Các nhà nghiên cứu bảo mật đã phát hiện ra một họ mã độc mới tinh vi, được đặt tên là Airstalk, khai thác API AirWatch của VMware – hiện được biết đến là Workspace ONE Unified Endpoint Management – để thiết lập các kênh Command-and-Control (C2) bí mật. Phát hiện này đại diện cho một mối đe dọa đáng kể, với cả biến thể PowerShell và .NET được tìm thấy, được các nhà nghiên cứu đánh giá với mức độ tin cậy trung bình là một cuộc tấn công chuỗi cung ứng được nhà nước bảo trợ. Hoạt động đe dọa này đã được theo dõi dưới mã định danh cụm CL-STA-1009.

Mã độc Airstalk và Kỹ thuật Che giấu C2

Airstalk tự che giấu thông qua việc lạm dụng các tính năng hợp pháp của nền tảng AirWatch MDM để ẩn giấu các giao tiếp độc hại. Thay vì dựa vào cơ sở hạ tầng C2 dựa trên mạng truyền thống mà các nhóm bảo mật thường xuyên giám sát, mã độc Airstalk tận dụng chức năng thuộc tính thiết bị tùy chỉnh của API AirWatch làm cơ chế “dead drop” – một kỹ thuật giao tiếp bí mật trong đó thông tin được trao đổi mà không có kết nối trực tiếp giữa các bên. Cách tiếp cận này cho phép những kẻ tấn công duy trì quyền truy cập liên tục trong khi trốn tránh sự phát hiện thông qua các kênh quản lý hệ thống đáng tin cậy.

Khai thác API AirWatch cho C2 Ẩn danh

Cơ chế “dead drop” của Airstalk hoạt động bằng cách ghi các tin nhắn C2 vào các trường thuộc tính thiết bị tùy chỉnh trong nền tảng VMware Workspace ONE UEM (trước đây là AirWatch). Những kẻ tấn công có thể truy xuất các tin nhắn này bằng cách đọc các thuộc tính thiết bị đã sửa đổi thông qua API AirWatch. Điều này làm cho việc phát hiện trở nên khó khăn hơn vì lưu lượng mạng liên quan có vẻ là hoạt động quản lý hợp pháp của hệ thống.

Cơ chế Giao tiếp Đa luồng và Phát triển Liên tục

Mã độc Airstalk sử dụng một giao thức giao tiếp C2 đa luồng với khả năng định phiên bản. Điều này cho thấy sự phát triển và tinh chỉnh tích cực của mã độc. Các luồng riêng biệt được sử dụng để quản lý nhiệm vụ, ghi nhật ký gỡ lỗi (debug logging) và hành vi beaconing, cho thấy ý định của tác nhân đe dọa nhằm duy trì sự bền bỉ lâu dài và các kênh giao tiếp đáng tin cậy.

Phân tích các Biến thể của Mã độc Airstalk

Các nhà nghiên cứu đã xác định hai biến thể chính của Airstalk với mức độ tinh vi khác nhau. Biến thể PowerShell đóng vai trò là nền tảng, trong khi biến thể .NET thể hiện sự phát triển nâng cao hơn với các khả năng mở rộng.

Biến thể PowerShell và .NET: Sự Khác biệt Kỹ thuật

• Biến thể PowerShell: Cung cấp các chức năng cơ bản cho việc khai thác và giao tiếp C2.
• Biến thể .NET: Bao gồm một hậu tố bổ sung vào trường UUID trong thông điệp JSON so với biến thể PowerShell. Nó cũng giới thiệu ba loại phân phối riêng biệt cho giao tiếp C2 – DEBUG, RESULT và BASE – mỗi loại phục vụ các mục đích hoạt động cụ thể.

Kỹ thuật Trốn tránh Phát hiện và Chứng chỉ Bị Đánh cắp

Đặc biệt đáng lo ngại là việc phát hiện ra một số mẫu mã độc Airstalk đã được ký bằng một chứng chỉ có khả năng bị đánh cắp, được cấp cho Aoteng Industrial Automation ở Trung Quốc. Mặc dù chứng chỉ này đã bị thu hồi khoảng mười phút sau khi cấp, đây là một chiến thuật trốn tránh phòng thủ. Điều này chứng tỏ sự tinh vi của tác nhân đe dọa trong việc bỏ qua các cơ chế xác minh chữ ký mã.

Khai thác và Thu thập Dữ liệu của Airstalk

Cả hai biến thể của Airstalk đều nhắm mục tiêu vào việc trích xuất dữ liệu trình duyệt, bao gồm cookie, lịch sử duyệt web, dấu trang và ảnh chụp màn hình. Tuy nhiên, biến thể .NET mở rộng phạm vi của nó ra ngoài Google Chrome để bao gồm cả Microsoft Edge và Island Browser, cho thấy các chiến lược nhắm mục tiêu rộng hơn.

