ఎయిర్‌స్టాక్ మాల్వేర్

అనుమానిత దేశ-రాష్ట్ర క్లస్టర్ (CL-STA-1009 గా నియమించబడినది) కు ఆపాదించబడిన కొత్తగా గమనించబడిన మాల్వేర్ కుటుంబం, సరఫరా-గొలుసు చొరబాటుకు అనుగుణంగా పంపిణీ చేయబడుతోంది. ఎయిర్‌స్టాక్ అని పిలువబడే ఇంప్లాంట్, కమాండ్-అండ్-కంట్రోల్ (C2) ట్రాఫిక్‌ను దాచడానికి మరియు బ్రౌజర్ కళాఖండాలు మరియు రాజీపడిన హోస్ట్‌ల నుండి ఇతర సున్నితమైన డేటాను తొలగించడానికి ఎంటర్‌ప్రైజ్ మొబైల్ పరికర నిర్వహణ (MDM) మౌలిక సదుపాయాలను ప్రభావితం చేస్తుంది.

ముప్పు ఎలా కనిపించకుండా దాక్కుంటుంది

ఎయిర్‌స్టాక్ తన రహస్య C2 ఛానెల్‌గా ఎయిర్‌వాచ్ API (ఇప్పుడు వర్క్‌స్పేస్ వన్ యూనిఫైడ్ ఎండ్‌పాయింట్ మేనేజ్‌మెంట్)ను తిరిగి ఉపయోగిస్తుంది. చట్టబద్ధమైన పరికర నిర్వహణ కోసం APIని ఉపయోగించకుండా, మాల్వేర్ దాని ఆపరేటర్‌లతో సందేశాలను మార్పిడి చేసుకోవడానికి కస్టమ్ పరికర లక్షణాలను మరియు ఫైల్-అప్‌లోడ్ (బ్లాబ్) లక్షణాలను ఉపయోగిస్తుంది, దాడి చేసేవారి కమ్యూనికేషన్‌లు మరియు పెద్ద డేటా అప్‌లోడ్‌ల కోసం MDM ఎండ్‌పాయింట్‌ను డెడ్-డ్రాప్ రిసాల్వర్‌గా సమర్థవంతంగా మారుస్తుంది.

రెండు అమలులు: పవర్‌షెల్ vs. .NET

రెండు విభిన్న బిల్డ్‌లు గమనించబడ్డాయి: పవర్‌షెల్ బ్యాక్‌డోర్ మరియు మరింత ఫీచర్-రిచ్ .NET వేరియంట్. రెండూ మల్టీ-థ్రెడ్ C2 ప్రోటోకాల్‌ను అమలు చేస్తాయి మరియు స్క్రీన్‌షాట్‌లను సంగ్రహించడం మరియు కుకీలను సేకరించడం, బ్రౌజింగ్ చరిత్ర మరియు బుక్‌మార్క్‌లు వంటి డేటా దొంగతనం కార్యకలాపాలకు మద్దతు ఇస్తాయి. కొన్ని కళాఖండాలు దొంగిలించబడే అవకాశం ఉందని పరిశోధకులు భావించే సర్టిఫికెట్‌తో సంతకం చేయబడిందని ఆధారాలు సూచిస్తున్నాయి.

పవర్‌షెల్ వేరియంట్: C2 ప్రవర్తన మరియు సామర్థ్యాలు

పవర్‌షెల్ ఇంప్లాంట్ /api/mdm/devices/ ఎండ్‌పాయింట్ ద్వారా కమ్యూనికేట్ చేస్తుంది. ప్రారంభించిన తర్వాత, ఇది ఒక సాధారణ CONNECT/CONNECTED హ్యాండ్‌షేక్‌తో పరిచయాన్ని ఏర్పరుస్తుంది, 'ACTIONS' సందేశాలుగా ప్యాక్ చేయబడిన పనులను స్వీకరిస్తుంది, వాటిని అమలు చేస్తుంది మరియు 'RESULT' సందేశాలను ఉపయోగించి ఫలితాలను అందిస్తుంది. ఒక పని పెద్ద అవుట్‌పుట్‌ను ఉత్పత్తి చేసినప్పుడు, ఎయిర్‌స్టాక్ MDM API యొక్క బ్లాబ్ ఫీచర్‌ని ఉపయోగించి డేటాను అప్‌లోడ్ చేస్తుంది.

