Знижка на кілька ліцензій
База даних загроз Шкідливе програмне забезпечення Шкідливе програмне забезпечення Airstalk

Шкідливе програмне забезпечення Airstalk

До Mezo року в Шкідливе програмне забезпечення, Розширена постійна загроза (APT) році
Перекласти на:

Нещодавно виявлене сімейство шкідливих програм, що належить до підозрілого кластера національних держав (позначеного як CL-STA-1009), поширюється таким чином, що являє собою вторгнення в ланцюг поставок. Імплантат під назвою Airstalk використовує інфраструктуру управління мобільними пристроями підприємства (MDM) для приховування трафіку командування та контролю (C2) та вилучення артефактів браузера та інших конфіденційних даних зі скомпрометованих хостів.

Як загроза ховається у всіх на виду

Airstalk перепрофілює API AirWatch (тепер Workspace ONE Unified Endpoint Management) як свій прихований канал C2. Замість використання API для легітимного керування пристроями, шкідливе програмне забезпечення використовує власні атрибути пристроїв та функції завантаження файлів (blob) для обміну повідомленнями зі своїми операторами, фактично перетворюючи кінцеву точку MDM на точку розв'язання проблем для зв'язку зловмисників та завантаження великих обсягів даних.

Дві реалізації: PowerShell проти .NET

Було виявлено дві різні збірки: бекдор PowerShell та більш багатофункціональний варіант .NET. Обидві реалізують багатопотоковий протокол C2 та підтримують операції крадіжки даних, такі як створення скріншотів та збір файлів cookie, історії переглядів та закладок. Дані свідчать про те, що деякі артефакти були підписані сертифікатом, який дослідники вважають ймовірним для крадіжки.

Варіант PowerShell: поведінка та можливості C2

Імплантат PowerShell взаємодіє через кінцеву точку /api/mdm/devices/. Після запуску він встановлює контакт за допомогою простого рукостискання CONNECT/CONNECTED, отримує завдання, упаковані як повідомлення «ACTIONS», виконує їх та повертає результати за допомогою повідомлень «RESULT». Коли завдання створює великий обсяг виводу, Airstalk завантажує дані за допомогою функції blob-об'єктів MDM API.

Спостережувані ДІЇ, що підтримуються бекдором PowerShell, включають:

  • Зробіть знімок екрана.
  • Отримати файли cookie з Google Chrome.
  • Список усіх профілів користувачів Chrome.
  • Отримати закладки для вказаного профілю Chrome.
  • Збирати історію переглядів для вказаного профілю Chrome.
  • Перерахувати всі файли в каталозі користувача.
  • Видалити сам.

Варіант .NET: розширені цілі та можливості

Збірка .NET розширює можливості та складність. Вона орієнтована на додаткові корпоративні браузери (Microsoft Edge та Island), намагається маскуватися під виконуваний файл допоміжного програмного забезпечення AirWatch (AirwatchHelper.exe) та додає три додаткові типи повідомлень, що використовуються для сповіщень про невідповідність версій, виведення налагодження та маяків.

Ключові відмінності та додаткові характеристики варіанта .NET:

Використовує три виділені потоки виконання для обробки завдань C2, вилучення журналів налагодження та періодичного виконання маячків до C2.

Підтримує ширший набір команд для цілеспрямованого вилучення даних та віддаленого керування, включаючи команди для вилучення певних профілів браузера, завантаження файлів, відкриття URL-адрес, перегляду вмісту каталогів тощо.

Деякі зразки .NET підписані сертифікатом, що належить «Aoteng Industrial Automation (Langfang) Co., Ltd)», який, на думку аналітиків, ймовірно, був викрадений; ранні зразки мають позначку часу компіляції 28 червня 2024 року.

На відміну від версії PowerShell, проаналізовані зразки варіантів .NET не створюють послідовно заплановане завдання для збереження.

