Airstalk: มัลแวร์สายลับระดับชาติ แฝงตัวผ่านระบบ MDM ของ VMware เพื่อขโมยข้อมูลแบบไร้ร่องรอย
นักวิจัยจาก Unit 42 แห่ง Palo Alto Networks พบมัลแวร์ใหม่ชื่อ Airstalk ที่ใช้ API ของ VMware AirWatch (Workspace ONE) เป็นช่องทางสื่อสารลับ (C2) เพื่อขโมยข้อมูลจากองค์กรผ่านการโจมตีแบบ supply chain
Airstalk ไม่ใช่มัลแวร์ธรรมดา แต่มันคือเครื่องมือจารกรรมที่ถูกออกแบบมาอย่างชาญฉลาด โดยมีทั้งเวอร์ชัน PowerShell และ .NET ซึ่งสามารถขโมยข้อมูลจากเบราว์เซอร์ เช่น cookies, bookmarks, ประวัติการใช้งาน และภาพหน้าจอ
สิ่งที่ทำให้ Airstalk น่ากลัวคือมันใช้ API ของ AirWatch ซึ่งเป็นระบบจัดการอุปกรณ์พกพา (MDM) ที่องค์กรจำนวนมากใช้ในการควบคุมมือถือและแท็บเล็ตของพนักงาน โดย Airstalk แอบใช้ฟีเจอร์ “custom device attributes” และ “file uploads” เพื่อส่งคำสั่งและรับข้อมูลกลับจากเครื่องเหยื่อ — เหมือนกับการใช้ “ตู้ฝากของลับ” แบบสายลับ
มัลแวร์นี้ยังใช้เทคนิคขั้นสูง เช่น การเซ็นชื่อดิจิทัลด้วยใบรับรองที่ถูกขโมย การเปลี่ยนแปลง timestamp ของไฟล์ และการลบตัวเองหลังจากทำงานเสร็จ เพื่อหลบเลี่ยงการตรวจจับ
Unit 42 เชื่อว่ามัลแวร์นี้ถูกใช้โดยกลุ่มที่ได้รับการสนับสนุนจากรัฐ (nation-state actor) และมีเป้าหมายคือการจารกรรมระยะยาว ไม่ใช่การโจมตีแบบทำลายล้าง โดยเฉพาะการเจาะผ่านบริษัท BPO (outsourcing) ที่ให้บริการกับหลายองค์กร ทำให้สามารถเข้าถึงเหยื่อจำนวนมากได้ในคราวเดียว
เกร็ดน่ารู้เพิ่มเติม
“Dead drop” เป็นเทคนิคที่สายลับใช้ในการแลกเปลี่ยนข้อมูลโดยไม่พบกันโดยตรง
AirWatch (Workspace ONE) เป็นระบบ MDM ที่ใช้กันอย่างแพร่หลายในองค์กรขนาดใหญ่
การโจมตีแบบ supply chain เคยเกิดขึ้นแล้วในกรณี SolarWinds และ 3CX ซึ่งสร้างความเสียหายมหาศาล
Airstalk คือมัลแวร์จารกรรมระดับสูง
มีทั้งเวอร์ชัน PowerShell และ .NET
ขโมยข้อมูลจากเบราว์เซอร์ เช่น cookies, bookmarks, screenshots
ใช้ API ของ VMware AirWatch เป็นช่องทางสื่อสารลับ
เทคนิคการโจมตี
ใช้ “custom device attributes” และ “file uploads” เพื่อส่งคำสั่ง
ใช้ endpoint /api/mdm/devices/ และ /api/mam/blobs/uploadblob
สื่อสารแบบ “dead drop” โดยไม่ต้องเชื่อมต่อโดยตรง
ความสามารถของเวอร์ชัน .NET
รองรับ multi-threaded communication
มีระบบ debug, beaconing ทุก 10 นาที
รองรับเบราว์เซอร์หลายตัว เช่น Chrome, Edge, Island
เทคนิคหลบเลี่ยงการตรวจจับ
ใช้ใบรับรองดิจิทัลที่ถูกขโมย
เปลี่ยน timestamp ของไฟล์
ลบตัวเองหลังจากทำงานเสร็จ
ความเสี่ยงจากการใช้ MDM เป็นช่องทางโจมตี
ทำให้มัลแวร์แฝงตัวในระบบที่องค์กรไว้วางใจ
ยากต่อการตรวจจับโดยระบบป้องกันทั่วไป
อาจเข้าถึงข้อมูลของหลายองค์กรผ่านผู้ให้บริการ BPO
ความเสี่ยงต่อความมั่นคงขององค์กร
ข้อมูลสำคัญอาจถูกขโมยโดยไม่รู้ตัว
การโจมตีแบบ supply chain ทำให้ยากต่อการควบคุม
อาจนำไปสู่การจารกรรมระดับชาติหรืออุตสาหกรรม
https://securityonline.info/nation-state-espionage-airstalk-malware-hijacks-vmware-airwatch-mdm-api-for-covert-c2-channel/
