Sicherheitsforscher haben eine neue, hochentwickelte Malware namens „Airstalk“ identifiziert, die vermutlich von staatlich unterstützten Akteuren eingesetzt wird. Die Schadsoftware nutzt auf raffinierte Weise die Programmierschnittstellen (APIs) von gängiger Software zur Verwaltung mobiler Geräte (MDM), um unbemerkt Daten aus Unternehmensnetzwerken zu stehlen.
Die Angreifer, die unter dem Codenamen CL-STA-1009 verfolgt werden, haben es offenbar auf den Business Process Outsourcing (BPO)-Sektor abgesehen. Die Malware ist in der Lage, Browserdaten, Cookies und Screenshots zu entwenden, was weitreichende Konsequenzen für betroffene Unternehmen und deren Kunden haben könnte.
Wichtige Erkenntnisse
- Eine neue Malware namens „Airstalk“ wurde entdeckt, die wahrscheinlich von staatlichen Akteuren stammt.
- Sie missbraucht die API von AirWatch (jetzt Workspace ONE) MDM-Software für ihre Befehls- und Kontrollkommunikation.
- Die Malware zielt auf Browserdaten wie Cookies, Verlauf und Lesezeichen von Chrome, Edge und dem Unternehmensbrowser Island ab.
- Es gibt zwei Varianten: eine in PowerShell und eine fortgeschrittenere in .NET, die teilweise mit einem gestohlenen Zertifikat signiert ist.
- Der Angriff zielt wahrscheinlich auf den BPO-Sektor ab, was ein hohes Risiko für die Kunden dieser Dienstleister darstellt.
Ein getarnter Kommunikationskanal
Die zentrale Innovation von Airstalk liegt in der Methode, wie es mit seinen Betreibern kommuniziert. Anstatt eigene Server aufzubauen, die leicht entdeckt werden könnten, nutzt die Malware die vorhandene Infrastruktur der MDM-Software AirWatch, die heute als Workspace ONE Unified Endpoint Management bekannt ist.
Diese Software wird von Unternehmen weltweit genutzt, um die Mobiltelefone und Laptops ihrer Mitarbeiter zu verwalten. Airstalk missbraucht deren API, um einen verdeckten Kommunikationskanal, einen sogenannten Command-and-Control (C2)-Kanal, zu etablieren.
Was ist eine MDM-Software?
Mobile Device Management (MDM) ist eine Technologie, die es IT-Abteilungen ermöglicht, mobile Geräte wie Smartphones, Tablets und Laptops zu überwachen, zu verwalten und zu sichern. Funktionen umfassen die Installation von Apps, die Konfiguration von Sicherheitseinstellungen und die Fernlöschung von Geräten. Durch den Missbrauch dieser legitimen Verwaltungsfunktionen kann Malware wie Airstalk tief in Unternehmenssysteme eindringen und sich als normaler Datenverkehr tarnen.
Zwei Varianten mit unterschiedlichen Fähigkeiten
Die Sicherheitsforscher von Palo Alto Networks Unit 42 haben zwei Hauptversionen von Airstalk identifiziert: eine einfachere, in PowerShell geschriebene Variante und eine komplexere .NET-Version.
Die PowerShell-Version
Die PowerShell-Variante nutzt einen bestimmten API-Endpunkt, um Befehle von den Angreifern zu empfangen. Sie verwendet dabei eine Funktion für benutzerdefinierte Gerätemerkmale, um die notwendigen Informationen für die Kommunikation zu speichern – eine Art „toter Briefkasten“ im System des Opfers.
Nach der Kontaktaufnahme kann diese Version sieben verschiedene Befehle ausführen:
- Erstellen eines Screenshots
- Sammeln von Cookies aus Google Chrome
- Auflisten aller Chrome-Benutzerprofile
- Abrufen von Lesezeichen eines bestimmten Profils
- Sammeln des Browserverlaufs eines Chrome-Profils
- Auflisten aller Dateien im Benutzerverzeichnis
- Selbstständige Deinstallation der Malware
Größere Datenmengen, wie zum Beispiel gestohlene Dateien oder Screenshots, werden über eine Upload-Funktion der MDM-API an die Angreifer gesendet.
Die fortgeschrittene .NET-Version
Die .NET-Variante von Airstalk scheint eine Weiterentwicklung zu sein und verfügt über deutlich mehr Funktionen. Sie tarnt sich als Hilfsprogramm namens „AirwatchHelper.exe“ und erweitert ihr Angriffsziel auf die Browser Microsoft Edge und Island, einen speziell für Unternehmen entwickelten Browser.
Einige Exemplare der .NET-Version waren mit einem digitalen Zertifikat signiert, das von einer gültigen Zertifizierungsstelle für das Unternehmen „Aoteng Industrial Automation (Langfang) Co., Ltd.“ ausgestellt wurde. Es wird vermutet, dass dieses Zertifikat gestohlen wurde, um die Malware legitimer erscheinen zu lassen und die Erkennung durch Sicherheitsprogramme zu umgehen.
Diese Version arbeitet mit drei parallelen Prozessen (Threads): einer für die Ausführung von Befehlen, einer für das Senden von Fehlerprotokollen und einer für regelmäßige „Ping“-Signale an den C2-Server. Ihre Befehlsliste ist umfangreicher und umfasst Funktionen zum gezielten Auslesen von Daten aus dem Island-Browser und zum Öffnen von URLs auf dem infizierten Rechner.
„Die von dieser Malware verwendeten Umgehungstechniken ermöglichen es ihr, in den meisten Umgebungen unentdeckt zu bleiben. Dies ist besonders verheerend für Organisationen, die BPO nutzen, da gestohlene Browser-Sitzungscookies den Zugriff auf eine große Anzahl ihrer Kunden ermöglichen könnten.“
Lieferkettenangriff auf BPO-Dienstleister vermutet
Obwohl noch unklar ist, wie Airstalk genau verteilt wird, deuten mehrere Anzeichen auf einen gezielten Angriff auf die Lieferkette von Unternehmen hin, insbesondere im Sektor des Business Process Outsourcing (BPO).
Der Fokus auf MDM-Systeme und Unternehmensbrowser wie Island legt nahe, dass die Angreifer es auf Umgebungen abgesehen haben, in denen Mitarbeiter externer Dienstleister auf die Systeme ihrer Kunden zugreifen. BPO-Unternehmen verwalten oft sensible Prozesse für eine Vielzahl von Klienten, was sie zu einem äußerst wertvollen Ziel macht.
Ein erfolgreicher Angriff auf einen BPO-Dienstleister könnte den Angreifern durch gestohlene Sitzungscookies Zugang zu den Netzwerken Dutzender oder sogar Hunderter anderer Unternehmen verschaffen. Die Forscher warnen, dass Angreifer bereit sind, erhebliche Ressourcen zu investieren, um sich in solchen Umgebungen festzusetzen und dauerhaften Zugriff zu behalten.
Die Entdeckung von Airstalk unterstreicht die wachsende Bedrohung durch raffinierte Spionage-Tools, die legitime Unternehmenssoftware als Tarnung nutzen. Unternehmen, die auf externe Dienstleister angewiesen sind, müssen ihre Sicherheitsstrategien überdenken und die Verbindungen zu ihren Partnern besonders sorgfältig überwachen.
