มัลแวร์แอร์สตอล์ก
กลุ่มมัลแวร์ที่เพิ่งค้นพบใหม่ ซึ่งเชื่อมโยงกับคลัสเตอร์ของรัฐชาติที่ต้องสงสัย (กำหนดเป็น CL-STA-1009) กำลังแพร่กระจายในลักษณะที่สอดคล้องกับการบุกรุกห่วงโซ่อุปทาน มัลแวร์ที่ฝังไว้นี้มีชื่อว่า Airstalk ใช้ประโยชน์จากโครงสร้างพื้นฐานการจัดการอุปกรณ์เคลื่อนที่ขององค์กร (MDM) เพื่อปกปิดการรับส่งข้อมูลของระบบสั่งการและควบคุม (C2) และขโมยข้อมูลอาร์ทิแฟกต์ของเบราว์เซอร์และข้อมูลสำคัญอื่นๆ จากโฮสต์ที่ถูกบุกรุก
สารบัญ
ภัยคุกคามซ่อนตัวอยู่ในที่แจ้งชัดได้อย่างไร
Airstalk นำ AirWatch API (ปัจจุบันคือ Workspace ONE Unified Endpoint Management) มาใช้ใหม่เป็นช่องทางลับ C2 แทนที่จะใช้ API สำหรับการจัดการอุปกรณ์ที่ถูกต้อง มัลแวร์จะใช้แอตทริบิวต์ของอุปกรณ์ที่กำหนดเองและฟีเจอร์อัปโหลดไฟล์ (blob) เพื่อแลกเปลี่ยนข้อความกับผู้ปฏิบัติการ ซึ่งส่งผลให้อุปกรณ์ปลายทาง MDM กลายเป็นตัวแก้ปัญหาแบบ Dead-Drop สำหรับการสื่อสารของผู้โจมตีและการอัปโหลดข้อมูลขนาดใหญ่
การใช้งานสองแบบ: PowerShell เทียบกับ .NET
มีการสังเกตเห็นการสร้างที่แตกต่างกันสองแบบ ได้แก่ แบ็กดอร์ของ PowerShell และเวอร์ชัน .NET ที่มีคุณสมบัติมากกว่า ทั้งสองแบบใช้โปรโตคอล C2 แบบมัลติเธรด และรองรับการดำเนินการขโมยข้อมูล เช่น การจับภาพหน้าจอและการเก็บคุกกี้ ประวัติการเข้าชม และบุ๊กมาร์ก หลักฐานบ่งชี้ว่าสิ่งประดิษฐ์บางอย่างมีการลงนามด้วยใบรับรองที่นักวิจัยมองว่าน่าจะถูกขโมย
PowerShell Variant: พฤติกรรม C2 และความสามารถ
อิมแพลนต์ PowerShell สื่อสารผ่านจุดสิ้นสุด /api/mdm/devices/ เมื่อเริ่มต้นระบบ มันจะสร้างการติดต่อด้วยแฮนด์เชคแบบ CONNECT/CONNECTED ง่ายๆ รับงานต่างๆ ที่จัดแพ็กเกจเป็นข้อความ 'ACTIONS' ดำเนินการตามงานเหล่านั้น และส่งผลลัพธ์กลับคืนโดยใช้ข้อความ 'RESULT' เมื่องานมีผลลัพธ์จำนวนมาก Airstalk จะอัปโหลดข้อมูลโดยใช้ฟีเจอร์ blob ของ MDM API
การดำเนินการที่สังเกตได้รับการสนับสนุนโดยแบ็คดอร์ของ PowerShell ได้แก่:
- ถ่ายภาพหน้าจอ
- ดึงข้อมูลคุกกี้จาก Google Chrome
- แสดงรายการโปรไฟล์ผู้ใช้ Chrome ทั้งหมด
- รับบุ๊กมาร์กสำหรับโปรไฟล์ Chrome ที่ระบุ
- รวบรวมประวัติการเรียกดูสำหรับโปรไฟล์ Chrome ที่ระบุ
- ระบุไฟล์ทั้งหมดภายใต้ไดเร็กทอรีของผู้ใช้
- ถอนการติดตั้งตัวเอง
.NET Variant: เป้าหมายและความสามารถที่ได้รับการปรับปรุง
.NET build ขยายขอบเขตและความซับซ้อน โดยมุ่งเป้าไปที่เบราว์เซอร์ระดับองค์กรเพิ่มเติม (Microsoft Edge และ Island) พยายามปลอมตัวเป็นไฟล์ปฏิบัติการตัวช่วย AirWatch (AirwatchHelper.exe) และเพิ่มประเภทข้อความพิเศษอีกสามประเภทที่ใช้สำหรับการแจ้งเตือนความไม่ตรงกันของเวอร์ชัน เอาต์พุตการดีบัก และบีคอน
ความแตกต่างที่สำคัญและพฤติกรรมเพิ่มเติมของรูปแบบ .NET:
