Группа исследователей кибербезопасности обнаружила новое семейство вредоносного программного обеспечения для операционных систем Windows, получившее название Airstalk. По данным аналитиков, злоумышленники, предположительно связанные с государством-нацией, использовали этот комплекс в атаке на цепочку поставок. Для отслеживания связанной активности создан кластер угроз CL-STA-1009.
Описание
Airstalk существует в двух вариантах: на основе PowerShell и .NET. Оба используют API платформы мобильного управления устройствами AirWatch (ныне известной как Workspace ONE Unified Endpoint Management) для создания скрытого канала управления и контроля (C2). Основной механизм взаимодействия злоумышленников с зараженными системами построен на функции управления пользовательскими атрибутами устройств и загрузки файлов через AirWatch.
Технические особенности и функциональность
Airstalk применяет многопоточный протокол C2-коммуникаций, поддерживает версионность и использует, вероятно, украденный сертификат для подписи部分 образцов. Основная цель вредоносного комплекса - кража конфиденциальных данных браузеров, включая файлы cookies, историю просмотров, закладки и снимки экрана.
Исследователи выделили две основные версии Airstalk. PowerShell-вариант обладает базовыми возможностями, тогда как .NET-вариант находится на более продвинутой стадии разработки и отличается расширенным функционалом. Обе версии используют один и тот же скрытый канал C2, но протоколы взаимодействия и целевые браузеры略有 отличаются.
В PowerShell-варианте для C2-коммуникаций задействована конечная точка devices API AirWatch. Вредонос использует функцию пользовательских атрибутов устройства для хранения деталей взаимодействия, реализуя так называемый "мертвый ящик" - метод скрытой передачи данных, при котором информация оставляется в скрытом месте для последующего извлечения другой стороной.
Для загрузки файлов используется конечная точка blobs API. Коммуникации построены на JSON-сообщениях, которые включают обязательные поля, такие как CLIENT_UUID (уникальный идентификатор устройства) и SERIALIZED_MESSAGE (сериализованное сообщение в кодировке Base64).
C2-протокол PowerShell-варианта поддерживает различные типы сообщений: CONNECT (запрос на подключение), CONNECTED (подтверждение подключения), ACTIONS (синхронизация задач) и RESULT (результаты выполнения задач). После установки соединения вредонос запрашивает задачи у злоумышленника, выполняет их и отправляет результаты обратно.
Среди идентификаторов задач (ACTION_ID) в PowerShell-варианте выделяются: создание снимка экрана, извлечение cookies Chrome, перечисление файлов в каталоге пользователя, получение закладок и истории браузера, а также удаление бэкдора.
.NET-вариант Airstalk демонстрирует более сложную архитектуру. Он использует три потока выполнения для управления C2-задачами, передачи отладочной информации и периодического оповещения (beaconing). Кроме Google Chrome, .NET-вариант также нацелен на Microsoft Edge и Island Browser.
В .NET-варианте добавлены новые типы сообщений, такие как MISMATCH (ошибка несовпадения версий), DEBUG (отладочные сообщения) и PING (для beaconing). Список задач включает как аналогичные PowerShell-варианту функции, так и дополнительные, например, экстрафикация профилей Island и управление уже открытыми сеансами Chrome.
Механизмы устойчивости и уклонения
PowerShell-вариант использует запланированные задачи для обеспечения persistence, которые удаляются при выполнении команды Uninstall. .NET-вариант не имеет механизма persistence и завершает работу, устанавливая флаг через API.
В качестве техники уклонения от обнаружения .NET-вариант подписан сертификатом, выданным организации Aoteng Industrial Automation (Langfang) Co., Ltd. Сертификат был отозван спустя 10 минут после выдачи, что указывает на его возможное хищение. Также злоумышленники манипулировали временными метками PE-файлов, однако подписанные метки позволили исследователям восстановить хронологию разработки.
Контекст атаки на цепочку поставок
По оценкам экспертов, высока вероятность того, что Airstalk использовался в атаке на цепочку поставок, нацеленной на организации, занимающиеся аутсорсингом бизнес-процессов (BPO). Такие компании часто имеют доступ к критически важным системам своих клиентов, что делает их привлекательными мишенями для злоумышленников, включая государства-нации.
Компрометация BPO-организации позволяет злоумышленникам получить доступ к данным множества клиентов. Кража cookies сессий, снимков экрана и другой конфиденциальной информации может привести к утечке proprietary данных не только самой жертвы, но и ее партнеров.
Долгосрочное присутствие в системе позволяет злоумышленникам изучить модели поведения пользователей, что усложняет обнаружение последующих вторжений. Ключевым аспектом защиты является расширение фокуса безопасности с традиционных индикаторов на поведенческий анализ, позволяющий выявлять аномалии в действиях пользователей.
Заключение
Airstalk представляет собой развитый вредоносный комплекс, адаптирующийся под цели атаки. Его использование в цепочке поставок подчеркивает растущую угрозу targeted-атак, особенно в контексте BPO-организаций. Эксперты рекомендуют усиливать мониторинг поведенческих аномалий и применять инструменты, способные обнаруживать subtle отклонения в работе пользователей и систем.
Индикаторы компрометации
SHA256
- 0c444624af1c9cce6532a6f88786840ebce6ed3df9ed570ac75e07e30b0c0bde
- 1f8f494cc75344841e77d843ef53f8c5f1beaa2f464bcbe6f0aacf2a0757c8b5
- 3a48ea6857f1b6ae28bd1f4a07990a080d854269b1c1563c9b2e330686eb23b5
- 4e4cbaed015dfbda3c368ca4442cd77a0a2d5e65999cd6886798495f2c29fcd5
- b6d37334034cd699a53df3e0bcac5bbdf32d52b4fa4944e44488bd2024ad719b
- dfdc27d81a6a21384d6dba7dcdc4c7f9348cf1bdc6df7521b886108b71b41533