Розширений набір команд, що спостерігається у зразках .NET, включає:

  • Знімок екрана
  • UpdateChrome (вилучення даних з певного профілю Chrome)
  • FileMap (виведення списку вмісту каталогу)
  • RunUtility (ще не реалізовано у спостережуваних зразках)
  • EnterpriseChromeProfiles (перерахування профілів Chrome)
  • UploadFile (вилучення файлів/артефактів та облікових даних)
  • OpenURL (запуск URL-адреси в Chrome)
  • Видалити
  • EnterpriseChromeBookmarks (отримання закладок з профілю Chrome)
  • EnterpriseIslandProfiles (перерахування профілів браузерів Island)
  • UpdateIsland (вилучення даних з певного профілю острова)
  • ExfilAlreadyOpenChrome (видалити файли cookie з поточного профілю Chrome)

Розповсюдження та вплив

Точне визначення того, хто став цільовою аудиторією, та точний метод розповсюдження залишаються незрозумілими. Однак використання MDM API як C2 та явна зосередженість на корпоративних браузерах, зокрема Island, який орієнтований на корпоративне розгортання, переконливо вказують на компрометацію ланцюга поставок або стороннього постачальника, спрямовану на фірми, що займаються аутсорсингом бізнес-процесів (BPO). Постачальники BPO є привабливими цілями, оскільки викрадені файли cookie сеансів браузера та артефакти профілю можуть надати зловмисникам доступ до численних середовищ клієнтів; постійний доступ через інфраструктуру постачальника посилює вплив.

Висновок

Airstalk демонструє тривожну тенденцію: зловмисники зловживають довіреними платформами управління для поєднання шкідливого трафіку з легітимною адміністративною телеметрією. Для організацій, які покладаються на сторонніх постачальників або послуги BPO, цей метод суттєво збільшує ризик того, що одна компрометація пошириться на багато клієнтських середовищ. Пильність щодо активності MDM, походження сертифікатів та цілісності інструментальних ланцюжків постачальників є важливою для виявлення та обмеження цього класу загроз.

В тренді

Шахрайство з втратою посилки DHL Express

Фішинг, Спам
Дослідники з кібербезпеки попередили про шахрайську фішингову кампанію, відому як шахрайство з втратою посилки DHL Express. Ці шахрайські електронні листи маскуються під офіційні повідомлення про доставку, нібито надіслані DHL. У повідомленнях зазвичай стверджується, що одержувач повинен підтвердити свою адресу або підтвердити доставку, щоб запобігти втраті посилки. Насправді ці твердження є...

Шахрайство з плановим очищенням невикористовуваних...

Фішинг, Спам
Дослідники з кібербезпеки виявили, що так звані електронні листи з «плановим очищенням невикористовуваних облікових записів» не є законними сповіщеннями про технічне обслуговування, а радше зловмисними спробами фішингу. Ці шахрайські повідомлення розроблені для того, щоб обманом змусити одержувачів розкрити конфіденційну інформацію для входу під виглядом перевірки безпеки. Вони не пов’язані з...

Найбільше переглянуті

Шкідливе програмне забезпечення

Фішинг, Спам
32,947
Шахрайське повідомлення «Apple Pay Suspended» — це різновид фішингової тактики, спрямованої на користувачів Apple Pay. У повідомленні стверджується, що гаманець Apple Pay користувача призупинено, і закликається натиснути посилання, щоб відновити його. Однак, натиснувши посилання, користувач перейде на підроблений веб-сайт, призначений для викрадення його особистої та фінансової інформації. Якщо...

Fuq.com

Програма захисту від шпигунського ПЗ, Шкідливе програмне забезпечення Mac
23,319
Fuq.com — це програма рекламного типу, яка рекламує веб-сайти з порнографічним вмістом. Рекламні кампанії цієї потенційно небажаної програми (PUP) є дуже агресивними. Вони змушують своїх жертв...
Завантаження...