นักวิจัยจาก Unit 42 แห่ง Palo Alto Networks พบมัลแวร์ใหม่ชื่อ Airstalk ที่ใช้ API ของ VMware AirWatch (Workspace ONE) เป็นช่องทางสื่อสารลับ (C2) เพื่อขโมยข้อมูลจากองค์กรผ่านการโจมตีแบบ supply chain
Airstalk ไม่ใช่มัลแวร์ธรรมดา แต่มันคือเครื่องมือจารกรรมที่ถูกออกแบบมาอย่างชาญฉลาด โดยมีทั้งเวอร์ชัน PowerShell และ .NET ซึ่งสามารถขโมยข้อมูลจากเบราว์เซอร์ เช่น cookies, bookmarks, ประวัติการใช้งาน และภาพหน้าจอ
สิ่งที่ทำให้ Airstalk น่ากลัวคือมันใช้ API ของ AirWatch ซึ่งเป็นระบบจัดการอุปกรณ์พกพา (MDM) ที่องค์กรจำนวนมากใช้ในการควบคุมมือถือและแท็บเล็ตของพนักงาน โดย Airstalk แอบใช้ฟีเจอร์ “custom device attributes” และ “file uploads” เพื่อส่งคำสั่งและรับข้อมูลกลับจากเครื่องเหยื่อ — เหมือนกับการใช้ “ตู้ฝากของลับ” แบบสายลับ
มัลแวร์นี้ยังใช้เทคนิคขั้นสูง เช่น การเซ็นชื่อดิจิทัลด้วยใบรับรองที่ถูกขโมย การเปลี่ยนแปลง timestamp ของไฟล์ และการลบตัวเองหลังจากทำงานเสร็จ เพื่อหลบเลี่ยงการตรวจจับ
Unit 42 เชื่อว่ามัลแวร์นี้ถูกใช้โดยกลุ่มที่ได้รับการสนับสนุนจากรัฐ (nation-state actor) และมีเป้าหมายคือการจารกรรมระยะยาว ไม่ใช่การโจมตีแบบทำลายล้าง โดยเฉพาะการเจาะผ่านบริษัท BPO (outsourcing) ที่ให้บริการกับหลายองค์กร ทำให้สามารถเข้าถึงเหยื่อจำนวนมากได้ในคราวเดียว
เกร็ดน่ารู้เพิ่มเติม
“Dead drop” เป็นเทคนิคที่สายลับใช้ในการแลกเปลี่ยนข้อมูลโดยไม่พบกันโดยตรง
AirWatch (Workspace ONE) เป็นระบบ MDM ที่ใช้กันอย่างแพร่หลายในองค์กรขนาดใหญ่
การโจมตีแบบ supply chain เคยเกิดขึ้นแล้วในกรณี SolarWinds และ 3CX ซึ่งสร้างความเสียหายมหาศาล
Airstalk คือมัลแวร์จารกรรมระดับสูง
มีทั้งเวอร์ชัน PowerShell และ .NET
ขโมยข้อมูลจากเบราว์เซอร์ เช่น cookies, bookmarks, screenshots
ใช้ API ของ VMware AirWatch เป็นช่องทางสื่อสารลับ
เทคนิคการโจมตี
ใช้ “custom device attributes” และ “file uploads” เพื่อส่งคำสั่ง
ใช้ endpoint /api/mdm/devices/ และ /api/mam/blobs/uploadblob
สื่อสารแบบ “dead drop” โดยไม่ต้องเชื่อมต่อโดยตรง
ความสามารถของเวอร์ชัน .NET
รองรับ multi-threaded communication
มีระบบ debug, beaconing ทุก 10 นาที
รองรับเบราว์เซอร์หลายตัว เช่น Chrome, Edge, Island
เทคนิคหลบเลี่ยงการตรวจจับ
ใช้ใบรับรองดิจิทัลที่ถูกขโมย
เปลี่ยน timestamp ของไฟล์
ลบตัวเองหลังจากทำงานเสร็จ
ความเสี่ยงจากการใช้ MDM เป็นช่องทางโจมตี
ทำให้มัลแวร์แฝงตัวในระบบที่องค์กรไว้วางใจ
ยากต่อการตรวจจับโดยระบบป้องกันทั่วไป
อาจเข้าถึงข้อมูลของหลายองค์กรผ่านผู้ให้บริการ BPO
ความเสี่ยงต่อความมั่นคงขององค์กร
ข้อมูลสำคัญอาจถูกขโมยโดยไม่รู้ตัว
การโจมตีแบบ supply chain ทำให้ยากต่อการควบคุม
อาจนำไปสู่การจารกรรมระดับชาติหรืออุตสาหกรรม
https://securityonline.info/nation-state-espionage-airstalk-malware-hijacks-vmware-airwatch-mdm-api-for-covert-c2-channel/
🕵️♂️ Airstalk: มัลแวร์สายลับระดับชาติ แฝงตัวผ่านระบบ MDM ของ VMware เพื่อขโมยข้อมูลแบบไร้ร่องรอย
