Airstalkマルウェア

新たに確認されたマルウェアファミリーは、国家レベルのクラスターと疑われるもの（CL-STA-1009と指定）に起因するもので、サプライチェーンへの侵入に類似した方法で拡散されています。「Airstalk」と名付けられたこのインプラントは、企業のモバイルデバイス管理（MDM）インフラストラクチャを活用し、コマンドアンドコントロール（C2）トラフィックを隠蔽し、侵害されたホストからブラウザアーティファクトなどの機密データを盗み出します。

脅威はいかにして明白な視界に隠れているか

Airstalkは、AirWatch API（現Workspace ONE Unified Endpoint Management）を秘密のC2チャネルとして再利用します。このマルウェアは、正規のデバイス管理にAPIを使用する代わりに、カスタムデバイス属性とファイルアップロード（BLOB）機能を利用してオペレーターとメッセージを交換します。これにより、MDMエンドポイントは攻撃者の通信や大容量データのアップロードのためのデッドドロップリゾルバへと変貌します。

2つの実装: PowerShell vs. .NET

PowerShellバックドアと、より機能豊富な.NET亜種という、2つの異なるビルドが確認されています。どちらもマルチスレッドC2プロトコルを実装し、スクリーンショットのキャプチャ、Cookie、閲覧履歴、ブックマークの収集といったデータ窃取操作をサポートしています。証拠から、一部のアーティファクトは、研究者が盗難の可能性が高いと考える証明書で署名されていたことが示唆されています。

PowerShell の亜種: C2 の動作と機能

PowerShellインプラントは/api/mdm/devices/エンドポイントを介して通信します。起動すると、シンプルなCONNECT/CONNECTEDハンドシェイクで接続を確立し、「ACTIONS」メッセージとしてパッケージ化されたタスクを受信して実行し、「RESULT」メッセージを使用して結果を返します。タスクが大量の出力を生成する場合、AirstalkはMDM APIのBLOB機能を使用してデータをアップロードします。

PowerShell バックドアによってサポートされていることが確認されているアクションは次のとおりです。

• スクリーンショットを撮ります。
• Google Chrome から Cookie を取得します。
• すべてのユーザーの Chrome プロファイルを一覧表示します。
• 指定された Chrome プロファイルのブックマークを取得します。
• 指定された Chrome プロファイルの閲覧履歴を収集します。
• ユーザー ディレクトリの下にあるすべてのファイルを列挙します。
• 自身をアンインストールします。

.NET バリアント: 強化されたターゲットと機能

.NETビルドでは、攻撃範囲と巧妙さが拡大しています。新たなエンタープライズブラウザ（Microsoft EdgeおよびIsland）を標的とし、AirWatchヘルパー実行ファイル（AirwatchHelper.exe）を装うほか、バージョン不一致通知、デバッグ出力、ビーコン送信に使用される3種類のメッセージタイプが追加されています。

.NET バリアントの主な違いと追加の動作:

3 つの専用実行スレッドを使用して、C2 タスクを処理し、デバッグ ログを盗み出し、C2 への定期的なビーコンを実行します。

特定のブラウザ プロファイルをダンプする、ファイルをアップロードする、URL を開く、ディレクトリの内容の一覧を表示するなどのコマンドを含む、標的を絞ったデータの抽出とリモート制御のためのより広範なコマンド セットをサポートします。

一部の .NET サンプルは、「Aoteng Industrial Automation (Langfang) Co., Ltd)」の証明書で署名されていますが、アナリストはこれが盗まれた可能性が高いと考えています。初期のサンプルには、2024 年 6 月 28 日のコンパイル タイムスタンプが付いています。

PowerShell バージョンとは異なり、分析された .NET バリアントのサンプルは、永続性のためにスケジュールされたタスクを一貫して作成しません。

.NET サンプルで確認された拡張コマンド セットには次のものが含まれます。

• スクリーンショット
• UpdateChrome（特定のChromeプロファイルを盗み出す）
• FileMap (ディレクトリの内容をリストする)
• RunUtility（観測サンプルではまだ実装されていない）
• EnterpriseChromeProfiles (Chrome プロファイルを列挙する)
• UploadFile（ファイル/アーティファクトと資格情報の抽出）
• OpenURL（ChromeでURLを起動）
• アンインストール
• EnterpriseChromeBookmarks（Chrome プロファイルからブックマークを取得する）
• EnterpriseIslandProfiles (アイランドブラウザプロファイルを列挙する)
• UpdateIsland（特定のIslandプロファイルを盗み出す）
• ExfilAlreadyOpenChrome (現在の Chrome プロファイルから Cookie をダンプする)

分布と影響

標的となった人物の特定と正確な配布方法は依然として不明です。しかし、MDM APIがC2として利用されていること、そして企業向けブラウザ、特に企業向けブラウザ「Island」が明確に標的とされていることから、ビジネスプロセスアウトソーシング（BPO）企業を標的としたサプライチェーンまたはサードパーティベンダーによる侵害が強く示唆されます。BPOプロバイダーは、盗まれたブラウザセッションCookieやプロファイルアーティファクトによって、攻撃者が多数の下流クライアント環境にアクセスできるため、魅力的な標的です。ベンダーのインフラストラクチャを介した継続的なアクセスは、その影響を増幅させます。

結論

Airstalkは、攻撃者が信頼できる管理プラットフォームを悪用し、悪意のあるトラフィックと正当な管理テレメトリを混在させているという懸念すべき傾向を示しています。サードパーティベンダーやBPOサービスに依存している組織にとって、この手法は、単一の侵害が多くのクライアント環境に連鎖的に影響を及ぼすリスクを大幅に高めます。この種の脅威を検知・抑制するには、MDMアクティビティ、証明書の出所、ベンダーツールチェーンの整合性に対する警戒が不可欠です。