出典: The Hacker News – https://thehackernews.com/2025/10/nation-state-hackers-deploy-new.html
原題: Nation-State Hackers Deploy New Airstalk Malware in Suspected Supply Chain Attack
国家支援ハッカーによる新型マルウェア「エアストーク」:サプライチェーン攻撃の脅威
国家支援の疑いがあるサイバー攻撃者が、新たなマルウェア「Airstalk(エアストーク)」を用いてサプライチェーン攻撃を展開していることが判明しました。本記事では、このマルウェアの特徴や技術的な詳細、そして企業に与える影響について解説します。
主要なポイント
- サプライチェーン攻撃の一環としての展開:「Airstalk」はモバイルデバイス管理(MDM)用のAirWatch APIを悪用し、正規の管理機能を隠れ蓑にしてコマンド&コントロール(C2)通信を行います。
- 多様な機能を持つ2つのバリアント:PowerShell版と.NET版が存在し、特に.NET版はより高度な機能と複数の実行スレッドを備えています。
- ブラウザ情報の窃取:スクリーンショット取得やGoogle Chrome、Microsoft Edge、企業向けブラウザIslandのクッキーや閲覧履歴、ブックマークなどを収集可能です。
- 盗用証明書による署名:一部の.NET版サンプルは有効な認証局の証明書で署名されており、検知回避や信頼性向上を図っています。
- BPO業界を狙った攻撃の可能性:MDM APIの利用や企業向けブラウザの標的化から、ビジネスプロセスアウトソーシング(BPO)業界が主な標的と推測されています。
技術的な詳細や背景情報
「Airstalk」はVMwareのAirWatch(現Workspace ONE Unified Endpoint Management)APIのカスタムデバイス属性管理やファイルアップロード機能を悪用し、C2チャネルを構築しています。PowerShell版は「/api/mdm/devices/」エンドポイントを利用し、攻撃者との通信に必要な情報をAPIのカスタム属性に隠して送受信します。
起動後、バックドアは「CONNECT」メッセージで接続を開始し、サーバーからの「CONNECTED」応答を待ちます。その後、「ACTIONS」メッセージで指示されたタスクを実行し、結果を「RESULT」メッセージで返送します。サポートされるタスクにはスクリーンショット取得やブラウザ情報の収集、自己アンインストールなどがあります。
.NET版はさらにMicrosoft Edgeや企業向けブラウザIslandを標的に加え、3種類のメッセージタイプ(MISMATCH、DEBUG、PING)をサポート。3つの異なるスレッドでC2タスク管理、デバッグログ送信、ビーコン送信を分担し、より高度な操作が可能です。
また、.NET版の一部は「Aoteng Industrial Automation (Langfang) Co., Ltd.」という認証局の証明書で署名されており、これは盗用された可能性が高いとされています。初期ビルドは2024年6月28日と非常に新しいことも特徴です。
影響や重要性
このマルウェアはMDM関連APIを悪用することで、正規の管理通信に見せかけて攻撃者との通信を行うため、多くの環境で検知が困難です。特にサードパーティベンダーの環境やBPO業界のように複数のクライアントを管理する組織では、感染が拡大すると多数の企業情報が危険にさらされる恐れがあります。
盗まれたブラウザのセッションCookieを利用すれば、多数のクライアントのウェブサービスに不正アクセスが可能となり、情報漏洩や業務妨害のリスクが高まります。国家支援の攻撃者が長期的なアクセス維持を目指している点も深刻な問題です。
まとめ
新型マルウェア「Airstalk」は、MDMの正規APIを悪用した高度なサプライチェーン攻撃ツールであり、特にBPO業界を狙った国家支援の脅威アクターによる攻撃が懸念されています。多機能かつ検知回避能力の高いこのマルウェアに対抗するためには、MDM環境の監視強化やブラウザのセキュリティ対策、サプライチェーン全体のセキュリティ評価が不可欠です。企業は早急に対策を講じ、被害拡大を防ぐ必要があります。
