國家級威脅行為者開發的新型惡意軟體 Airstalk 近期遭 Palo Alto Networks Unit 42 揭露,該惡意軟體採用罕見的攻擊手法,濫用企業廣泛部署的 AirWatch 行動裝置管理 (Mobile Device Management,) API 建立隱蔽的命令與控制 (C2) 通道。研究團隊將此威脅行為者追蹤為 CL-STA-1009,其中「STA」代表國家支持的動機。
濫用合法 API 功能達成隱蔽通訊
Airstalk 的核心特色在於巧妙利用 AirWatch(現已更名為 Workspace ONE Unified Endpoint Management)的正常 API 功能。資安研究員 Kristopher Russo 與 Chema Garcia 指出,攻擊者並非利用 AirWatch 的漏洞,而是濫用其自訂裝置屬性功能與檔案上傳機制來建立 C2 通道。由於這些都是 MDM 系統的正常功能,因此在網路流量中很難與合法管理活動區分。
Airstalk 目前存在 PowerShell 與 .NET 兩種變種,皆採用多執行串的 C2 通訊協定,能夠執行螢幕截圖、竊取瀏覽器 Cookie、瀏覽歷史記錄與書籤等任務。
中繼通訊點機制:API 端點的創新濫用
PowerShell 版本使用 /api/mdm/devices/ 端點進行 C2 通訊。這個端點原本用於查詢特定裝置的內容詳情,但攻擊者利用 API 中的自訂屬性功能,將其轉變為中繼通訊點,用來儲存與攻擊者互動所需的資訊。
惡意軟體啟動後會先傳送 「CONNECT」 訊息初始化聯繫,等待伺服器回應 「CONNECTED」 訊息。連線建立後,後門程式接收類型為 「ACTIONS」 的訊息,其中包含需要執行的任務。執行結果則透過 「RESULT」 訊息回傳。所有訊息都透過修改或讀取 MDM API 的自訂屬性來實現,從網路流量角度來看,這些活動與正常的 MDM 管理操作幾乎無法區分。
PowerShell 變種支援七種指令,包括擷取螢幕截圖、從 Google Chrome 取得 Cookie、列出使用者的 Chrome 設定檔、取得瀏覽器書籤、收集瀏覽歷史記錄、列舉使用者目錄檔案,以及移除自身。
當任務需要回傳大量資料時,Airstalk 利用 AirWatch MDM API 的 blobs 功能上傳內容。Blobs 功能原本用於處理較大檔案傳輸,例如上傳裝置日誌或設定檔。Airstalk 將竊取的資料包裝成 blob 格式後上傳至攻擊者控制的端點。這種做法不僅能處理大容量資料,而且使用 MDM 系統的正常功能,更難被資料外洩防護 (DLP) 系統偵測。
.NET 進階變種與企業瀏覽器鎖定
.NET 版本在功能上有顯著提升,不僅針對 Google Chrome,還擴展至 Microsoft Edge 與企業專用瀏覽器 Island。該變種會偽裝成合法的 AirWatch Helper 公用程式(AirwatchHelper.exe),並支援三種額外訊息類型:MISMATCH(版本不符錯誤)、DEBUG(除錯訊息)與 PING(信標傳送)。
.NET 變種使用三個獨立執行緒,分別負責管理 C2 任務、外洩除錯日誌與發送信標。指令集擴展至 12 種,新增 UpdateChrome、UploadFile、OpenURL、EnterpriseIslandProfiles 等指令。部分樣本使用疑似竊取的數位憑證簽署,簽署者為「奧騰工業自動化(廊坊)有限公司」,最早樣本編譯時間為 2024 年 6 月 28 日。
疑似鎖定 BPO 供應鏈攻擊
研究人員推測,該惡意軟體可能針對商業流程委外 (Business Process Outsourcing, BPO) 產業進行供應鏈攻擊。BPO 供應商代表眾多客戶處理敏感業務,一旦遭入侵,攻擊者可能透過竊取的瀏覽器會話 Cookie 存取大量客戶系統。
面對這種濫用合法 API 的攻擊手法,資安團隊需要採取以下措施:
- 監控 MDM API 異常行為:建立 API 呼叫基準線,監控異常的自訂屬性修改頻率、非預期的 blob 上傳活動,以及來自非正常管理主機的 API 請求。
- 端點行為分析:部署端點偵測與回應(EDR) 解決方案,監控可疑程式是否存取瀏覽器資料目錄、讀取 Cookie 檔案或執行螢幕截圖等敏感操作。
- 憑證驗證強化:建立已知良好憑證的白名單,對使用不明或可疑憑證簽署的執行檔進行額外檢查,特別注意非預期簽署者的 AirWatch 相關執行檔。
Airstalk 代表國家級威脅行為者在攻擊技術上的持續演進。透過濫用合法企業工具的 API 功能,攻擊者能建立高度隱蔽的 C2 通道。資安團隊必須從監控合法工具的異常使用模式著手,結合端點行為分析,才能有效防禦這類新型威脅。
本文轉載自thehackernews。