Сэжигтэй, улсын түвшний зан төлөвтэй (nation-state) дайралтын бүлэг шинэ Airstalk нэртэй зэр зэвсэгт программуудыг нийлүүлэлтийн сүлжээний халдлага хэлбэрээр тарьсан байж болзошгүй гэж холбогдуулан мэдээлэл гарчээ.
Palo Alto Networks-ын Unit 42 энэ бүлгийг CL-STA-1009 хэмээн тэмдэглэж, эндэх “CL” нь кластер (cluster), “STA” нь төр-зориулалтын (state-backed) мотивацийг илтгэнэ гэв.
Аюулгүй байдлын судлаачид Kristopher Russo ба Chema Garcia-ийн шинжилгээнд дурдсанаар, “Airstalk нь мобайл төхөөрөмжийн менежментийн (MDM) AirWatch API-г буруу ашиглаж” байна. Одоогоор AirWatch API нь Workspace ONE Unified Endpoint Management гэж нэрлэгддэг. Тэдний тайлбарласнаар хортой программ API-г ашиглан далд команд-контрол (C2) сувгийг байгуулж, голчлон AirWatch-ын custom device attributes болон файл татах/шахах боломжуудыг ашиглаж байна.
Airstalk нь PowerShell болон .NET хэлбэрээр илэрсэн ба олон утгатай олон урсгалтай (multi-threaded) C2 харилцааны протоколыг ашигладаг. Энэ нь вэб хөтчүүдээс скриншот хийх, cookie хуулах, хөтчийн түүх болон дурдсан зүйлс (bookmarks), мөн бусад мэдээллийг олборлож чадахаар бүтээгдсэн гэжээ. Мөн аюултай этгээдүүд зарим файлуудад хүчинтэй сертификат хулгайлан ашигласан байж болзошгүй гэж үзэж байна.
Unit 42-ийн мэдээллээр .NET хувилбар нь PowerShell хувилбараас илүү их боломжуудтай тул илүү дэвшилтэт хувилбар байж болзошгүй юм.
PowerShell хувилбар нь C2 харилцаанд "/api/mdm/devices/" төгсгөл цэгийг (endpoint) ашигладаг. Энэхүү endpoint нь тухайн төхөөрөмжийн контентын дэлгэрэнгүйг авах үүрэгтэй боловч Airstalk нь API-ийн custom attributes боломжийг ашиглан үүнийг мэдээлэл хадгалах “dead drop resolver” болгон ашиглаж, дайлагчтай харилцахад шаардлагатай мэдээллийг байршуулдаг байна.
Нэгэнт эхлэн ажиллахаар бол Airstalk нь серверт “CONNECT” мессеж илгээж холболтын эхлэлийг үүсгэн, серверээс “CONNECTED” мессеж хүлээдэг. Дараа нь серверээс compromised (сериалд орсон) хост дээр гүйцэтгэх олон төрлийн үүрэг даалгаврыг “ACTIONS” төрөлтэй мессеж хэлбэрээр хүлээн авдаг. Гүйцэтгэлийн үр дүнг мессежийн “RESULT” хэлбэрээр дайлагч руу буцаан илгээдэг.
Тус backdoor нь долоон төрлийн ACTIONS-ыг дэмждэг — жишээ нь скриншот авах, Google Chrome-оос cookie авах, бүх Chrome хэрэглэгчийн профайлуудыг жагсаах, тодорхой профайлын хөтчийн bookmarks-ыг авах, тодорхой Chrome профайлын түүхийг цуглуулах, хэрэглэгчийн директорт байгаа бүх файлыг тоолох, өөрийгөө устгах зэрэг. Unit 42-ийн тэмдэглэснээр зарим үүрэг нь их хэмжээний өгөгдөл эсвэл файлыг буцаан илгээх шаардлагатай байдаг тул Airstalk нь AirWatch MDM API-ийн blobs функц ашиглан контентыг шинэ blob хэлбэрээр татаж (upload) илгээдэг.
.NET хувилбар нь Microsoft Edge болон байгууллагад чиглэсэн Island хөтчүүдийг (enterprise-focused browser) мөн чиглэн дайрч, өөрийг AirWatch туслах програм ("AirwatchHelper.exe") мэт дуурайж харуулахыг оролддог гэж Unit 42 үзжээ. Мөн .NET хувилбар нь гурван нэмэлт мессеж төрлийг дэмждэг:
-
MISMATCH — хувилбарын зөрүүг илтгэх алдааг тэмдэглэх,
-
DEBUG — дебаг мессежүүд илгээх,
-
PING — beacon (товчхон сэргээх/сэрэмжлүүлэх) ашиглах.
