出典: The Hacker News – https://thehackernews.com/2025/10/nation-state-hackers-deploy-new.html
原題: Nation-State Hackers Deploy New Airstalk Malware in Suspected Supply Chain Attack
国家支援ハッカーによる新型マルウェア「エアストーク」:サプライチェーン攻撃の脅威
最近、国家支援の疑いがあるハッカー集団が新たなマルウェア「Airstalk(エアストーク)」を用いてサプライチェーン攻撃を展開していることが明らかになりました。本記事では、このマルウェアの特徴や技術的な詳細、そして企業に与える影響について解説します。
主要なポイント
- サプライチェーン攻撃の一環としての展開:「Airstalk」はモバイルデバイス管理(MDM)用のAirWatch APIを悪用し、正規の管理機能を隠れ蓑にして攻撃者と通信を行います。
- 多機能なマルウェアの存在:PowerShell版と.NET版の2種類が存在し、特に.NET版はより高度な機能を備え、企業向けブラウザIslandなども標的に含まれています。
- 高度なC2通信プロトコル:マルウェアは複数のメッセージタイプを用いてコマンドの受信と実行、結果の送信を行い、検知を回避しつつ長期間の潜伏を可能にしています。
- 盗用された証明書の使用:.NET版の一部は有効な認証局の証明書で署名されており、信頼性を偽装している可能性があります。
- 標的はBPO業界の可能性:MDM APIの悪用や企業向けブラウザの狙いから、ビジネスプロセスアウトソーシング(BPO)業界が特に狙われていると推測されています。
技術的な詳細や背景情報
「Airstalk」はVMwareのAirWatch(現在はWorkspace ONE Unified Endpoint Management)APIのカスタムデバイス属性管理やファイルアップロード機能を悪用し、秘密裏にコマンド&コントロール(C2)チャネルを確立します。PowerShell版は「/api/mdm/devices/」エンドポイントを利用し、攻撃者との通信に必要な情報をAPIのカスタム属性に格納する「デッドドロップリゾルバー」として機能しています。
マルウェアは起動後に「CONNECT」メッセージを送信し、サーバーからの「CONNECTED」応答を待ちます。その後、「ACTIONS」メッセージで指示されたタスクを実行し、結果を「RESULT」メッセージで返送します。サポートされるアクションはスクリーンショット取得やブラウザのクッキー・履歴収集、ファイル列挙、自己アンインストールなど多岐にわたります。
.NET版はさらにMicrosoft Edgeや企業向けブラウザIslandを標的に加え、3つの実行スレッドでC2タスク管理やデバッグログ送信、ビーコン送信を並行処理します。メッセージタイプも増え、より複雑な通信を実現しています。興味深い点として、.NET版は一部が盗用された証明書で署名されており、2024年6月28日付のビルドタイムスタンプが確認されています。
影響や重要性
このマルウェアの最大の脅威は、MDM関連APIを悪用している点にあります。MDMは企業のモバイルデバイス管理に不可欠なツールであり、そのAPIを通じて攻撃者が内部ネットワークに潜入し、長期間にわたり情報を窃取できる可能性があります。特にBPO業界は多数のクライアント情報を扱うため、感染すると盗まれたブラウザのセッションCookieを使って多くの顧客システムにアクセスされるリスクが高まります。
また、盗用された証明書による署名はマルウェアの検知を困難にし、サードパーティベンダーの環境での潜伏を助長します。これにより、被害の拡大や長期化が懸念されます。
まとめ
国家支援の疑いがある攻撃者による新型マルウェア「Airstalk」は、サプライチェーン攻撃の手法としてMDM APIを巧妙に悪用し、高度なC2通信や多様な情報窃取機能を備えています。特にBPO業界を狙った攻撃の可能性が高く、企業はMDM環境の監視強化や証明書の正当性確認、ブラウザデータの保護に注力する必要があります。
今後もこのような高度なサイバー攻撃に対抗するためには、最新の脅威情報の収集と迅速な対応が不可欠です。セキュリティ対策の見直しを進め、組織の情報資産を守ることが求められます。
