Airstalk Malware

Ang isang bagong naobserbahang pamilya ng malware, na nauugnay sa isang pinaghihinalaang cluster ng nation-state (itinalaga bilang CL-STA-1009), ay ipinamamahagi sa paraang naaayon sa isang panghihimasok sa supply-chain. Ang implant, na pinangalanang Airstalk, ay gumagamit ng imprastraktura ng enterprise mobile device management (MDM) para itago ang Command-and-Control (C2) na trapiko at i-exfiltrate ang mga artifact ng browser at iba pang sensitibong data mula sa mga nakompromisong host.

Paano Nagtatago ang Banta sa Plain Sight

Isinasagawa muli ng Airstalk ang AirWatch API (ngayon ay Workspace ONE Unified Endpoint Management) bilang tago nitong C2 channel. Sa halip na gamitin ang API para sa lehitimong pamamahala ng device, ginagamit ng malware ang mga custom na katangian ng device at mga feature sa pag-upload ng file (blob) upang makipagpalitan ng mga mensahe sa mga operator nito, na epektibong ginagawang dead-drop na solver ang isang MDM endpoint para sa mga komunikasyon ng attacker at malalaking pag-upload ng data.

Dalawang Pagpapatupad: PowerShell vs. NET

Dalawang natatanging build ang naobserbahan: isang PowerShell backdoor at isang mas mayaman sa feature na .NET na variant. Parehong nagpapatupad ng multi-threaded C2 protocol at sumusuporta sa mga operasyon ng pagnanakaw ng data, tulad ng pagkuha ng mga screenshot at pag-aani ng cookies, kasaysayan ng pagba-browse, at mga bookmark. Iminumungkahi ng ebidensya na ang ilang mga artifact ay nilagdaan ng isang sertipiko na itinuturing ng mga mananaliksik na malamang na ninakaw.

PowerShell Variant: C2 behavior And Capabilities

Ang PowerShell implant ay nakikipag-ugnayan sa pamamagitan ng /api/mdm/devices/ endpoint. Sa pagsisimula, ito ay nagtatatag ng pakikipag-ugnayan sa isang simpleng CONNECT/CONNECTED na handshake, tumatanggap ng mga gawaing naka-package bilang 'ACTIONS' na mga mensahe, nagsasagawa ng mga ito, at nagbabalik ng mga resulta gamit ang 'RESULT' na mga mensahe. Kapag gumawa ng malaking output ang isang gawain, ia-upload ng Airstalk ang data gamit ang tampok na blob ng MDM API.

Ang mga naobserbahang ACTIONS na sinusuportahan ng backdoor ng PowerShell ay kinabibilangan ng:

• Kumuha ng screenshot.
• Kunin ang cookies mula sa Google Chrome.
• Ilista ang lahat ng profile ng user sa Chrome.
• Kumuha ng mga bookmark para sa isang tinukoy na profile sa Chrome.
• Kolektahin ang kasaysayan ng pagba-browse para sa isang tinukoy na profile sa Chrome.
• Isa-isahin ang lahat ng mga file sa ilalim ng direktoryo ng gumagamit.
• I-uninstall ang sarili nito.

Ang .NET Variant: Mga Pinahusay na Target At Kakayahan

Ang .NET build ay nagpapalawak ng saklaw at pagiging sopistikado. Tina-target nito ang mga karagdagang browser ng enterprise (Microsoft Edge at Island), sinusubukang magpanggap bilang isang AirWatch helper executable (AirwatchHelper.exe), at nagdaragdag ng tatlong karagdagang uri ng mensahe na ginagamit para sa mga notification ng mismatch na bersyon, pag-debug ng output, at beaconing.

Mga pangunahing pagkakaiba at karagdagang pag-uugali ng .NET variant:

Gumagamit ng tatlong nakalaang execution thread para pangasiwaan ang mga gawain sa C2, i-exfiltrate ang mga debug log, at magsagawa ng mga pana-panahong beacon sa C2.

Sinusuportahan ang isang mas malawak na hanay ng command para sa naka-target na exfiltration at remote control, kabilang ang mga command na mag-dump ng mga partikular na profile ng browser, mag-upload ng mga file, magbukas ng mga URL, maglista ng mga nilalaman ng direktoryo, at higit pa.

Ang ilang mga sample ng .NET ay nilagdaan ng isang sertipiko na nauugnay sa 'Aoteng Industrial Automation (Langfang) Co., Ltd)' na pinaniniwalaan ng mga analyst na malamang na ninakaw; Ang mga unang sample ay may compilation timestamp ng Hunyo 28, 2024.

Hindi tulad ng bersyon ng PowerShell, ang .NET variant na mga sample na nasuri ay hindi patuloy na gumagawa ng nakaiskedyul na gawain para sa pagtitiyaga.

Ang pinalawak na hanay ng command na sinusunod sa mga sample na .NET ay kinabibilangan ng:

• Screenshot
• UpdateChrome (i-exfiltrate ang isang partikular na profile sa Chrome)
• FileMap (ilista ang mga nilalaman ng isang direktoryo)
• RunUtility (hindi pa ipinapatupad sa mga naobserbahang sample)
• EnterpriseChromeProfiles (bilangin ang mga profile sa Chrome)
• UploadFile (i-exfiltrate ang mga file/artifact at kredensyal)
• OpenURL (maglunsad ng URL sa Chrome)
• I-uninstall
• EnterpriseChromeBookmarks (kunin ang mga bookmark mula sa isang profile sa Chrome)
• EnterpriseIslandProfiles (bilangin ang mga profile ng Island browser)
• UpdateIsland (i-exfiltrate ang isang partikular na profile ng Isla)
• ExfilAlreadyOpenChrome (dump cookies mula sa kasalukuyang profile sa Chrome)

Pamamahagi At Epekto

Ang pagpapatungkol kung sino ang na-target at ang eksaktong paraan ng pamamahagi ay nananatiling hindi malinaw. Gayunpaman, ang paggamit ng mga MDM API bilang C2 at ang tahasang pagtutok sa mga browser ng enterprise, partikular na ang Island, na naglalayon sa mga corporate deployment, ay malakas na tumutukoy sa isang supply-chain o third-party na kompromiso ng vendor na nagta-target sa mga business process outsourcing (BPO) na kumpanya. Ang mga provider ng BPO ay mga kaakit-akit na target dahil ang ninakaw na cookies ng session ng browser at mga artifact ng profile ay maaaring magbigay ng access sa mga umaatake sa maraming downstream na kapaligiran ng kliyente; ang patuloy na pag-access sa pamamagitan ng imprastraktura ng isang vendor ay nagpapalakas ng epekto.

Konklusyon

Nagpapakita ang Airstalk ng isang nauukol na trend: ang mga umaatake ay umaabuso sa mga pinagkakatiwalaang platform ng pamamahala upang ihalo ang nakakahamak na trapiko sa lehitimong administratibong telemetry. Para sa mga organisasyong umaasa sa mga third-party na vendor o mga serbisyo ng BPO, materyal na pinapataas ng diskarteng ito ang panganib na ang isang kompromiso ay kaskade sa maraming kapaligiran ng kliyente. Ang pagbabantay sa aktibidad ng MDM, pinagmulan ng sertipiko, at ang integridad ng mga toolchain ng vendor ay mahalaga upang matukoy at malimitahan ang klase ng pagbabanta na ito.