Нэмэлтээр, .NET хувилбар нь гурван өөр гүйцэтгэх урсгалыг (execution threads) ашигладаг — нэг нь C2 үүргүүдийг удирдах, нөгөө нь дебаг логийг илрүүлэх/илгээх, гурав дахь нь C2 сервер руу beacon хийх үүрэгтэй. Хортой програм нь өргөн хүрээний тушаал (commands) дэмждэг боловч нэг нь одоогоор хэрэгжээгүй байгаа мэт харагдаж байна. Дэмждэг командуудын дотроос дурдвал:
-
Screenshot — дэлгэцийн зургийг авах
-
UpdateChrome — тодорхой Chrome профайлыг илгээх (exfiltrate)
-
FileMap — тодорхой директорийн агуулгыг жагсаах
-
RunUtility — (одоо хэрэгжээгүй мэт)
-
EnterpriseChromeProfiles — боломжит Chrome профайлуудыг авах
-
UploadFile — тодорхой Chrome объектууд болон нууц үг/мэдээллийг илгээх
-
OpenURL — Chrome-д шинэ URL нээх
-
Uninstall — үйлдлээ дуусгаж өөрийгөө устгах
-
EnterpriseChromeBookmarks — тодорхой хэрэглэгчийн профайлаас Chrome bookmarks авах
-
EnterpriseIslandProfiles — Island хөтчийн боломжит профайлуудыг авах
-
UpdateIsland — тодорхой Island профайлыг илгээх
-
ExfilAlreadyOpenChrome — одоогийн Chrome профайлаас бүх cookie-г хуулах
Сонирхолтой нь, PowerShell хувилбар нь тогтмол даалгавар (scheduled task) ашиглан тогтворжих (persistence) механизмтай бол .NET хувилбар нь ийм механизмаар бүрэн тоноглогдоогүй байна. Unit 42-ийн мэдээллээр зарим .NET дээжүүдийг (samples) хүчинтэй гэрчилгээгээр (certificate) гарын үсэг зурсан — уг сертификат нь магадгүй хулгайлагдсан бөгөөд Aoteng Industrial Automation (Langfang) Co., Ltd. гэх баталгаат эрх олгогчоор дамжуулан хүчинтэй мэт харагдаж байжээ. Эхний хувилбаруудын компиляцийн цаг тэмдэг нь 2024-06-28 байсан байна.
Одоогоор энэ malware-ыг хэрхэн тараасан болон яг хэн хохирогч болсон нь тодорхойгүй байна. Гэхдээ MDM-тэй холбогдсон API-г C2 болгон ашигласан болон Island зэрэг байгууллагын хөтчүүдийг чиглэсэн байдал нь бизнес процессын гадаад үйлчилгээ (BPO — business process outsourcing) салбар руу чиглэсэн нийлүүлэлтийн сүлжээний халдлагын боломжийг харуулж байна.
“BPO чиглэлээр мэргэшсэн байгууллагууд нь гэмт хэрэгтнүүд болон улсын түвшний дайралтын бүлгүүдэд үдийн ашигтай зорилт болсон” гэж Unit 42 дүгнэжээ. “Дайлагчид тэдгээрийг сорьж нэвтрэх төдийгүй хязгааргүй хугацаагаар нэвтрэх боломжийг хадгалахад шаардлагатай эх үүсвэрүүдэд их хэмжээний хөрөнгө оруулалт хийхэд бэлэн байдаг.”
“Энэхүү malware-ийн авлигын (evasion) техникүүд нь ихэнх орчинд илрэхгүй байх боломжийг олгодог. Энэ нь ялангуяа хортой код гуравдагч этгээдийн (third-party) орчинд ажиллаж байгаа тохиолдолд илүү хортой үр дагавартай — BPO ашиглагч байгууллагуудад хулгайлагдсан хөтчийн session cookie-үүд нь тэдний олон тооны үйлчлүүлэгчид рүү нэвтрэх боломжийг олгож болзошгүй юм.”