పవర్‌షెల్ బ్యాక్‌డోర్ మద్దతు ఇచ్చే పరిశీలించిన చర్యలు:

• స్క్రీన్‌షాట్ తీసుకోండి.
• Google Chrome నుండి కుక్కీలను తిరిగి పొందండి.
• అన్ని వినియోగదారు Chrome ప్రొఫైల్‌లను జాబితా చేయండి.
• పేర్కొన్న Chrome ప్రొఫైల్ కోసం బుక్‌మార్క్‌లను పొందండి.
• పేర్కొన్న Chrome ప్రొఫైల్ కోసం బ్రౌజింగ్ చరిత్రను సేకరించండి.
• యూజర్ డైరెక్టరీ కింద ఉన్న అన్ని ఫైళ్ళను లెక్కించండి.
• స్వయంగా అన్‌ఇన్‌స్టాల్ చేయండి.

.NET వేరియంట్: మెరుగైన లక్ష్యాలు మరియు సామర్థ్యాలు

.NET బిల్డ్ పరిధిని మరియు అధునాతనతను విస్తరిస్తుంది. ఇది అదనపు ఎంటర్‌ప్రైజ్ బ్రౌజర్‌లను (మైక్రోసాఫ్ట్ ఎడ్జ్ మరియు ఐలాండ్) లక్ష్యంగా చేసుకుంటుంది, ఎయిర్‌వాచ్ హెల్పర్ ఎక్జిక్యూటబుల్ (AirwatchHelper.exe) గా మారడానికి ప్రయత్నిస్తుంది మరియు వెర్షన్ అసమతుల్య నోటిఫికేషన్‌లు, డీబగ్గింగ్ అవుట్‌పుట్ మరియు బీకనింగ్ కోసం ఉపయోగించే మూడు అదనపు సందేశ రకాలను జోడిస్తుంది.

.NET వేరియంట్ యొక్క కీలక తేడాలు మరియు అదనపు ప్రవర్తనలు:

C2 పనులను నిర్వహించడానికి, డీబగ్ లాగ్‌లను ఎక్స్‌ఫిల్ట్రేట్ చేయడానికి మరియు C2కి ఆవర్తన బీకాన్‌లను నిర్వహించడానికి మూడు అంకితమైన అమలు థ్రెడ్‌లను ఉపయోగిస్తుంది.

నిర్దిష్ట బ్రౌజర్ ప్రొఫైల్‌లను డంప్ చేయడం, ఫైల్‌లను అప్‌లోడ్ చేయడం, URLలను తెరవడం, డైరెక్టరీ కంటెంట్‌లను జాబితా చేయడం మరియు మరిన్నింటితో సహా లక్ష్య ఎక్స్‌ఫిల్ట్రేషన్ మరియు రిమోట్ కంట్రోల్ కోసం విస్తృత కమాండ్ సెట్‌కు మద్దతు ఇస్తుంది.

కొన్ని .NET నమూనాలు 'Aoteng Industrial Automation (Langfang) Co., Ltd)' కు ఆపాదించబడిన సర్టిఫికెట్‌తో సంతకం చేయబడ్డాయి, విశ్లేషకులు వీటిని దొంగిలించి ఉండవచ్చని భావిస్తున్నారు; ప్రారంభ నమూనాలలో జూన్ 28, 2024 నాటి సంకలన టైమ్‌స్టాంప్ ఉంటుంది.

పవర్‌షెల్ వెర్షన్ వలె కాకుండా, విశ్లేషించబడిన .NET వేరియంట్ నమూనాలు నిలకడగా నిలకడగా షెడ్యూల్ చేయబడిన పనిని సృష్టించవు.

