Không thể bị phát hiện: Kỹ thuật lẩn tránh của Airstalk nguy hiểm thế nào trong môi trường nhà cung cấp bên thứ ba?

[Nguyễn Đức Thao]

Một tác nhân đe dọa quốc gia bị tình nghi đang liên quan đến việc phát tán phần mềm độc hại mới có tên Airstalk như một phần của cuộc tấn công chuỗi cung ứng phức tạp.

Đơn vị 42 của Palo Alto Networks đang theo dõi cụm máy tính này với mã hiệu CL-STA-1009 (trong đó "STA" ám chỉ tác nhân được nhà nước hậu thuẫn).

Lợi dụng API MDM để tạo kênh bí mật​

Airstalk sử dụng một kỹ thuật lạm dụng tinh vi: nó lợi dụng sai API AirWatch (Mobile Device Management - MDM), hiện được gọi là Workspace ONE Unified Endpoint Management.

Các nhà nghiên cứu bảo mật Kristopher Russo và Chema Garcia giải thích rằng Airstalk sử dụng API này để thiết lập một kênh chỉ huy và điều khiển (C2) bí mật. Kênh này chủ yếu thông qua tính năng quản lý các thuộc tính thiết bị tùy chỉnh và tải lên tệp của AirWatch.

Phần mềm độc hại xuất hiện dưới dạng các biến thể PowerShell và .NET. Nó sử dụng giao thức truyền thông C2 đa luồng và có khả năng cao:

• Chụp ảnh màn hình.
• Thu thập cookie, lịch sử duyệt web, dấu trang.
• Thu thập ảnh chụp màn hình từ các trình duyệt web.

Các chuyên gia tin rằng tác nhân đe dọa đang lợi dụng một chứng chỉ bị đánh cắp để ký một số hiện vật.

Phiên bản .NET và PowerShell: Chức năng khác biệt​

Đơn vị 42 cho biết phiên bản .NET của Airstalk được trang bị nhiều khả năng hơn so với phiên bản PowerShell tương ứng, cho thấy đây có thể là phiên bản nâng cao của phần mềm độc hại.

Phiên bản PowerShell: Sử dụng điểm cuối API /api/mdm/devices/ cho giao tiếp C2. Mặc dù điểm cuối này được thiết kế để lấy thông tin chi tiết về thiết bị, phần mềm độc hại lại lạm dụng tính năng thuộc tính tùy chỉnh trong API để sử dụng nó như một trình phân giải thư mục chết nhằm lưu trữ thông tin cần thiết để tương tác với kẻ tấn công.

Cửa hậu này hỗ trợ bảy hành động khác nhau, bao gồm: chụp ảnh màn hình, lấy cookie/lịch sử/dấu trang từ Google Chrome, liệt kê tệp và gỡ cài đặt.

Phiên bản .NET: Mở rộng khả năng bằng cách nhắm mục tiêu đến Microsoft Edge và Island (một trình duyệt dành cho doanh nghiệp). Nó cố gắng mô phỏng tiện ích AirWatch Helper (AirwatchHelper.exe) và hỗ trợ thêm ba loại tin nhắn: MISMATCH (lỗi không khớp phiên bản), DEBUG (nhật ký gỡ lỗi), và PING (tín hiệu).

Phiên bản này sử dụng ba luồng thực thi khác nhau (quản lý tác vụ C2, trích xuất nhật ký gỡ lỗi và gửi tín hiệu). Nó cũng hỗ trợ một bộ lệnh rộng hơn, bao gồm: UpdateChrome, UploadFile (để trích xuất thông tin xác thực), OpenURL, EnterpriseIslandProfiles, và ExfilAlreadyOpenChrome (để xóa cookie hiện tại).

Mục tiêu tấn công chuỗi cung ứng​

Điều thú vị là, trong khi biến thể PowerShell sử dụng tác vụ theo lịch trình để duy trì tính bền bỉ, phiên bản .NET của nó lại không có cơ chế như vậy. Một số mẫu biến thể .NET được ký bằng chứng chỉ "có khả năng bị đánh cắp" do một cơ quan cấp chứng chỉ hợp lệ (Aoteng Industrial Automation (Langfang) Co., Ltd. ký).

Mặc dù vẫn chưa rõ phần mềm độc hại được phát tán như thế nào hoặc ai là mục tiêu, việc sử dụng các API MDM cho C2 và nhắm mục tiêu vào các trình duyệt doanh nghiệp như Island cho thấy khả năng cao đây là một cuộc tấn công chuỗi cung ứng nhắm vào lĩnh vực gia công quy trình kinh doanh (BPO).

Đơn vị 42 cảnh báo: "Các tổ chức chuyên về BPO đã trở thành mục tiêu béo bở cho cả tội phạm và tội phạm quốc gia. Những kẻ tấn công sẵn sàng đầu tư hào phóng vào các nguồn lực cần thiết để duy trì quyền truy cập vô thời hạn."

Các kỹ thuật lẩn tránh mà Airstalk sử dụng cho phép nó không bị phát hiện trong hầu hết các môi trường, đặc biệt là trong môi trường của nhà cung cấp bên thứ ba. Điều này đặc biệt tai hại đối với các tổ chức sử dụng BPO vì cookie phiên trình duyệt bị đánh cắp có thể cho phép kẻ tấn công truy cập vào một lượng lớn dữ liệu của khách hàng. (thehackernews)

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview