Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware Airstalk-Malware

Airstalk-Malware

Von Mezo in Malware, Erweiterte, anhaltende Bedrohung (APT)
Übersetzen Sie in:

Eine neu entdeckte Malware-Familie, die einem mutmaßlichen staatlich organisierten Cluster zugeordnet wird (Bezeichnung: CL-STA-1009), wird auf eine Weise verbreitet, die auf einen Angriff auf die Lieferkette hindeutet. Das Implantat mit dem Namen Airstalk nutzt die Infrastruktur für das Management mobiler Geräte (MDM) in Unternehmen, um den Command-and-Control-Verkehr (C2) zu verschleiern und Browserdaten sowie andere sensible Daten von kompromittierten Rechnern zu exfiltrieren.

Wie die Bedrohung im Verborgenen agiert

Airstalk nutzt die AirWatch-API (jetzt Workspace ONE Unified Endpoint Management) als verdeckten C2-Kanal. Anstatt die API für die legitime Geräteverwaltung zu verwenden, nutzt die Malware benutzerdefinierte Geräteattribute und Datei-Upload-Funktionen (Blobs), um Nachrichten mit ihren Bedienern auszutauschen. Dadurch wird ein MDM-Endpunkt effektiv zu einem inaktiven Server für die Kommunikation der Angreifer und den Upload großer Datenmengen.

Zwei Implementierungen: PowerShell vs. .NET

Es wurden zwei unterschiedliche Builds beobachtet: eine PowerShell-Backdoor und eine funktionsreichere .NET-Variante. Beide implementieren ein Multithread-fähiges C2-Protokoll und unterstützen Datendiebstahl, beispielsweise das Erstellen von Screenshots und das Auslesen von Cookies, Browserverlauf und Lesezeichen. Hinweise deuten darauf hin, dass einige Artefakte mit einem Zertifikat signiert wurden, das Forscher als wahrscheinlich gestohlen einstufen.

PowerShell-Variante: C2-Verhalten und -Fähigkeiten

Das PowerShell-Implantat kommuniziert über den Endpunkt `/api/mdm/devices/`. Beim Start stellt es eine Verbindung mittels eines einfachen CONNECT/CONNECTED-Handshakes her, empfängt Aufgaben in Form von „ACTIONS“-Nachrichten, führt diese aus und gibt die Ergebnisse mit „RESULT“-Nachrichten zurück. Bei großen Datenmengen lädt Airstalk diese mithilfe der Blob-Funktion der MDM-API hoch.

Zu den beobachteten Aktionen, die von der PowerShell-Hintertür unterstützt werden, gehören:

  • Mach einen Screenshot.
  • Cookies von Google Chrome abrufen.
  • Liste alle Chrome-Benutzerprofile auf.
  • Lesezeichen für ein bestimmtes Chrome-Profil abrufen.
  • Sammeln Sie den Browserverlauf für ein bestimmtes Chrome-Profil.
  • Alle Dateien im Benutzerverzeichnis auflisten.
  • Deinstalliert sich selbst.

Die .NET-Variante: Erweiterte Ziele und Funktionen

Die .NET-Version erweitert den Umfang und die Funktionalität. Sie zielt auf zusätzliche Unternehmensbrowser (Microsoft Edge und Island) ab, versucht, sich als AirWatch-Hilfsprogramm (AirwatchHelper.exe) auszugeben, und fügt drei zusätzliche Nachrichtentypen hinzu, die für Benachrichtigungen bei Versionskonflikten, Debugging-Ausgaben und Beaconing verwendet werden.

Wesentliche Unterschiede und zusätzliche Verhaltensweisen der .NET-Variante:

Verwendet drei dedizierte Ausführungsthreads, um C2-Aufgaben zu bearbeiten, Debug-Protokolle zu exfiltrieren und periodische Beacons an C2 zu senden.

Unterstützt einen breiteren Befehlssatz für gezielte Datenexfiltration und Fernsteuerung, einschließlich Befehlen zum Auslesen bestimmter Browserprofile, zum Hochladen von Dateien, zum Öffnen von URLs, zum Auflisten von Verzeichnisinhalten und mehr.

Einige .NET-Beispiele sind mit einem Zertifikat signiert, das auf 'Aoteng Industrial Automation (Langfang) Co., Ltd' ausgestellt ist und von dem Analysten annehmen, dass es gestohlen wurde; frühe Beispiele tragen einen Kompilierungszeitstempel vom 28. Juni 2024.

Im Gegensatz zur PowerShell-Version erstellen die analysierten .NET-Variantenbeispiele nicht durchgängig einen geplanten Task zur Persistenz.

Der in den .NET-Beispielen beobachtete erweiterte Befehlssatz umfasst:

  • Screenshot
  • UpdateChrome (Exfiltration eines bestimmten Chrome-Profils)
  • FileMap (Inhalt eines Verzeichnisses auflisten)
  • RunUtility (in den beobachteten Stichproben noch nicht implementiert)
  • EnterpriseChromeProfiles (Chrome-Profile auflisten)
  • UploadFile (Dateien/Artefakte und Anmeldeinformationen exfiltrieren)
  • OpenURL (eine URL in Chrome öffnen)
  • Deinstallieren
  • EnterpriseChromeBookmarks (Lesezeichen aus einem Chrome-Profil abrufen)
  • EnterpriseIslandProfiles (Aufzählung der Island-Browserprofile)
  • UpdateIsland (Exfiltration eines bestimmten Inselprofils)
  • ExfilAlreadyOpenChrome (Cookies aus dem aktuellen Chrome-Profil löschen)

Verbreitung und Wirkung

Die Zuordnung der Zielpersonen und die genaue Verbreitungsmethode sind weiterhin unklar. Die Nutzung von MDM-APIs als C2-Server und der explizite Fokus auf Unternehmensbrowser, insbesondere Island, der für den Einsatz in Unternehmen konzipiert ist, deuten jedoch stark auf eine Kompromittierung der Lieferkette oder eines Drittanbieters hin, die auf Business Process Outsourcing (BPO)-Unternehmen abzielt. BPO-Anbieter sind attraktive Ziele, da gestohlene Browser-Session-Cookies und Profilinformationen Angreifern Zugriff auf zahlreiche nachgelagerte Kundenumgebungen ermöglichen; ein dauerhafter Zugriff über die Infrastruktur eines Anbieters verstärkt die Auswirkungen.

Abschluss

Airstalk verdeutlicht einen besorgniserregenden Trend: Angreifer missbrauchen vertrauenswürdige Managementplattformen, um schädlichen Datenverkehr mit legitimen administrativen Telemetriedaten zu vermischen. Für Organisationen, die auf Drittanbieter oder BPO-Dienstleistungen angewiesen sind, erhöht diese Technik das Risiko erheblich, dass ein einzelner Angriff sich auf viele Kundenumgebungen ausweitet. Wachsamkeit in Bezug auf MDM-Aktivitäten, die Herkunft von Zertifikaten und die Integrität der Toolchains von Anbietern ist unerlässlich, um diese Bedrohungsart zu erkennen und einzudämmen.

Im Trend

Am häufigsten gesehen

Wird geladen...