.NET నమూనాలలో గమనించిన విస్తరించిన కమాండ్ సెట్‌లో ఇవి ఉన్నాయి:

• స్క్రీన్‌షాట్
• అప్‌డేట్ క్రోమ్ (నిర్దిష్ట క్రోమ్ ప్రొఫైల్‌ను తొలగించండి)
• ఫైల్ మ్యాప్ (డైరెక్టరీలోని విషయాల జాబితా)
• రన్‌యుటిలిటీ (పరిశీలించిన నమూనాలలో ఇంకా అమలు చేయబడలేదు)
• EnterpriseChromeప్రొఫైల్స్ (Chrome ప్రొఫైల్‌లను లెక్కించండి)
• అప్‌లోడ్ ఫైల్ (ఫైళ్లు/కళాఖండాలు మరియు ఆధారాలను ఎక్స్‌ఫిల్ట్రేట్ చేయండి)
• OpenURL (Chromeలో URLను ప్రారంభించండి)
• అన్‌ఇన్‌స్టాల్ చేయండి
• EnterpriseChromeBookmarks (Chrome ప్రొఫైల్ నుండి బుక్‌మార్క్‌లను తిరిగి పొందడం)
• EnterpriseIslandProfiles (ఐలాండ్ బ్రౌజర్ ప్రొఫైల్‌లను లెక్కించండి)
• అప్‌డేట్ ఐలాండ్ (నిర్దిష్ట ఐలాండ్ ప్రొఫైల్‌ను తొలగించండి)
• ExfilAlreadyOpenChrome (ప్రస్తుత Chrome ప్రొఫైల్ నుండి కుక్కీలను డంప్ చేయండి)

పంపిణీ మరియు ప్రభావం

ఎవరిని లక్ష్యంగా చేసుకున్నారో మరియు ఖచ్చితమైన పంపిణీ పద్ధతి అస్పష్టంగానే ఉంది. అయితే, MDM APIలను C2గా ఉపయోగించడం మరియు ఎంటర్‌ప్రైజ్ బ్రౌజర్‌లపై, ముఖ్యంగా కార్పొరేట్ విస్తరణలను లక్ష్యంగా చేసుకున్న ఐలాండ్‌పై స్పష్టమైన దృష్టి, వ్యాపార ప్రక్రియ అవుట్‌సోర్సింగ్ (BPO) సంస్థలను లక్ష్యంగా చేసుకుని సరఫరా-గొలుసు లేదా మూడవ-పక్ష విక్రేత రాజీని బలంగా సూచిస్తుంది. దొంగిలించబడిన బ్రౌజర్ సెషన్ కుక్కీలు మరియు ప్రొఫైల్ కళాఖండాలు దాడి చేసేవారికి అనేక దిగువ క్లయింట్ వాతావరణాలకు ప్రాప్యతను మంజూరు చేయగలవు కాబట్టి BPO ప్రొవైడర్లు ఆకర్షణీయమైన లక్ష్యాలు; విక్రేత యొక్క మౌలిక సదుపాయాల ద్వారా నిరంతర ప్రాప్యత ప్రభావాన్ని పెంచుతుంది.

ముగింపు

ఎయిర్‌స్టాక్ ఆందోళనకరమైన ధోరణిని ప్రదర్శిస్తుంది: హానికరమైన ట్రాఫిక్‌ను చట్టబద్ధమైన అడ్మినిస్ట్రేటివ్ టెలిమెట్రీతో కలపడానికి దాడి చేసేవారు విశ్వసనీయ నిర్వహణ ప్లాట్‌ఫారమ్‌లను దుర్వినియోగం చేస్తున్నారు. మూడవ పార్టీ విక్రేతలు లేదా BPO సేవలపై ఆధారపడే సంస్థలకు, ఈ సాంకేతికత అనేక క్లయింట్ వాతావరణాలలో ఒకే రాజీ పడే ప్రమాదాన్ని గణనీయంగా పెంచుతుంది. ఈ తరగతి ముప్పును గుర్తించడానికి మరియు పరిమితం చేయడానికి MDM కార్యాచరణ, సర్టిఫికేట్ మూలం మరియు విక్రేత సాధన గొలుసుల సమగ్రత చుట్టూ నిఘా చాలా అవసరం.