Airstalkマルウェアの概要
セキュリティ研究者らは、VMwareのAirWatch API(現在はWorkspace ONE Unified Endpoint Managementとして知られる)を悪用し、隠密なコマンド&コントロール(C2)チャネルを確立する洗練された新種のマルウェアファミリー「Airstalk」を発見しました。この発見は、進化する脅威に対する重大な懸念を示しており、PowerShellと.NETの両方の亜種が確認されています。研究者らは、中程度の確度で、これが国家支援型のサプライチェーン攻撃であると評価しており、脅威活動は「CL-STA-1009」というクラスター識別子で追跡されています。
巧妙な隠密通信メカニズム
Airstalkは、AirWatch MDMプラットフォームの正規機能、特にカスタムデバイス属性を「デッドドロップメカニズム」として悪用することで、悪意のある通信を隠蔽します。これは、当事者間で直接接続することなく情報が交換される隠密な通信手法です。従来のネットワークベースのC2インフラに依存するのではなく、このマルウェアは信頼されたシステム管理チャネルを通じて検出を回避します。マルウェアは、バージョン管理機能を備えたマルチスレッドC2通信プロトコルを採用しており、活発な開発と洗練が示唆されています。特に懸念されるのは、一部のサンプルが中国のAoteng Industrial Automationに発行された可能性のある盗難証明書で署名されていたことです。この証明書は発行後約10分で失効しています。PowerShell亜種と比較して、Airstalkの.NET亜種はJSONメッセージ内のUUIDフィールドに追加のサフィックスを含んでいます。
進化する亜種とその機能
研究者らは、異なる洗練度を持つ2つの主要な亜種を特定しました。
- PowerShell亜種: 基本的な基盤として機能します。
- .NET亜種: より高度な進化を遂げ、拡張された機能を備えています。UUIDフィールドに追加のサフィックスを含み、C2通信用にDEBUG、RESULT、BASEの3つの異なる配信タイプを導入しています。また、ビーコン動作、デバッグロギング、およびタスク管理を別々の実行スレッドで実装しており、脅威アクターが長期的な永続性と信頼性の高い通信チャネルを維持しようとしていることを示唆しています。
両亜種ともに、クッキー、閲覧履歴、ブックマーク、スクリーンショットを含むブラウザデータの抽出を標的としています。しかし、.NET亜種はGoogle Chromeに加えてMicrosoft EdgeとIsland Browserにも対応しており、より広範な標的戦略を示しています。
高度なデータ窃取技術
このマルウェアは、Chromeのデバッグモードをリモートで有効にし、通常のセキュリティアラートをトリガーすることなくクッキーをダンプします。この手法は、LummaやStealCなどの消費者向け情報窃取型マルウェアで以前に文書化されています。しかし、この機能を信頼された企業管理ツールに組み込むことで、防御された環境での実行成功率が大幅に高まります。
多様な操作タスク
マルウェアは、スクリーンショットのキャプチャ、プロファイルの列挙、ファイルディレクトリのリスト表示、ブラウザアーティファクトの抽出など、複数の操作タスクをサポートするアクションIDを備えています。PowerShell亜種における特定のアクションID(特にID 3)の意図的な省略は、未完成の実装か、追加機能を検出から隠蔽するためのモジュール化を示唆しています。
サプライチェーン攻撃への影響と対策
この発見は、国家支援型スパイ活動がビジネスプロセスアウトソーシング(BPO)プロバイダーを「フォースマルチプライヤー」として標的とするという憂慮すべき傾向を裏付けています。BPO組織の侵害は、単一の侵害から複数のクライアントへのゲートウェイアクセスを攻撃者に提供します。盗まれたセッションクッキーやキャプチャされたスクリーンショットと組み合わせることで、被害は最初に侵害されたベンダーだけでなく、すべての下流の顧客にまで拡大します。
研究者らは、組織に対し、従来の指標やアクセス制御を超えて、行動異常に焦点を当てたセキュリティ監視を拡大することを推奨しています。アクセス時間、データ量、インタラクションパターンにおける逸脱を理解し特定することが、Airstalkのような、正規の管理活動を意図的に模倣する洗練された攻撃に対する最も信頼性の高い検出メカニズムとなります。