Source: https://www.securityweek.com/chinese-apt-uses-airstalk-malware-in-supply-chain-attacks/
🛡 概要
中国の国家支援の脅威アクターが、サプライチェーン攻撃でAirWatch APIを悪用するマルウェアファミリーを展開しているとの報告があります。Palo Alto Networksによると、このAPTはCL-STA-1009として追跡されており、ビジネスプロセスアウトソーシング(BPO)事業者を主なターゲットにしています。BPO事業者は、クライアントのネットワーク内の重要なビジネスシステムにアクセスできるため、攻撃者にとって魅力的なターゲットとなります。
🔍 技術詳細
Palo Alto Networksによると、CL-STA-1009による攻撃では、Airstalkと呼ばれるマルウェアファミリーの2つのバリアントが観測されました。一つはPowerShellで書かれ、もう一つは.NETで作成されています。これらのバリアントは、モバイルデバイス管理(MDM)のためにAirWatch APIを悪用し、コマンド&コントロール(C&C)サーバーとの隠れた通信チャネルを確立します。また、マルウェアは、スクリーンショットを取得したり、ユーザーディレクトリ内のファイルを一覧表示したり、Chromeのプロファイルをリストアップしたりする能力を持っています。
⚠ 影響
このマルウェアは、BPO組織のネットワーク内で未検出のままとどまるように、サンプルのタイムスタンプを変更するなどの防御技術を利用しています。攻撃者は、複数のターゲット環境へのゲートウェイとしてBPOを悪用することで、長期的なアクセスを確保しようとしています。Palo Alto Networksは、CL-STA-1009が国家支援の攻撃者による脅威活動のクラスターであると評価しており、サプライチェーン攻撃においてAirstalkマルウェアが使用される可能性があることを示唆しています。
🛠 対策
企業は、BPO事業者との関係を見直し、セキュリティ対策を強化する必要があります。特に、アクセス制御や監視の強化、マルウェア検出システムの導入が求められます。また、定期的なセキュリティトレーニングを行い、従業員に対して最新の脅威情報を提供することも重要です。さらに、マルウェアの早期発見に向けて、ネットワークトラフィックの異常検知を行うことが推奨されます。