ใช้เธรดการดำเนินการเฉพาะสามเธรดเพื่อจัดการงาน C2 ดึงข้อมูลบันทึกการดีบัก และดำเนินการบีคอนเป็นระยะไปยัง C2
รองรับชุดคำสั่งที่กว้างขึ้นสำหรับการกรองข้อมูลที่เจาะจงและการควบคุมระยะไกล รวมถึงคำสั่งในการถ่ายโอนข้อมูลโปรไฟล์เบราว์เซอร์เฉพาะ อัปโหลดไฟล์ เปิด URL แสดงรายการเนื้อหาไดเรกทอรี และอื่นๆ อีกมากมาย
ตัวอย่าง .NET บางส่วนมีการลงนามด้วยใบรับรองที่ระบุว่าเป็นของ 'Aoteng Industrial Automation (Langfang) Co., Ltd)' ซึ่งนักวิเคราะห์เชื่อว่าน่าจะถูกขโมยไป โดยตัวอย่างในช่วงแรกมีการประทับเวลาการคอมไพล์เป็นวันที่ 28 มิถุนายน 2024
ตัวอย่างตัวแปร .NET ที่ได้รับการวิเคราะห์ไม่สร้างงานตามกำหนดเวลาสำหรับการคงอยู่อย่างสม่ำเสมอ ไม่เหมือนกับเวอร์ชัน PowerShell
ชุดคำสั่งขยายที่สังเกตได้ในตัวอย่าง .NET ประกอบด้วย:
- ภาพหน้าจอ
- อัปเดต Chrome (แยกโปรไฟล์ Chrome เฉพาะออก)
- FileMap (รายการเนื้อหาของไดเรกทอรี)
- RunUtility (ยังไม่ได้นำไปใช้ในตัวอย่างที่สังเกต)
- EnterpriseChromeProfiles (ระบุโปรไฟล์ Chrome)
- UploadFile (แยกไฟล์/สิ่งประดิษฐ์และข้อมูลรับรอง)
- OpenURL (เปิด URL ใน Chrome)
- ถอนการติดตั้ง
- EnterpriseChromeBookmarks (ดึงบุ๊กมาร์กจากโปรไฟล์ Chrome)
- EnterpriseIslandProfiles (ระบุโปรไฟล์เบราว์เซอร์ Island)
- UpdateIsland (แยกโปรไฟล์เกาะเฉพาะ)
- ExfilAlreadyOpenChrome (ดัมพ์คุกกี้จากโปรไฟล์ Chrome ปัจจุบัน)
การกระจายและผลกระทบ
การระบุตัวผู้ตกเป็นเป้าหมายและวิธีการเผยแพร่ที่แน่ชัดยังคงไม่ชัดเจน อย่างไรก็ตาม การใช้ MDM API เป็น C2 และการมุ่งเน้นไปที่เบราว์เซอร์ระดับองค์กรโดยเฉพาะ Island ซึ่งมุ่งเน้นไปที่การใช้งานในองค์กร ชี้ให้เห็นอย่างชัดเจนถึงการโจมตีจากซัพพลายเชนหรือผู้ให้บริการบุคคลที่สามที่มุ่งเป้าไปที่บริษัทรับจ้างจัดการกระบวนการทางธุรกิจ (BPO) ผู้ให้บริการ BPO เป็นเป้าหมายที่น่าสนใจเนื่องจากคุกกี้เซสชันเบราว์เซอร์และสิ่งประดิษฐ์โปรไฟล์ที่ถูกขโมยมาสามารถให้ผู้โจมตีเข้าถึงสภาพแวดล้อมไคลเอนต์ปลายทางจำนวนมากได้ การเข้าถึงอย่างต่อเนื่องผ่านโครงสร้างพื้นฐานของผู้ให้บริการจะยิ่งขยายผลกระทบ
บทสรุป
Airstalk แสดงให้เห็นถึงแนวโน้มที่น่ากังวล: ผู้โจมตีใช้แพลตฟอร์มการจัดการที่เชื่อถือได้ในทางที่ผิดเพื่อผสมผสานการรับส่งข้อมูลที่เป็นอันตรายเข้ากับระบบโทรมาตรทางการบริหารที่ถูกต้องตามกฎหมาย สำหรับองค์กรที่พึ่งพาผู้ให้บริการภายนอกหรือบริการ BPO เทคนิคนี้จะเพิ่มความเสี่ยงอย่างมากที่การโจมตีเพียงครั้งเดียวจะส่งผลต่อเนื่องไปยังสภาพแวดล้อมของลูกค้าจำนวนมาก การเฝ้าระวังกิจกรรม MDM แหล่งที่มาของใบรับรอง และความสมบูรณ์ของชุดเครื่องมือของผู้ให้บริการจึงเป็นสิ่งจำเป็นในการตรวจจับและจำกัดภัยคุกคามประเภทนี้
