Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Logiciel malveillant Airstalk

Logiciel malveillant Airstalk

Par Mezo en Logiciels malveillants, Menace persistante avancée (APT)
Se traduisent par :

Une nouvelle famille de logiciels malveillants, attribuée à un groupe étatique présumé (désigné CL-STA-1009), est distribuée selon un mode compatible avec une intrusion dans la chaîne d'approvisionnement. Ce logiciel, nommé Airstalk, exploite l'infrastructure de gestion des appareils mobiles (MDM) d'entreprise pour dissimuler le trafic de commande et de contrôle (C2) et exfiltrer des données de navigation ainsi que d'autres données sensibles depuis les hôtes compromis.

Comment la menace se dissimule à la vue de tous

Airstalk détourne l'API AirWatch (désormais Workspace ONE Unified Endpoint Management) en tant que canal de commande et de contrôle clandestin. Au lieu d'utiliser l'API pour la gestion légitime des appareils, le logiciel malveillant exploite les attributs personnalisés des appareils et les fonctionnalités de téléchargement de fichiers (blob) pour échanger des messages avec ses opérateurs, transformant ainsi un terminal MDM en un réceptacle mort pour les communications des attaquants et le transfert de données volumineuses.

Deux implémentations : PowerShell vs. .NET

Deux versions distinctes ont été observées : une porte dérobée PowerShell et une variante .NET plus riche en fonctionnalités. Toutes deux implémentent un protocole C2 multithread et permettent le vol de données, notamment la capture d’écran et la récupération des cookies, de l’historique de navigation et des favoris. Des éléments indiquent que certains artefacts ont été signés avec un certificat que les chercheurs soupçonnent d’avoir été volé.

Variante PowerShell : Comportement et fonctionnalités du C2

L'implant PowerShell communique via le point de terminaison /api/mdm/devices/. Au démarrage, il établit une connexion par une simple poignée de main CONNECT/CONNECTED, reçoit les tâches encapsulées dans des messages « ACTIONS », les exécute et renvoie les résultats via des messages « RESULT ». Lorsqu'une tâche génère un volume important de données, Airstalk les télécharge à l'aide de la fonctionnalité blob de l'API MDM.

Les ACTIONS observées, prises en charge par la porte dérobée PowerShell, incluent :

  • Prenez une capture d'écran.
  • Récupérer les cookies de Google Chrome.
  • Liste de tous les profils Chrome des utilisateurs.
  • Récupérer les favoris pour un profil Chrome spécifique.
  • Collecter l'historique de navigation pour un profil Chrome spécifique.
  • Énumérer tous les fichiers du répertoire utilisateur.
  • Se désinstaller automatiquement.

La variante .NET : Cibles et fonctionnalités améliorées

La version .NET étend la portée et la sophistication. Elle cible des navigateurs d'entreprise supplémentaires (Microsoft Edge et Island), tente de se faire passer pour un exécutable d'assistance AirWatch (AirwatchHelper.exe) et ajoute trois types de messages supplémentaires utilisés pour les notifications d'incompatibilité de versions, les résultats de débogage et le balisage.

Principales différences et comportements supplémentaires de la variante .NET :

Utilise trois threads d'exécution dédiés pour gérer les tâches C2, exfiltrer les journaux de débogage et effectuer des balises périodiques vers C2.

Prend en charge un ensemble de commandes plus étendu pour l'exfiltration ciblée et le contrôle à distance, y compris des commandes permettant d'extraire des profils de navigateur spécifiques, de télécharger des fichiers, d'ouvrir des URL, de lister le contenu des répertoires, et plus encore.

Certains échantillons .NET sont signés avec un certificat attribué à « Aoteng Industrial Automation (Langfang) Co., Ltd » que les analystes pensent avoir probablement été volé ; les premiers échantillons portent un horodatage de compilation du 28 juin 2024.

Contrairement à la version PowerShell, les exemples de la variante .NET analysés ne créent pas systématiquement de tâche planifiée pour la persistance.

L'ensemble de commandes étendu observé dans les exemples .NET comprend :

  • Capture d'écran
  • UpdateChrome (exfiltrer un profil Chrome spécifique)
  • FileMap (liste le contenu d'un répertoire)
  • RunUtility (non encore implémenté dans les échantillons observés)
  • EnterpriseChromeProfiles (énumérer les profils Chrome)
  • UploadFile (exfiltrer des fichiers/artefacts et des identifiants)
  • OpenURL (lancer une URL dans Chrome)
  • Désinstaller
  • Favoris Chrome d'entreprise (récupérer les favoris d'un profil Chrome)
  • Profils EnterpriseIsland (énumérer les profils de navigateur Island)
  • UpdateIsland (exfiltrer un profil d'île spécifique)
  • ExfilAlreadyOpenChrome (exporter les cookies du profil Chrome actuel)

Distribution et impact

L'identification des cibles et la méthode de diffusion exacte restent floues. Cependant, l'utilisation d'API MDM comme système de commande et de contrôle (C2) et le ciblage explicite des navigateurs d'entreprise, notamment Island, destiné aux déploiements en entreprise, suggèrent fortement une compromission de la chaîne d'approvisionnement ou d'un fournisseur tiers visant les sociétés d'externalisation des processus métier (BPO). Les fournisseurs de BPO sont des cibles privilégiées car le vol de cookies de session et d'éléments de profil de navigateur permet aux attaquants d'accéder à de nombreux environnements clients en aval ; un accès persistant via l'infrastructure du fournisseur amplifie l'impact.

Conclusion

Airstalk met en lumière une tendance inquiétante : des attaquants exploitent des plateformes de gestion de confiance pour fusionner du trafic malveillant avec des données de télémétrie administrative légitimes. Pour les organisations qui dépendent de fournisseurs tiers ou de services d’externalisation de processus métier (BPO), cette technique accroît considérablement le risque qu’une seule compromission se propage à de nombreux environnements clients. Il est donc essentiel de surveiller attentivement l’activité MDM, la provenance des certificats et l’intégrité des chaînes d’outils des fournisseurs afin de détecter et de limiter ce type de menace.

Tendance

Arnaque au colis égaré de DHL Express

Hameçonnage, Courrier indésirable
Des chercheurs en cybersécurité ont mis en garde contre une campagne d'hameçonnage trompeuse connue sous le nom d'arnaque au colis DHL Express égaré. Ces courriels frauduleux se font passer pour des avis de livraison officiels prétendument envoyés par DHL. Ils incitent généralement le destinataire à vérifier son adresse ou à confirmer la livraison pour éviter que le colis ne soit égaré. En...

Arnaque au nettoyage de routine des comptes inutilisés

Hameçonnage, Courrier indésirable
Des chercheurs en cybersécurité ont découvert que les e-mails de « nettoyage de routine des comptes inutilisés » ne sont pas des notifications de maintenance légitimes, mais plutôt des tentatives d'hameçonnage malveillantes. Ces messages frauduleux sont conçus pour inciter les destinataires à révéler des informations de connexion sensibles sous couvert d'un contrôle de sécurité. Ils ne sont...

Le plus regardé

Chargement...