出典: The Hacker News – https://thehackernews.com/2025/10/nation-state-hackers-deploy-new.html
原題: Nation-State Hackers Deploy New Airstalk Malware in Suspected Supply Chain Attack
国家支援ハッカーによる最新マルウェア「エアストーク」を用いたサプライチェーン攻撃の概要
国家支援型の脅威アクターが、新たなマルウェア「Airstalk(エアストーク)」を使い、サプライチェーン攻撃を実行していることが明らかになりました。パロアルトネットワークスのUnit 42がこの攻撃クラスターを「CL-STA-1009」と命名し、詳細な分析を公開しています。
主要なポイント
- マルウェアの特徴と攻撃手法:「Airstalk」はモバイルデバイス管理(MDM)用のAirWatch APIを悪用し、秘密裏にコマンド&コントロール(C2)通信を確立します。PowerShell版と.NET版の2種類が存在し、多彩な情報収集や操作が可能です。
- 高度なC2通信プロトコル:APIのカスタム属性やファイルアップロード機能を利用し、攻撃者との通信を隠蔽。特にPowerShell版は「/api/mdm/devices/」エンドポイントを利用したデッドドロップ方式で通信を行います。
- 多様な情報収集機能:スクリーンショット取得、ブラウザのクッキーや履歴、ブックマークの収集など、ユーザーの行動や認証情報を幅広く窃取可能です。さらに.NET版は企業向けブラウザIslandも標的に加えています。
- 署名と永続化の違い:.NET版は盗用された可能性のある有効な証明書で署名されており、PowerShell版はスケジュールタスクを用いた永続化機能を持つ一方、.NET版には永続化機能が確認されていません。
- 攻撃対象と影響:主にビジネスプロセスアウトソーシング(BPO)セクターが狙われており、盗まれたブラウザセッションCookieを使った広範囲なアクセスが懸念されています。
技術的な詳細や背景情報
「Airstalk」はVMwareのAirWatch API(現在はWorkspace ONE Unified Endpoint Management)を悪用し、APIのカスタムデバイス属性管理やファイルアップロード機能を利用してC2通信を行います。PowerShell版は「/api/mdm/devices/」エンドポイントを使い、攻撃者とマルウェア間でメッセージをやり取りするデッドドロップ方式を採用。メッセージタイプには「CONNECT」「CONNECTED」「ACTIONS」「RESULT」などがあり、多様なコマンドを実行可能です。
.NET版はさらに高度で、Microsoft Edgeや企業向けブラウザIslandも標的に含めています。3つの実行スレッドでC2タスク管理、デバッグログ送信、ビーコン送信を分担。追加メッセージタイプ「MISMATCH」「DEBUG」「PING」もサポートし、コマンドセットも拡張されています。
また、一部の.NET版サンプルは「Aoteng Industrial Automation (Langfang) Co., Ltd.」発行の有効な証明書で署名されており、これは盗用された可能性が高いとされています。初期ビルドのタイムスタンプは2024年6月28日です。
影響や重要性
このマルウェアはMDM関連APIを悪用し、サプライチェーン攻撃の一環としてBPOセクターを狙っています。BPOは複数の企業の業務を代行するため、ここを侵害されると多数のクライアント企業に影響が及びます。特にブラウザのセッションCookieが盗まれると、攻撃者は被害組織の複数のシステムに不正アクセスできるため、被害は甚大です。
さらに、マルウェアは高度な回避技術を持ち、検知が難しいため、被害の拡大や長期化が懸念されます。サードパーティベンダーの環境で動作している場合は特に注意が必要です。
まとめ
国家支援型の脅威アクターが開発した「Airstalk」は、MDM APIを悪用した高度なサプライチェーン攻撃ツールです。PowerShell版と.NET版の2種類が存在し、多彩な情報収集や操作機能を備えています。特にBPOセクターを狙った攻撃は、複数企業に連鎖的な被害をもたらす可能性が高く、企業は早急な対策と監視強化が求められます。
今後もAPIの悪用やサプライチェーン攻撃の手口は進化が予想されるため、最新の脅威情報の収集と適切なセキュリティ対策の実施が重要です。
