خلاصہ:
سیکیورٹی ریسرچرز نے ایک نیا میل ویئر دریافت کیا ہے جسے Airstalk کہا جا رہا ہے۔ یہ حملہ غالباً ایک نیشن اسٹیٹ گروپ (جسے CL-STA-1009 کے نام سے ٹریک کیا جا رہا ہے) کی جانب سے کیا گیا ہے۔ یہ میل ویئر AirWatch (اب Workspace ONE UEM) کے API کو غلط طریقے سے استعمال کر کے کمانڈ اینڈ کنٹرول (C2) چینل بناتا ہے، جس سے ہیکرز اپنے احکامات خفیہ طور پر متاثرہ سسٹمز تک پہنچاتے ہیں۔
Airstalk کی دو اقسام پائی گئی ہیں — PowerShell اور .NET۔ .NET ورژن زیادہ جدید اور خطرناک سمجھا جا رہا ہے۔ یہ حملے خاص طور پر انٹرپرائز ماحول اور BPO (Business Process Outsourcing) کمپنیوں کو نشانہ بنا رہے ہیں۔
Airstalk کیا ہے اور یہ کیسے کام کرتا ہے
Airstalk دراصل ایک بیک ڈور میل ویئر ہے جو AirWatch یا Workspace ONE Unified Endpoint Management (UEM) API کو غلط استعمال کرتا ہے۔
عام طور پر یہ API موبائل ڈیوائس مینجمنٹ کے لیے استعمال ہوتا ہے، لیکن Airstalk اسی سسٹم کے اندر خفیہ کمانڈز اور چوری شدہ ڈیٹا بھیجنے کے لیے اسے استعمال کرتا ہے، تاکہ سیکیورٹی سسٹمز کو دھوکا دیا جا سکے۔
PowerShell ورژن
•/api/mdm/devices/ اینڈ پوائنٹ استعمال کرتا ہے۔
•Custom attributes کے ذریعے C2 کمیونیکیشن قائم کرتا ہے۔
•Scheduled task کے ذریعے خود کو مستقل رکھتا ہے۔
•یہ 7 بنیادی کارروائیاں انجام دے سکتا ہے، جیسے: اسکرین شاٹ لینا، Chrome کے کوکیز، ہسٹری اور بک مارکس چرانا، فائلز کی فہرست نکالنا، اور خود کو ان انسٹال کرنا۔
.NET ورژن
•زیادہ جدید اور فیچر والا ورژن ہے۔
•AirwatchHelper.exe کے نام سے خود کو چھپاتا ہے۔
•Microsoft Edge اور Island (انٹرپرائز براؤزر) کو بھی نشانہ بناتا ہے۔
•Multi-threaded ہوتا ہے یعنی مختلف کاموں کے لیے الگ الگ تھریڈز استعمال کرتا ہے — ایک کمانڈز کے لیے، دوسرا لاگز کے لیے، تیسرا سرور سے رابطے کے لیے۔
•مزید پیغام کی اقسام شامل کرتا ہے: MISMATCH, DEBUG, PING۔
•اس میں زیادہ کمانڈز موجود ہیں، مثلاً Chrome یا Island پروفائلز چرانا، URL کھولنا، یا مخصوص فائلز اپ لوڈ کرنا۔
•کچھ نمونے ایک چوری شدہ سرٹیفکیٹ کے ساتھ سائن کیے گئے ہیں جو Aoteng Industrial Automation (Langfang) Co., Ltd. کے نام پر ہے۔
•کچھ فائلوں کی تاریخ 28 جون 2024 کی ہے۔
C2 پروٹوکول کیسے کام کرتا ہے
Airstalk اپنے سرور سے بات چیت کے لیے درج ذیل پیغام نظام استعمال کرتا ہے:
1.میل ویئر سرور کو "CONNECT” بھیجتا ہے۔
2.سرور "CONNECTED” کے پیغام سے جواب دیتا ہے۔
3.سرور "ACTIONS” پیغام کے ذریعے کمانڈز بھیجتا ہے۔
4.میل ویئر ان کمانڈز کو ایکزیکیوٹ کر کے "RESULT” کے ذریعے نتیجہ واپس بھیجتا ہے۔
5.اگر ڈیٹا زیادہ ہو تو AirWatch blobs فیچر کے ذریعے فائلز اپ لوڈ کرتا ہے۔
