Airstalk惡意軟體
一種新發現的惡意軟體家族(疑似由國家級組織發起,編號為CL-STA-1009)正以符合供應鏈入侵的方式進行傳播。該惡意軟體名為Airstalk,利用企業行動裝置管理(MDM)基礎設施來隱藏命令與控制(C2)流量,並從受感染主機竊取瀏覽器資料和其他敏感資料。
目錄
威脅如何隱藏在眾目睽睽之下
Airstalk 將 AirWatch API(現為 Workspace ONE 統一端點管理)改造為隱藏的 C2 通道。該惡意軟體並非利用 API 進行合法的設備管理,而是利用自訂設備屬性和文件上傳(blob)功能與攻擊者交換訊息,從而有效地將 MDM 端點變成攻擊者通信和上傳大數據的秘密管道。
兩種實作方式:PowerShell 與 .NET
目前已發現兩種不同的版本:一種是 PowerShell 後門程序,另一種是功能更豐富的 .NET 版本。兩者都實作了多執行緒 C2 協議,並支援資料竊取操作,例如截圖、收集 cookie、瀏覽歷史記錄和書籤。有證據表明,部分惡意軟體使用了研究人員認為很可能是竊取的憑證進行簽署。
PowerShell 變體:C2 行為與功能
PowerShell 植入程式透過 /api/mdm/devices/ 端點進行通訊。啟動時,它透過簡單的 CONNECT/CONNECTED 握手建立連接,接收打包為「ACTIONS」訊息的任務,執行這些任務,並使用「RESULT」訊息傳回結果。當任務產生大量輸出時,Airstalk 會使用 MDM API 的 blob 功能上傳資料。
已觀察到的 PowerShell 後門支援的操作包括:
- 螢幕截圖.
- 從 Google Chrome 檢索 cookie。
- 列出所有 Chrome 使用者設定檔。
- 取得指定 Chrome 設定檔的書籤。
- 收集指定 Chrome 使用者設定檔的瀏覽記錄。
- 列舉使用者目錄下的所有檔案。
- 自行卸載。
.NET 版本:增強的目標和功能
.NET 版本擴充了功能範圍和複雜度。它支援更多企業級瀏覽器(Microsoft Edge 和 Island),嘗試偽裝成 AirWatch 輔助程式可執行檔 (AirwatchHelper.exe),並新增了三種額外的訊息類型,用於版本不符通知、偵錯輸出和信標。
.NET 版本的主要差異和附加功能:
使用三個專用執行緒來處理 C2 任務、匯出偵錯日誌以及定期向 C2 發送信標。
支援更廣泛的命令集,用於有針對性的資料外洩和遠端控制,包括轉儲特定瀏覽器設定檔、上傳檔案、開啟 URL、列出目錄內容等命令。
一些 .NET 樣本使用歸屬於「奧騰工業自動化(廊坊)有限公司」的證書進行簽名,分析師認為該證書很可能是被盜的;早期樣本的編譯時間戳為 2024 年 6 月 28 日。
與 PowerShell 版本不同,所分析的 .NET 變體樣本並不會一致地建立用於持久化的排程任務。
.NET 範例中觀察到的擴充命令集包括:
- 螢幕截圖
- UpdateChrome(擷取特定 Chrome 設定檔)
- 文件映射(列出目錄內容)
- RunUtility(尚未在觀測樣本中實現)
- EnterpriseChromeProfiles(列舉 Chrome 設定檔)
- UploadFile(竊取檔案/工件和憑證)
- OpenURL(在 Chrome 中開啟 URL)
- 解除安裝
- 企業版Chrome書籤(從Chrome設定檔中檢索書籤)
- EnterpriseIslandProfiles(枚舉 Island 瀏覽器設定檔)
- UpdateIsland(提取特定島嶼設定檔)
- ExfilAlreadyOpenChrome(從目前 Chrome 設定檔中匯出 cookie)
分佈與影響
目前尚不清楚攻擊目標的具體身分和傳播方式。然而,利用行動裝置管理 (MDM) API 作為指揮控制 (C2) 伺服器,以及明確針對企業瀏覽器(尤其是面向企業部署的 Island 瀏覽器)的攻擊,都強烈暗示此攻擊可能針對供應鏈或第三方供應商,目標是業務流程外包 (BPO) 公司。 BPO 供應商之所以成為攻擊目標,是因為被盜的瀏覽器會話 cookie 和用戶畫像資訊可以讓攻擊者訪問眾多下游用戶端環境;透過供應商的基礎設施實現持續訪問,更能擴大攻擊範圍。
結論
Airstalk 揭示了一種令人擔憂的趨勢:攻擊者濫用受信任的管理平台,將惡意流量與合法的管理遙測資料混雜在一起。對於依賴第三方供應商或業務流程外包 (BPO) 服務的組織而言,這種技術會顯著增加單一攻擊事件蔓延至多個用戶端環境的風險。密切注意主資料管理 (MDM) 活動、證書來源以及供應商工具鏈的完整性,對於偵測和限制此類威脅至關重要。
