Airstalk恶意软件
一种新发现的恶意软件家族(疑似由国家级组织发起,编号为CL-STA-1009)正以符合供应链入侵的方式进行传播。该恶意软件名为Airstalk,利用企业移动设备管理(MDM)基础设施来隐藏命令与控制(C2)流量,并从受感染主机窃取浏览器数据和其他敏感数据。
目录
威胁如何隐藏在众目睽睽之下
Airstalk 将 AirWatch API(现为 Workspace ONE 统一端点管理)改造为隐蔽的 C2 通道。该恶意软件并非利用 API 进行合法的设备管理,而是利用自定义设备属性和文件上传(blob)功能与攻击者交换信息,从而有效地将 MDM 端点变成攻击者通信和上传大数据的秘密渠道。
两种实现方式:PowerShell 与 .NET
目前已发现两种不同的版本:一种是 PowerShell 后门程序,另一种是功能更丰富的 .NET 版本。两者都实现了多线程 C2 协议,并支持数据窃取操作,例如截屏、收集 cookie、浏览历史记录和书签。有证据表明,部分恶意软件使用了研究人员认为很可能是窃取的证书进行签名。
PowerShell 变体:C2 行为和功能
PowerShell 植入程序通过 /api/mdm/devices/ 端点进行通信。启动时,它通过简单的 CONNECT/CONNECTED 握手建立连接,接收打包为“ACTIONS”消息的任务,执行这些任务,并使用“RESULT”消息返回结果。当任务产生大量输出时,Airstalk 会使用 MDM API 的 blob 功能上传数据。
已观察到的 PowerShell 后门支持的操作包括:
- 截屏。
- 从 Google Chrome 中检索 cookie。
- 列出所有 Chrome 用户配置文件。
- 获取指定 Chrome 配置文件的书签。
- 收集指定 Chrome 用户配置文件的浏览历史记录。
- 列举用户目录下的所有文件。
- 自行卸载。
.NET 版本:增强的目标和功能
.NET 版本扩展了功能范围和复杂性。它支持更多企业级浏览器(Microsoft Edge 和 Island),尝试伪装成 AirWatch 辅助程序可执行文件 (AirwatchHelper.exe),并添加了三种额外的消息类型,用于版本不匹配通知、调试输出和信标。
.NET 版本的主要区别和附加功能:
使用三个专用执行线程来处理 C2 任务、导出调试日志以及定期向 C2 发送信标。
支持更广泛的命令集,用于有针对性的数据泄露和远程控制,包括转储特定浏览器配置文件、上传文件、打开 URL、列出目录内容等命令。
一些 .NET 样本使用归属于“奥腾工业自动化(廊坊)有限公司”的证书进行签名,分析人士认为该证书很可能是被盗的;早期样本的编译时间戳为 2024 年 6 月 28 日。
与 PowerShell 版本不同,所分析的 .NET 变体样本并不会始终如一地创建用于持久化的计划任务。
.NET 示例中观察到的扩展命令集包括:
- 截屏
- UpdateChrome(提取特定 Chrome 配置文件)
- 文件映射(列出目录内容)
- RunUtility(尚未在观测样本中实现)
- EnterpriseChromeProfiles(枚举 Chrome 配置文件)
- UploadFile(窃取文件/工件和凭证)
- OpenURL(在 Chrome 中打开 URL)
- 卸载
- 企业版Chrome书签(从Chrome配置文件中检索书签)
- EnterpriseIslandProfiles(枚举 Island 浏览器配置文件)
- UpdateIsland(提取特定岛屿配置文件)
- ExfilAlreadyOpenChrome(从当前 Chrome 配置文件中导出 cookie)
分布与影响
目前尚不清楚攻击目标的具体身份和传播方式。然而,利用移动设备管理 (MDM) API 作为指挥控制 (C2) 服务器,以及明确针对企业浏览器(尤其是面向企业部署的 Island 浏览器)的攻击,都强烈暗示此次攻击可能针对供应链或第三方供应商,目标是业务流程外包 (BPO) 公司。BPO 提供商之所以成为攻击目标,是因为被盗的浏览器会话 cookie 和用户画像信息可以让攻击者访问众多下游客户端环境;通过供应商的基础设施实现持续访问,更能扩大攻击范围。
结论
Airstalk 揭示了一种令人担忧的趋势:攻击者滥用受信任的管理平台,将恶意流量与合法的管理遥测数据混杂在一起。对于依赖第三方供应商或业务流程外包 (BPO) 服务的组织而言,这种技术会显著增加单一攻击事件蔓延至多个客户端环境的风险。密切关注主数据管理 (MDM) 活动、证书来源以及供应商工具链的完整性,对于检测和限制此类威胁至关重要。
