Airstalk Kötü Amaçlı Yazılım
Şüpheli bir ulus-devlet kümesine (CL-STA-1009 olarak adlandırılan) atfedilen yeni bir kötü amaçlı yazılım ailesi, tedarik zinciri ihlaliyle tutarlı bir şekilde dağıtılıyor. Airstalk adlı bu yazılım, Komuta ve Kontrol (C2) trafiğini gizlemek ve tarayıcı verilerini ve diğer hassas verileri ele geçirilmiş ana bilgisayarlardan sızdırmak için kurumsal mobil cihaz yönetimi (MDM) altyapısını kullanıyor.
İçindekiler
Tehdit Nasıl Göz Önünde Saklanıyor?
Airstalk, AirWatch API'sini (şimdi Workspace ONE Birleşik Uç Nokta Yönetimi) gizli C2 kanalı olarak yeniden kullanıyor. Kötü amaçlı yazılım, API'yi meşru cihaz yönetimi için kullanmak yerine, operatörleriyle mesaj alışverişinde bulunmak için özel cihaz niteliklerini ve dosya yükleme (blob) özelliklerini kullanıyor ve böylece bir MDM uç noktasını saldırgan iletişimleri ve büyük veri yüklemeleri için bir çıkmaz çözümleyiciye dönüştürüyor.
İki Uygulama: PowerShell ve .NET
İki farklı sürüm gözlemlendi: bir PowerShell arka kapısı ve daha fazla özellik içeren bir .NET sürümü. Her ikisi de çok iş parçacıklı bir C2 protokolü uyguluyor ve ekran görüntüsü alma, çerezleri, tarama geçmişini ve yer imlerini toplama gibi veri hırsızlığı işlemlerini destekliyor. Kanıtlar, bazı yapıtların araştırmacıların çalınma ihtimalinin yüksek olduğu bir sertifika ile imzalandığını gösteriyor.
PowerShell Varyantı: C2 Davranışı ve Yetenekleri
PowerShell implantı, /api/mdm/devices/ uç noktası üzerinden iletişim kurar. Başlatma sırasında basit bir CONNECT/CONNECTED el sıkışmasıyla bağlantı kurar, 'ACTIONS' mesajları olarak paketlenmiş görevleri alır, yürütür ve sonuçları 'RESULT' mesajlarını kullanarak döndürür. Bir görev büyük çıktı ürettiğinde, Airstalk verileri MDM API'sinin blob özelliğini kullanarak yükler.
PowerShell arka kapısı tarafından desteklenen gözlemlenen EYLEMLER şunlardır:
- Ekran görüntüsü alın.
- Google Chrome'dan çerezleri alın.
- Tüm kullanıcı Chrome profillerini listele.
- Belirli bir Chrome profili için yer imlerini edinin.
- Belirli bir Chrome profili için tarama geçmişini toplayın.
- Kullanıcı dizini altındaki tüm dosyaları numaralandır.
- Kendini kaldır.
.NET Varyantı: Gelişmiş Hedefler ve Yetenekler
.NET sürümü, kapsamı ve karmaşıklığı genişletiyor. Ek kurumsal tarayıcıları (Microsoft Edge ve Island) hedefliyor, AirWatch yardımcı çalıştırılabilir dosyası (AirwatchHelper.exe) gibi davranmaya çalışıyor ve sürüm uyumsuzluğu bildirimleri, hata ayıklama çıktısı ve işaretleme için kullanılan üç ek ileti türü ekliyor.
.NET varyantının temel farklılıkları ve ek davranışları:
C2 görevlerini yönetmek, hata ayıklama günlüklerini çıkarmak ve C2'ye periyodik işaretler göndermek için üç özel yürütme iş parçacığı kullanır.
Belirli tarayıcı profillerini boşaltma, dosya yükleme, URL açma, dizin içeriklerini listeleme ve daha fazlası gibi komutlar dahil olmak üzere hedefli sızdırma ve uzaktan kontrol için daha geniş bir komut kümesini destekler.
Bazı .NET örnekleri, analistlerin büyük ihtimalle çalındığına inandığı 'Aoteng Industrial Automation (Langfang) Co., Ltd'ye atfedilen bir sertifika ile imzalanmıştır; ilk örneklerde derleme zaman damgası 28 Haziran 2024'tür.
PowerShell sürümünün aksine, analiz edilen .NET varyantı örnekleri, kalıcılık için tutarlı bir şekilde zamanlanmış bir görev oluşturmaz.
.NET örneklerinde gözlemlenen genişletilmiş komut seti şunları içerir:
- Ekran görüntüsü
- UpdateChrome (belirli bir Chrome profilini dışarı aktar)
- FileMap (bir dizinin içeriğini listeler)
- RunUtility (gözlemlenen örneklerde henüz uygulanmadı)
- EnterpriseChromeProfiles (Chrome profillerini numaralandır)
- UploadFile (dosyaları/yapıtları ve kimlik bilgilerini dışarı aktar)
- OpenURL (Chrome'da bir URL başlat)
- Kaldır
- EnterpriseChromeBookmarks (bir Chrome profilinden yer imlerini alın)
- EnterpriseIslandProfiles (Ada tarayıcı profillerini sıralayın)
- UpdateIsland (belirli bir Ada profilini dışarı aktar)
- ExfilAlreadyOpenChrome (geçerli Chrome profilinden çerezleri boşalt)
Dağıtım ve Etki
Hedeflenen kişinin kim olduğu ve kesin dağıtım yöntemi henüz netlik kazanmadı. Ancak, MDM API'lerinin C2 olarak kullanılması ve özellikle kurumsal dağıtımlara yönelik Island gibi kurumsal tarayıcılara açıkça odaklanılması, iş süreci dış kaynak kullanımı (BPO) firmalarını hedef alan bir tedarik zinciri veya üçüncü taraf tedarikçi ihlaline işaret ediyor. BPO sağlayıcıları, çalınan tarayıcı oturum çerezleri ve profil verileri saldırganlara çok sayıda alt akış istemci ortamına erişim sağlayabildiğinden cazip hedeflerdir; bir tedarikçinin altyapısı üzerinden sürekli erişim ise etkiyi artırır.
Çözüm
Airstalk, endişe verici bir eğilimi gözler önüne seriyor: Saldırganlar, kötü amaçlı trafiği meşru idari telemetriyle birleştirmek için güvenilir yönetim platformlarını kötüye kullanıyor. Üçüncü taraf tedarikçilere veya BPO hizmetlerine güvenen kuruluşlar için bu teknik, tek bir ihlalin birçok istemci ortamına yayılma riskini önemli ölçüde artırıyor. Bu tehdit türünü tespit etmek ve sınırlamak için MDM etkinliği, sertifika kaynağı ve tedarikçi araç zincirlerinin bütünlüğü konusunda dikkatli olmak şarttır.