นักวิจัยจาก Unit 42 แห่ง Palo Alto Networks พบมัลแวร์ใหม่ชื่อ Airstalk ที่ใช้ API ของ VMware AirWatch (Workspace ONE) เป็นช่องทางสื่อสารลับ (C2) เพื่อขโมยข้อมูลจากองค์กรผ่านการโจมตีแบบ supply chain
Airstalk ไม่ใช่มัลแวร์ธรรมดา แต่มันคือเครื่องมือจารกรรมที่ถูกออกแบบมาอย่างชาญฉลาด โดยมีทั้งเวอร์ชัน PowerShell และ .NET ซึ่งสามารถขโมยข้อมูลจากเบราว์เซอร์ เช่น cookies, bookmarks, ประวัติการใช้งาน และภาพหน้าจอ
สิ่งที่ทำให้ Airstalk น่ากลัวคือมันใช้ API ของ AirWatch ซึ่งเป็นระบบจัดการอุปกรณ์พกพา (MDM) ที่องค์กรจำนวนมากใช้ในการควบคุมมือถือและแท็บเล็ตของพนักงาน โดย Airstalk แอบใช้ฟีเจอร์ “custom device attributes” และ “file uploads” เพื่อส่งคำสั่งและรับข้อมูลกลับจากเครื่องเหยื่อ — เหมือนกับการใช้ “ตู้ฝากของลับ” แบบสายลับ
มัลแวร์นี้ยังใช้เทคนิคขั้นสูง เช่น การเซ็นชื่อดิจิทัลด้วยใบรับรองที่ถูกขโมย การเปลี่ยนแปลง timestamp ของไฟล์ และการลบตัวเองหลังจากทำงานเสร็จ เพื่อหลบเลี่ยงการตรวจจับ
Unit 42 เชื่อว่ามัลแวร์นี้ถูกใช้โดยกลุ่มที่ได้รับการสนับสนุนจากรัฐ (nation-state actor) และมีเป้าหมายคือการจารกรรมระยะยาว ไม่ใช่การโจมตีแบบทำลายล้าง โดยเฉพาะการเจาะผ่านบริษัท BPO (outsourcing) ที่ให้บริการกับหลายองค์กร ทำให้สามารถเข้าถึงเหยื่อจำนวนมากได้ในคราวเดียว
🧠 เกร็ดน่ารู้เพิ่มเติม
💠 “Dead drop” เป็นเทคนิคที่สายลับใช้ในการแลกเปลี่ยนข้อมูลโดยไม่พบกันโดยตรง
💠 AirWatch (Workspace ONE) เป็นระบบ MDM ที่ใช้กันอย่างแพร่หลายในองค์กรขนาดใหญ่
💠 การโจมตีแบบ supply chain เคยเกิดขึ้นแล้วในกรณี SolarWinds และ 3CX ซึ่งสร้างความเสียหายมหาศาล
✅ Airstalk คือมัลแวร์จารกรรมระดับสูง
➡️ มีทั้งเวอร์ชัน PowerShell และ .NET
➡️ ขโมยข้อมูลจากเบราว์เซอร์ เช่น cookies, bookmarks, screenshots
➡️ ใช้ API ของ VMware AirWatch เป็นช่องทางสื่อสารลับ
✅ เทคนิคการโจมตี
➡️ ใช้ “custom device attributes” และ “file uploads” เพื่อส่งคำสั่ง
➡️ ใช้ endpoint /api/mdm/devices/ และ /api/mam/blobs/uploadblob
➡️ สื่อสารแบบ “dead drop” โดยไม่ต้องเชื่อมต่อโดยตรง
✅ ความสามารถของเวอร์ชัน .NET
➡️ รองรับ multi-threaded communication
➡️ มีระบบ debug, beaconing ทุก 10 นาที
➡️ รองรับเบราว์เซอร์หลายตัว เช่น Chrome, Edge, Island
✅ เทคนิคหลบเลี่ยงการตรวจจับ
➡️ ใช้ใบรับรองดิจิทัลที่ถูกขโมย
➡️ เปลี่ยน timestamp ของไฟล์
➡️ ลบตัวเองหลังจากทำงานเสร็จ
‼️ ความเสี่ยงจากการใช้ MDM เป็นช่องทางโจมตี
⛔ ทำให้มัลแวร์แฝงตัวในระบบที่องค์กรไว้วางใจ
⛔ ยากต่อการตรวจจับโดยระบบป้องกันทั่วไป
⛔ อาจเข้าถึงข้อมูลของหลายองค์กรผ่านผู้ให้บริการ BPO
‼️ ความเสี่ยงต่อความมั่นคงขององค์กร
⛔ ข้อมูลสำคัญอาจถูกขโมยโดยไม่รู้ตัว
⛔ การโจมตีแบบ supply chain ทำให้ยากต่อการควบคุม
⛔ อาจนำไปสู่การจารกรรมระดับชาติหรืออุตสาหกรรม
https://securityonline.info/nation-state-espionage-airstalk-malware-hijacks-vmware-airwatch-mdm-api-for-covert-c2-channel/
0 Comments
0 Shares
36 Views
0 Reviews
Thai