Şüpheli bir ulus devlet tehdit aktörünün, olası bir tedarik zinciri saldırısının parçası olarak Airstalk adlı yeni bir kötü amaçlı yazılımın dağıtımıyla bağlantısı olduğu belirlendi.
Palo Alto Networks Birim 42, kümeyi bu isim altında takip ettiğini söyledi CL-STA-1009Burada “CL” küme anlamına gelir ve “STA” durum destekli motivasyonu ifade eder.
Güvenlik araştırmacıları Kristopher Russo ve Chema Garcia bir analizde “Airstalk, artık Workspace ONE Birleşik Uç Nokta Yönetimi olarak adlandırılan mobil cihaz yönetimi (MDM) için AirWatch API’sini kötüye kullanıyor” dedi. “Özel cihaz özelliklerini ve dosya yüklemelerini yönetmek için öncelikle AirWatch özelliği aracılığıyla gizli bir komuta ve kontrol (C2) kanalı oluşturmak için API’yi kullanıyor.”
PowerShell ve .NET varyantlarında görünen kötü amaçlı yazılım, çok iş parçacıklı bir komut ve kontrol (C2) iletişim protokolünü kullanıyor ve ekran görüntüleri yakalama ve web tarayıcılarından çerezleri, tarayıcı geçmişini, yer imlerini ve ekran görüntülerini toplama yeteneğine sahip. Tehdit aktörlerinin bazı eserleri imzalamak için çalıntı bir sertifikadan yararlandığına inanılıyor.
Birim 42, Airstalk’ın .NET versiyonunun PowerShell muadilinden daha fazla yetenekle donatıldığını ve bunun kötü amaçlı yazılımın gelişmiş bir versiyonu olabileceğini öne sürdüğünü söyledi.
PowerShell varyantı ise C2 iletişimleri için “/api/mdm/devices/” uç noktasını kullanır. Uç nokta, belirli bir cihazın içerik ayrıntılarını almak üzere tasarlanırken, kötü amaçlı yazılım, API’deki özel öznitelikler özelliğini kullanarak onu saldırganla etkileşim kurmak için gerekli bilgileri depolamak üzere bir ölü bırakma çözümleyicisi olarak kullanıyor.
Bir kez başlatıldığında, arka kapı bir “BAĞLANTI” mesajı göndererek bağlantıyı başlatır ve sunucudan “BAĞLANDI” mesajını bekler. Daha sonra ele geçirilen ana bilgisayarda “EYLEMLER” türünde bir mesaj biçiminde yürütülecek çeşitli görevleri alır. Yürütmenin çıktısı, bir “SONUÇ” mesajı kullanılarak tehdit aktörüne geri gönderilir.
Arka kapı, ekran görüntüsü alma, Google Chrome’dan çerez alma, tüm kullanıcı Chrome profillerini listeleme, belirli bir profilin tarayıcı yer imlerini alma, belirli bir Chrome profilinin tarayıcı geçmişini toplama, kullanıcının dizinindeki tüm dosyaları numaralandırma ve kendisini ana bilgisayardan kaldırma dahil olmak üzere yedi farklı EYLEMİ destekler.
Birim 42, “Bazı görevler, Airstalk yürütüldükten sonra büyük miktarda veri veya dosyanın geri gönderilmesini gerektirir” dedi. “Bunu yapmak için kötü amaçlı yazılım, içeriği yeni bir blob olarak yüklemek üzere AirWatch MDM API’nin blob özelliğini kullanıyor.”
Airstalk’ın .NET çeşidi, AirWatch Helper yardımcı programını (“AirwatchHelper.exe”) taklit etmeye çalışırken kurumsal odaklı bir tarayıcı olan Microsoft Edge ve Island’ı da hedef alarak yeteneklerini genişletiyor. Ayrıca üç mesaj türünü daha destekler:
- MISMATCH, sürüm uyuşmazlığı hatalarını işaretlemek için
- DEBUG, hata ayıklama mesajları göndermek için
- PING, işaret için
Ek olarak, her biri benzersiz bir amaca hizmet eden üç farklı yürütme iş parçacığı kullanır: C2 görevlerini yönetmek, hata ayıklama günlüğünü dışarı çıkarmak ve C2 sunucusuna işaret vermek. Kötü amaçlı yazılım ayrıca daha geniş bir komut kümesini de destekliyor, ancak bunlardan biri henüz uygulanmamış gibi görünüyor:
- Ekran görüntüsü, ekran görüntüsü almak için
- Belirli bir Chrome profiline sızmak için Chrome’u güncelleyin
- FileMap, belirli bir dizinin içeriğini listelemek için
- RunUtility (uygulanmadı)
- EnterpriseChromeProfiles, kullanılabilir Chrome profillerini getirmek için
- Belirli Chrome yapıtlarını ve kimlik bilgilerini sızdırmak için UploadFile
- OpenURL, Chrome’da yeni bir URL açmak için
- İşlemi tamamlamak için yüklemeyi kaldırın
- EnterpriseChromeBookmarks, Chrome yer işaretlerini belirli bir kullanıcı profilinden getirmek için
- EnterpriseIslandProfiles, mevcut Island tarayıcı profillerini getirmek için
- UpdateIsland, belirli bir Island tarayıcı profiline sızmak için
- ExfilAlreadyOpenChrome, mevcut Chrome profilindeki tüm çerezleri boşaltmak için
İlginç bir şekilde, PowerShell varyantı kalıcılık için zamanlanmış bir görev kullanırken, .NET sürümünde böyle bir mekanizma bulunmuyor. Birim 42, .NET varyant örneklerinden bazılarının geçerli bir sertifika yetkilisi (Aoteng Industrial Automation (Langfang) Co., Ltd.) tarafından imzalanmış “muhtemelen çalınmış” bir sertifikayla imzalandığını ve erken yinelemelerin 28 Haziran 2024 derleme zaman damgasını içerdiğini söyledi.
Şu anda kötü amaçlı yazılımın nasıl dağıtıldığı veya bu saldırılarda kimin hedef alınabileceği bilinmiyor. Ancak C2 için MDM ile ilgili API’lerin kullanılması ve Island gibi kurumsal tarayıcıların hedeflenmesi, iş süreci dış kaynak kullanımı (BPO) sektörünü hedef alan bir tedarik zinciri saldırısı olasılığını akla getiriyor.
“BPO konusunda uzmanlaşmış kuruluşlar hem suç hem de ulus devlet saldırganları için kazançlı hedefler haline geldi” dedi. “Saldırganlar, yalnızca kendilerini tehlikeye atmak için değil aynı zamanda erişimi süresiz olarak sürdürmek için gerekli kaynaklara cömertçe yatırım yapmaya istekli.”
“Bu kötü amaçlı yazılım tarafından kullanılan kaçırma teknikleri, çoğu ortamda tespit edilmeden kalmasına izin veriyor. Bu, özellikle kötü amaçlı yazılım üçüncü taraf bir satıcının ortamında çalışıyorsa geçerlidir. Bu, özellikle BPO kullanan kuruluşlar için felakettir çünkü çalınan tarayıcı oturumu çerezleri, çok sayıda istemciye erişime izin verebilir.”