Airstalk کیا چوری کر سکتا ہے
یہ میل ویئر خاص طور پر براؤزر ڈیٹا کو نشانہ بناتا ہے تاکہ اکاؤنٹس ہائی جیک کیے جا سکیں:
•اسکرین شاٹس لینا
•Chrome، Edge، Island براؤزرز کے کوکیز، بک مارکس، اور ہسٹری چرانا
•یوزر فولڈرز میں موجود فائلز کی فہرست بنانا
•Chrome یا Island پروفائلز نکالنا
•کسی ویب سائٹ کا نیا URL کھولنا
•اور آخر میں خود کو ان انسٹال کر دینا
یہ تمام معلومات کسی ادارے کے لاگ اِن سیشنز اور کسٹمر ڈیٹا تک براہِ راست رسائی دے سکتی ہیں۔
BPO کمپنیوں پر خطرہ کیوں زیادہ ہے
•BPO کمپنیاں مختلف کلائنٹس کے حساس ڈیٹا تک رسائی رکھتی ہیں، اس لیے ایک حملہ کئی کمپنیوں کو متاثر کر سکتا ہے۔
•Airstalk چونکہ MDM APIs کے ذریعے کام کرتا ہے، اس لیے یہ عام نیٹ ورک مانیٹرنگ میں چھپ جاتا ہے۔
•اس کا ہدف انٹرپرائز براؤزرز ہیں، جو صرف کارپوریٹ ماحول میں استعمال ہوتے ہیں۔
•اگر یہ میل ویئر کسی سافٹ ویئر اپ ڈیٹ یا وینڈر کے ذریعے داخل ہو، تو یہ ایک سپلائی چین اٹیک بن جاتا ہے جو بہت نقصان دہ ہو سکتا ہے۔
اہم نشانات (Indicators)
•AirWatch / Workspace ONE کے API کا غیر معمولی استعمال
•Custom attributes یا blob uploads میں مشکوک سرگرمی
•پیغام کی اقسام: CONNECT, CONNECTED, ACTIONS, RESULT, PING
•AirwatchHelper.exe نامی فائل
•چوری شدہ سرٹیفکیٹ: Aoteng Industrial Automation (Langfang) Co., Ltd.
•کمپائل ٹائم: 28 جون 2024
دفاعی اقدامات (Mitigation Steps)
فوری ایکشن
•Workspace ONE / AirWatch کے API لاگز چیک کریں کہ کہیں غیر معمولی blob uploads یا custom attributes تو نہیں۔
•AirwatchHelper.exe یا مشکوک PowerShell شیڈیولڈ ٹاسکس تلاش کریں۔
•چوری شدہ یا مشکوک سرٹیفکیٹس فوراً منسوخ کریں۔
•متاثرہ سسٹمز کو isolate کر کے فورنزک اینالیسس کریں۔
طویل مدتی اقدامات
•سرٹیفکیٹس اور API keys باقاعدگی سے rotate کریں۔
•MDM اکاؤنٹس کے لیے Least Privilege پالیسی اپنائیں۔
•Endpoint مانیٹرنگ میں براؤزر پروفائل ایکسس پر الرٹس لگائیں۔
•صرف Verified Certificates کی اجازت دیں۔
نتیجہ
Airstalk ایک جدید میل ویئر ہے جو قانونی MDM APIs کے اندر چھپ کر کام کرتا ہے۔ یہ کارپوریٹ نیٹ ورکس میں چھپنے کے لیے خاص طور پر ڈیزائن کیا گیا ہے، اور اس کا مقصد حساس براؤزر ڈیٹا اور سیشن کوکیز چرانا ہے۔
ایسے میل ویئر کے خلاف دفاع کے لیے اداروں کو MDM ٹریفک کی نگرانی، سرٹیفکیٹ کی سخت جانچ، اور سیشن ری سیٹ پالیسی اپنانا ہوگی۔ خاص طور پر BPO کمپنیوں کے لیے یہ خطرہ زیادہ ہے کیونکہ ان کے ذریعے ایک ہی وقت میں کئی کلائنٹس متاثر ہو سکتے ہیں۔
سورس
https://thehackernews.com/2025/10/nation-state-hackers-deploy-new.html?m=1
