar de analyserade .NET-variantexemplen inte konsekvent en schemalagd uppgift för persistens.

Utökad kommandouppsättning som observerats i .NET-exemplen inkluderar:

  • Skärmdump
  • UppdateraChrome (exfiltrera en specifik Chrome-profil)
  • Filkarta (lista innehållet i en katalog)
  • RunUtility (ännu inte implementerat i observerade exempel)
  • EnterpriseChromeProfiles (räknar upp Chrome-profiler)
  • UploadFile (exfiltrera filer/artefakter och inloggningsuppgifter)
  • OpenURL (starta en URL i Chrome)
  • Avinstallera
  • EnterpriseChromeBookmarks (hämta bokmärken från en Chrome-profil)
  • EnterpriseIslandProfiles (räknar upp webbläsarprofiler för Island)
  • UppdateraÖn (exfiltrera en specifik Ö-profil)
  • ExfilAlreadyOpenChrome (dumpa cookies från den aktuella Chrome-profilen)

Distribution och påverkan

Tilldelningen av vem som var måltavla och den exakta distributionsmetoden är fortfarande oklar. Användningen av MDM API:er som C2 och det uttryckliga fokuset på företagswebbläsare, särskilt Island, som riktar sig mot företagsdistributioner, pekar dock starkt på en kompromiss i leveranskedjan eller från tredje part som riktar sig mot företag inom outsourcing av affärsprocesser (BPO). BPO-leverantörer är attraktiva måltavlor eftersom stulna webbläsarsessionscookies och profilartefakter kan ge angripare åtkomst till många nedströms klientmiljöer; ihållande åtkomst via en leverantörs infrastruktur förstärker effekten.

Slutsats

Airstalk visar en oroande trend: angripare missbrukar betrodda hanteringsplattformar för att blanda skadlig trafik med legitim administrativ telemetri. För organisationer som förlitar sig på tredjepartsleverantörer eller BPO-tjänster ökar denna teknik avsevärt risken för att en enda kompromiss sprids över många klientmiljöer. Vaksamhet kring MDM-aktivitet, certifikatsprenum och integriteten hos leverantörsverktygskedjor är avgörande för att upptäcka och begränsa denna typ av hot.

Trendigt

Rutinmässig upprensning av oanvända konton – bedrägeri

Nätfiske, Spam
Cybersäkerhetsforskare har upptäckt att de så kallade e-postmeddelandena för "rutinrensning av oanvända konton" inte är legitima underhållsmeddelanden utan snarare skadliga nätfiskeförsök. Dessa bedrägliga meddelanden är utformade för att lura mottagare att avslöja känslig inloggningsinformation under täckmantel av en säkerhetskontroll. De är inte kopplade till några riktiga eller pålitliga...

Mest sedda

Läser in...