Phần mềm độc hại Airstalk

Một họ phần mềm độc hại mới được phát hiện, được cho là có nguồn gốc từ một cụm máy chủ quốc gia bị nghi ngờ (được chỉ định là CL-STA-1009), đang được phát tán theo cách thức tương tự như một cuộc xâm nhập chuỗi cung ứng. Phần mềm độc hại, có tên Airstalk, tận dụng cơ sở hạ tầng quản lý thiết bị di động (MDM) của doanh nghiệp để che giấu lưu lượng Chỉ huy và Kiểm soát (C2) và đánh cắp các hiện vật trình duyệt cùng các dữ liệu nhạy cảm khác từ các máy chủ bị xâm nhập.

Mối đe dọa ẩn mình ngay trước mắt như thế nào

Airstalk tái sử dụng API AirWatch (nay là Workspace ONE Unified Endpoint Management) làm kênh C2 bí mật. Thay vì sử dụng API để quản lý thiết bị hợp pháp, phần mềm độc hại này sử dụng các thuộc tính thiết bị tùy chỉnh và tính năng tải tệp (blob) để trao đổi thông tin với người điều hành, biến điểm cuối MDM thành một điểm chết cho việc liên lạc của kẻ tấn công và tải dữ liệu lớn.

Hai triển khai: PowerShell so với .NET

Hai bản dựng riêng biệt đã được phát hiện: một cửa hậu PowerShell và một biến thể .NET giàu tính năng hơn. Cả hai đều triển khai giao thức C2 đa luồng và hỗ trợ các hoạt động đánh cắp dữ liệu, chẳng hạn như chụp ảnh màn hình và thu thập cookie, lịch sử duyệt web và dấu trang. Bằng chứng cho thấy một số hiện vật đã được ký bằng một chứng chỉ mà các nhà nghiên cứu cho là có khả năng bị đánh cắp.

Biến thể PowerShell: Hành vi và khả năng của C2

Cấy ghép PowerShell giao tiếp qua điểm cuối /api/mdm/devices/. Khi khởi động, nó thiết lập kết nối với một giao thức bắt tay CONNECT/CONNECTED đơn giản, nhận các tác vụ được đóng gói dưới dạng tin nhắn 'ACTIONS', thực thi chúng và trả về kết quả bằng tin nhắn 'RESULT'. Khi một tác vụ tạo ra đầu ra lớn, Airstalk sẽ tải dữ liệu lên bằng tính năng blob của API MDM.

Các HÀNH ĐỘNG được quan sát thấy được hỗ trợ bởi cửa hậu PowerShell bao gồm:

• Chụp ảnh màn hình.
• Lấy cookie từ Google Chrome.
• Liệt kê tất cả hồ sơ người dùng Chrome.
• Nhận dấu trang cho hồ sơ Chrome đã chỉ định.
• Thu thập lịch sử duyệt web cho một hồ sơ Chrome cụ thể.
• Liệt kê tất cả các tập tin trong thư mục người dùng.
• Tự gỡ cài đặt.

Biến thể .NET: Mục tiêu và khả năng nâng cao

Bản dựng .NET mở rộng phạm vi và tính phức tạp. Nó nhắm đến các trình duyệt doanh nghiệp bổ sung (Microsoft Edge và Island), cố gắng ngụy trang thành một tệp thực thi trợ giúp AirWatch (AirwatchHelper.exe) và thêm ba loại thông báo bổ sung được sử dụng cho thông báo không khớp phiên bản, đầu ra gỡ lỗi và beacon.

Sự khác biệt chính và các hành vi bổ sung của biến thể .NET:

Sử dụng ba luồng thực thi chuyên dụng để xử lý các tác vụ C2, trích xuất nhật ký gỡ lỗi và thực hiện các tín hiệu định kỳ tới C2.

Hỗ trợ bộ lệnh rộng hơn để trích xuất dữ liệu có mục tiêu và điều khiển từ xa, bao gồm các lệnh để xóa các cấu hình trình duyệt cụ thể, tải tệp lên, mở URL, liệt kê nội dung thư mục, v.v.

Một số mẫu .NET được ký bằng chứng chỉ được cho là của 'Aoteng Industrial Automation (Langfang) Co., Ltd)' mà các nhà phân tích tin rằng có khả năng đã bị đánh cắp; các mẫu ban đầu có dấu thời gian biên dịch là ngày 28 tháng 6 năm 2024.

Không giống như phiên bản PowerShell, các mẫu biến thể .NET được phân tích không nhất quán tạo ra tác vụ theo lịch trình để duy trì.

Bộ lệnh mở rộng được quan sát thấy trong các mẫu .NET bao gồm:

• Ảnh chụp màn hình
• UpdateChrome (xóa một hồ sơ Chrome cụ thể)
• FileMap (liệt kê nội dung của một thư mục)
• RunUtility (chưa được triển khai trong các mẫu quan sát)
• EnterpriseChromeProfiles (liệt kê các hồ sơ Chrome)
• UploadFile (giải nén các tệp/hiện vật và thông tin xác thực)
• OpenURL (khởi chạy URL trong Chrome)
• Gỡ cài đặt
• EnterpriseChromeBookmarks (lấy dấu trang từ hồ sơ Chrome)
• EnterpriseIslandProfiles (liệt kê các hồ sơ trình duyệt Island)
• UpdateIsland (lọc ra một hồ sơ Đảo cụ thể)
• ExfilAlreadyOpenChrome (đổ cookie từ hồ sơ Chrome hiện tại)

Phân phối và tác động

Việc xác định ai là mục tiêu và phương thức phân phối chính xác vẫn chưa rõ ràng. Tuy nhiên, việc sử dụng API MDM làm C2 và tập trung rõ ràng vào các trình duyệt doanh nghiệp, đặc biệt là Island, vốn nhắm vào các triển khai của doanh nghiệp, cho thấy rõ ràng một sự xâm phạm chuỗi cung ứng hoặc nhà cung cấp bên thứ ba nhắm vào các công ty gia công quy trình kinh doanh (BPO). Các nhà cung cấp BPO là những mục tiêu hấp dẫn vì cookie phiên trình duyệt bị đánh cắp và các hiện vật hồ sơ có thể cấp cho kẻ tấn công quyền truy cập vào nhiều môi trường máy khách hạ nguồn; việc truy cập liên tục thông qua cơ sở hạ tầng của nhà cung cấp sẽ khuếch đại tác động.

Phần kết luận

Airstalk cho thấy một xu hướng đáng lo ngại: kẻ tấn công lợi dụng các nền tảng quản lý đáng tin cậy để trộn lẫn lưu lượng độc hại với dữ liệu đo từ xa hành chính hợp pháp. Đối với các tổ chức dựa vào nhà cung cấp bên thứ ba hoặc dịch vụ BPO, kỹ thuật này làm tăng đáng kể nguy cơ một cuộc tấn công đơn lẻ sẽ lan rộng sang nhiều môi trường máy khách. Việc cảnh giác với hoạt động MDM, nguồn gốc chứng chỉ và tính toàn vẹn của chuỗi công cụ nhà cung cấp là điều cần thiết để phát hiện và hạn chế loại mối đe dọa này.