出典: The Hacker News – https://thehackernews.com/2025/10/nation-state-hackers-deploy-new.html
原題: Nation-State Hackers Deploy New Airstalk Malware in Suspected Supply Chain Attack
国家支援ハッカーによる最新マルウェア「Airstalk」を用いたサプライチェーン攻撃の概要
国家支援の疑いがあるサイバー攻撃グループが、新たなマルウェア「Airstalk」を使い、サプライチェーン攻撃を実行していることが明らかになりました。特にモバイルデバイス管理(MDM)用APIを悪用し、企業向けブラウザを標的にした高度な情報窃取活動が確認されています。
主要なポイント
- Airstalkマルウェアの特徴:PowerShell版と.NET版の2種類が存在し、MDM用のAirWatch APIを悪用して秘密裏にコマンド&コントロール(C2)通信を行う。
- 多様な情報収集機能:スクリーンショット取得、ブラウザのクッキーや履歴、ブックマークの収集など、ユーザーの機密情報を幅広く窃取可能。
- .NET版の高度な機能:Microsoft Edgeや企業向けブラウザIslandも標的に加え、複数の通信スレッドやデバッグ機能を備える。
- サプライチェーン攻撃の可能性:MDM APIの悪用や企業向けブラウザの標的化から、BPO(ビジネスプロセスアウトソーシング)セクターを狙った攻撃と推測される。
- 検知回避と持続的侵入:盗用された証明書による署名やAPIの正規機能を悪用することで、多くの環境で検知されにくく、長期的なアクセス維持を狙う。
技術的な詳細と背景情報
AirstalkはVMwareのAirWatch(現Workspace ONE Unified Endpoint Management)APIのカスタムデバイス属性管理機能やファイルアップロード機能を悪用し、C2通信チャネルを確立します。PowerShell版は「/api/mdm/devices/」エンドポイントをデッドドロップリゾルバーとして利用し、攻撃者とのメッセージ交換を行います。メッセージタイプは「CONNECT」「CONNECTED」「ACTIONS」「RESULT」などがあり、7種類のタスクを実行可能です。
.NET版はさらに多機能で、Microsoft EdgeやIslandブラウザのプロファイル情報収集やブックマーク取得、デバッグログ送信、ビーコン送信など3つのスレッドで通信を管理します。興味深い点として、.NET版は一部のサンプルが有効な企業の証明書で署名されており、これは証明書の盗用が疑われています。
影響や重要性
このマルウェアは、BPOセクターを中心に企業のサプライチェーンを狙った攻撃である可能性が高く、企業の重要情報や顧客データの漏洩リスクを高めます。特にブラウザのセッションCookieを盗むことで、多数のクライアントシステムへの不正アクセスが可能となり、被害が拡大する恐れがあります。
また、APIの正規機能を悪用しているため、従来のセキュリティ対策では検知が困難であり、攻撃者は長期間にわたり潜伏・活動を続けることが可能です。これにより、企業の信頼性や業務継続性に深刻な影響を与えるリスクがあります。
まとめ
国家支援の疑いがある攻撃者による「Airstalk」マルウェアは、MDM用APIの悪用や企業向けブラウザの標的化など、高度かつ巧妙な手法でサプライチェーン攻撃を行っています。特にBPOセクターは魅力的な標的とされ、攻撃の影響は広範囲に及ぶ可能性があります。企業はAPIの利用状況やブラウザのセキュリティ設定を見直すとともに、異常な通信や証明書の不正利用に注意を払う必要があります。
最新の攻撃手法に対応するためには、多層的なセキュリティ対策と継続的な監視が不可欠です。今回の事例は、サプライチェーン全体のセキュリティ強化の重要性を改めて示しています。