Mục tiêu Trình duyệt và Các loại Dữ liệu Nhạy cảm

Sau khi thực hiện một nhiệm vụ, mã độc sẽ gửi kết quả của nhiệm vụ bằng chức năng UploadResult, chỉ định ACTION_ID. Các loại dữ liệu được thu thập có thể bao gồm:

• Cookie trình duyệt: Có thể được sử dụng để chiếm đoạt phiên và rò rỉ dữ liệu.
• Lịch sử duyệt web và Dấu trang: Cung cấp thông tin về thói quen và sở thích của người dùng, hoặc các tài nguyên quan trọng đã truy cập.
• Ảnh chụp màn hình: Ghi lại thông tin nhạy cảm hiển thị trên màn hình của người dùng.

Kỹ thuật Trích xuất Cookie Nâng cao

Mã độc Airstalk thể hiện các kỹ thuật đánh cắp dữ liệu tinh vi. Nó từ xa kích hoạt chế độ gỡ lỗi (debugging mode) của Chrome để trích xuất cookie mà không kích hoạt các cảnh báo bảo mật thông thường. Phương pháp này trước đây đã được ghi nhận trong các công cụ đánh cắp thông tin người dùng như Lumma và StealC. Tuy nhiên, việc gói chức năng này vào một công cụ quản lý doanh nghiệp đáng tin cậy làm tăng đáng kể khả năng thực thi thành công trong các môi trường được bảo vệ tốt.

Các Tác vụ Vận hành Hỗ trợ

Mã độc hỗ trợ nhiều tác vụ vận hành khác nhau, với các Action ID cho:

• Chụp ảnh màn hình (screenshot capture)
• Liệt kê hồ sơ (profile enumeration)
• Liệt kê thư mục tệp (file directory listing)
• Trích xuất các tạo tác trình duyệt (browser artifact extraction)

Việc cố ý bỏ qua các Action ID cụ thể – đáng chú ý là ID 3 trong biến thể PowerShell – cho thấy việc triển khai chưa hoàn chỉnh hoặc mô đun hóa có chủ đích để che giấu các khả năng bổ sung khỏi sự phát hiện.

Tác động và Khuyến nghị Phòng ngừa

Phát hiện về Airstalk củng cố một xu hướng đáng lo ngại trong hoạt động gián điệp của các quốc gia: nhắm mục tiêu vào các nhà cung cấp dịch vụ thuê ngoài quy trình kinh doanh (BPO) như những công cụ khuếch đại lực lượng. Các tổ chức BPO cung cấp cho những kẻ tấn công quyền truy cập cổng vào nhiều khách hàng thông qua một sự thỏa hiệp duy nhất.

Mối đe dọa đến Chuỗi Cung ứng và BPO

Khi kết hợp với cookie phiên bị đánh cắp và ảnh chụp màn hình bị thu thập, thiệt hại tiềm tàng mở rộng ra ngoài nhà cung cấp bị thỏa hiệp ban đầu đến tất cả các khách hàng hạ nguồn. Điều này nhấn mạnh tầm quan trọng của việc bảo mật chuỗi cung ứng và các mối quan hệ với bên thứ ba.

Chiến lược Phát hiện và Bảo vệ Nâng cao trước Tấn công Mạng

Các nhà nghiên cứu khuyến nghị các tổ chức mở rộng giám sát bảo mật ngoài các chỉ số truyền thống và kiểm soát truy cập để tập trung vào các bất thường về hành vi. Việc hiểu các mẫu hành vi người dùng bình thường và xác định các sai lệch – dù là về thời gian truy cập, khối lượng dữ liệu hay mẫu tương tác – cung cấp cơ chế phát hiện đáng tin cậy nhất cho các cuộc tấn công mạng tinh vi như Airstalk, vốn cố tình bắt chước các hoạt động quản trị hợp pháp. Điều này giúp nâng cao an ninh mạng cho tổ chức.

Chỉ số Compromise (IOCs) và Nguồn Tham khảo

• Mã định danh cụm đe dọa:CL-STA-1009
• Tên chứng chỉ bị đánh cắp: Aoteng Industrial Automation
• Nguồn nghiên cứu chi tiết: Để biết thêm thông tin kỹ thuật sâu hơn về mã độc Airstalk, bạn có thể tham khảo báo cáo của Palo Alto Networks Unit 42: New Windows-based Malware Family Airstalk.