Güvenlik araştırmacıları, tedarik zinciri ihlali yoluyla kurumsal ortamları hedef alan yeni ve gelişmiş bir kötü amaçlı yazılım ailesini ortaya çıkardı.
Airstalk olarak takip edilen kötü amaçlı yazılım, saldırganların tespit edilmekten kaçınmak ve güvenliği ihlal edilmiş sistemlere kalıcı erişimi sürdürmek için meşru kurumsal yönetim araçlarından yararlanma biçiminde önemli bir değişimi temsil ediyor.
Bu keşif, büyük kuruluşlar adına kritik altyapıyı yöneten iş süreci dış kaynak kuruluşlarının ve üçüncü taraf satıcıların giderek artan güvenlik açığını vurgulamaktadır.
Airstalk, PowerShell ve .NET olmak üzere iki farklı varyantta çalışır; her iki versiyon da artık VMware Workspace ONE Unified Endpoint Management olarak bilinen AirWatch API’den yararlanır.
Kötü amaçlı yazılımın temel farkı, komuta ve kontrol iletişimi kurmak için meşru mobil cihaz yönetimi altyapısını kötüye kullanması ve böylece saldırganların geleneksel güvenlik izleme sistemlerine karşı görünmez kalmasına olanak sağlamasıdır.
Bu teknik, saldırganların, kuruluşların genellikle güvendiği ağ tabanlı algılama mekanizmalarını etkili bir şekilde atlayarak, meşru yönetim API çağrıları içindeki kötü amaçlı trafiği gizlemesine olanak tanır.
Palo Alto Networks güvenlik analistleri, olası bir ulus-devlet tehdit aktörünün Airstalk’ı dikkatlice planlanmış bir tedarik zinciri saldırısı yoluyla konuşlandırdığını gösteren kanıtları keşfettikten sonra kötü amaçlı yazılımı tespit etti.
Araştırma ekibi, bu kötü amaçlı yazılım ailesiyle ilgili devam eden etkinlikleri izlemek için CL-STA-1009 tehdit etkinlik kümesini oluşturdu.
Kötü amaçlı yazılımın gelişmiş tasarımı ve çok iş parçacıklı mimarisi, hızlı operasyonel kazanımlar yerine uzun vadeli kalıcılığa öncelik veren ulus devlet tehdit aktörleriyle tutarlı olarak, geliştirme kaynaklarına önemli miktarda yatırım yapıldığını gösteriyor.
Keşfedilen örnekler, hassas tarayıcı bilgilerinin veri sızdırılması, ekran görüntüsü yakalama ve gelişmiş kalıcılık mekanizmaları dahil olmak üzere gelişmiş yetenekleri göstermektedir.
Her iki varyant da Google Chrome’u hedefler, ancak daha gelişmiş .NET varyantı erişimini Microsoft Edge ve Island Tarayıcıya kadar genişletir.
Kötü amaçlı yazılım, tehdit aktörlerinin belirli işlevleri seçici olarak uygulayabileceği veya devre dışı bırakabileceği modüler bir çerçeve oluşturarak operasyonlarda esneklik sağlıyor ve potansiyel olarak gelecekteki değişkenler için bir geliştirme platformu görevi görüyor.
AirWatch Dead Drop Mekanizması Aracılığıyla Gizli C2 İletişimi
Airstalk’ın en yenilikçi yönü, AirWatch MDM API’nin özel cihaz özellikleri özelliğini kullanarak ölü bir iletişim kanalının uygulanmasını içerir.
.webp)
Kötü amaçlı yazılım, saldırganın altyapısıyla doğrudan bağlantı kurmak yerine meşru MDM platformu aracılığıyla JSON biçimli mesajları alıp gönderiyor ve kurumsal yönetim araçlarını komut aktarımı ve sızma için aracı olarak etkili bir şekilde kullanıyor.
İletişim protokolü belirli API uç noktaları aracılığıyla çalışır ve kötü amaçlı yazılım, komut bilgilerini almak ve depolamak için cihazın uç noktasını (/api/mdm/devices/) sorgular.
Mesajlar, Windows Yönetim Araçları verilerinden türetilen CLIENT_UUID ve Base64 kodlu JSON yüklerini içeren SERIALIZED_MESSAGE dahil gerekli alanları içerir.
Bu tasarım, kötü amaçlı yazılımın, şüpheli altyapıya doğrudan ağ bağlantılarından kaçınarak operasyonel güvenliği korumasına olanak tanır.
C2 protokolü, ilk iletişim için CONNECT, onay için CONNECTED, görev alımı için ACTIONS ve dışarı sızma için SONUÇ dahil olmak üzere farklı operasyonel aşamalar için mesaj türlerini kullanır.
Kötü amaçlı yazılım ayrıca ekran görüntüleri ve çalınan kimlik bilgileri gibi daha büyük veri kümelerini aktarmak için AirWatch blob yükleme uç noktasından (/api/mam/blobs/uploadblob) yararlanıyor ve rutin yönetim operasyonları içindeki kötü amaçlı etkinlikleri daha da engelliyor.
Bu gelişmiş yaklaşım, güvenilir kurumsal araçları casusluk kanallarına dönüştürerek kuruluşlara benzeri görülmemiş bir tespit zorluğu sunuyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
