Yeni keşfedilen Airstalk adlı Windows kötü amaçlı yazılım ailesi, yenilikçi gizli bir komuta ve kontrol kanalı aracılığıyla hassas tarayıcı kimlik bilgilerini sızdırabilen karmaşık bir tehdit olarak ortaya çıktı.
PowerShell ve .NET çeşitlerinde mevcut olan bu kötü amaçlı yazılım, çok iş parçacıklı iletişim, sürüm oluşturma ve meşru mobil cihaz yönetimi altyapısının kötüye kullanılması gibi gelişmiş yetenekler sergiliyor.
Kötü amaçlı yazılım, artık Workspace ONE Birleşik Uç Nokta Yönetimi olarak bilinen AirWatch API’yi ele geçirerek meşru bir platformu gizli bir iletişim kanalına dönüştürüyor.
Airstalk, saldırgan ile kurban arasında doğrudan bağlantı olmadan şifreli iletişimin alınıp verildiği bir “ölü bırakma” mekanizması oluşturmak için AirWatch MDM API’sindeki özel cihaz öznitelikleri özelliğini kullanır.
Bu casusluk tekniği, tehdit aktörlerinin tespit edilmeden kalıcı erişimi sürdürmesine olanak tanır.
Kötü amaçlı yazılım, uç noktalar aracılığıyla çerezler, geçmiş, yer imleri ve ekran görüntüleri dahil olmak üzere tarayıcı verilerini hedefler /api/mdm/devices/ komuta ve kontrol için /api/mam/blobs/uploadblob sızma için.
Palo Alto Networks araştırmacıları, CL-STA-1009 tehdit kümesi altındaki etkinliği takip ederek, bu kötü amaçlı yazılımın şüpheli bir ulus devlet tedarik zinciri saldırısının parçası olduğunu tespit etti.
Airstalk’ı tipik bilgi hırsızlarından ayıran şey, güvenilir sistem yönetimi araçlarıyla çalışabilmesi ve şüphe uyandırmadan yürütülmesine olanak sağlamasıdır.
PowerShell çeşidi Google Chrome’u hedeflerken, .NET çeşidi erişimi Microsoft Edge ve Island Tarayıcısına kadar genişletir.
C2 protokolü aşağıdakileri içeren JSON mesajları aracılığıyla çalışır: CLIENT_UUIDWindows Yönetim Araçları aracılığıyla alınan güvenliği ihlal edilmiş cihaz tanımlayıcısını depolamak ve SERIALIZED_MESSAGEBase64 kodlu talimatlarla. Protokol, BAĞLANTI, BAĞLANTI, EYLEMLER ve SONUÇ gibi mesaj türlerini kullanır.
Aoteng Industrial Automation (Langfang) Co., Ltd.’ye verilen ve verildikten 10 dakika sonra iptal edilen bir sertifikayı taşıyan kod imzalı ikili dosyalar aracılığıyla savunmadan kaçınma merkezi olmaya devam ediyor.
Çok İş parçacıklı C2 Mimarisi ve Kimlik Bilgisi Toplama
.NET varyantı, temel işlevleri paralel yürütme akışlarına ayıran, çok iş parçacıklı mimari aracılığıyla gelişmiş mühendislik sergiler.
Bu tasarım, eş zamanlı görev yönetimine, saldırganlara her 10 dakikada bir iletimde hata ayıklamaya ve aktif enfeksiyon sinyali vermek için periyodik işaret göndermeye olanak tanır.
Uygulama üç sonek tanımlayıcısını kullanır: -kd hata ayıklama için, -kr görev senkronizasyonu için ve -kb Bağlantı kurulumu için.
.webp)
Kötü amaçlı yazılım, etkin oturumlardan çerezleri çıkarmak için Chrome uzaktan hata ayıklamayı kullanarak tarayıcı kimlik bilgileri toplamaya odaklanıyor.
PowerShell çeşidi, hedeflenen profilleri yükleyen parametrelerle Chrome’u yeniden başlatır ve çerezleri boşaltmak için komutları yürütür.
.webp)
Kod şunları kullanır: UploadResult çalınan verileri aktarma işlevi.
{
"Name": "",
"Value": "",
"Uuid": "",
"Application": "services.exe",
"ApplicationGroup": "services"
} Airstalk, büyük verileri işlerken içerik yüklemek için bloblar özelliğini kullanır. Serileştirilmiş mesaj yapısı, dış JSON konteynerinin cihaz kimliğini ve kodlanmış yükleri tuttuğu iç içe geçmiş bir şemayı takip eder.
.NET varyantı, sürüm 13 ve 14 aracılığıyla gelişen sürüm oluşturma desteğini sunar. Yürütme akışı paralel iş parçacıklarını uygularken, hata ayıklama işlevi günlüğü periyodik olarak yükler.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
