資安警報！名為 Airstalk 的新型惡意軟體浮上檯面，被認為是國家級駭客所為，目標鎖定業務流程外包 (BPO) 業者，恐將引發嚴重的供應鏈攻擊事件 (Palo Alto Networks, 2025)。該惡意軟體透過偽裝行蹤，並利用裝置管理平台 VMware Workspace ONE Unified Endpoint Management (原名 AirWatch) 進行隱蔽行動，使得追蹤與防禦更加困難。

Airstalk 惡意軟體細節

Airstalk 惡意軟體共有 PowerShell 及 .NET 兩種變體，均具備高度的攻擊能力。這兩種變體都濫用 AirWatch API (現為 VMware Workspace ONE UEM) 進行行動裝置管理 (MDM)，以此建立與命令與控制 (C&C) 伺服器之間的隱蔽通道，並採用多執行緒通訊協定 (Palo Alto Networks, 2025)。兩種變體皆使用了可能是遭竊的憑證進行簽署，增加其可信度及隱蔽性。

PowerShell 版本的 Airstalk 可以接收來自 C&C 伺服器的指令，執行以下惡意行為：

• 截取螢幕畫面
• 列出使用者目錄中的檔案
• 列出 Chrome 瀏覽器設定檔
• 竊取 Chrome 瀏覽器的資料，包括 Cookie、書籤及歷史紀錄

.NET 版本的 Airstalk 通過三個不同的執行緒實現其功能 (Unit 42, 2025):

• 管理 C2 任務
• 導出調試日誌
• 信標到 C2 […] 請求執行任務，發送 ACTIONS 類型的消息
• 阻止執行，等待攻擊者使用 ACTIONS 消息類型回答
• 返回要執行的操作的 ID，如下圖 4 所示

根據資安報告，此波攻擊活動被追蹤為 CL-STA-1009，主要目標為 BPO 公司，這些公司通常有權存取客戶網路中的關鍵業務系統 (SecurityWeek, 2025)。攻擊者利用 BPO 供應商作為跳板，進行供應鏈攻擊，進而滲透到更多目標環境之中。

由於 BPO 業者通常需要服務多個客戶，且擁有高度專業化的技術人才，因此經常成為網路犯罪分子和國家級駭客的目標 (The Hacker News, 2025)。攻擊者願意投入大量資源，不僅入侵這些公司，還長期維持存取權限，以達成其戰略目標。

攻擊流程剖析

Airstalk 惡意軟體攻擊流程如下：

1. 初始入侵： 透過供應鏈攻擊，入侵 BPO 業者的網路 (Unit 42, 2025)。
2. 惡意軟體部署： 將 Airstalk 部署到受管理的 Windows 終端設備，利用 MDM 基礎架構進行橫向移動，並在組織邊界之間維持持續性 (Rescana, 2025)。
3. 資料外洩： 通過 MDM API 外洩瀏覽器資料和螢幕截圖，使用 Blob 上傳來隱藏敏感資訊 (Rescana, 2025)。
4. 命令與控制： 惡意軟體與 C&C 伺服器建立連線，接收指令並回傳執行結果 (Palo Alto Networks, 2025)。

防禦建議

為了有效防禦 Airstalk 惡意軟體的威脅，建議企業採取下列措施：

• 強化供應鏈安全： 審查與加強與 BPO 供應商之間的協定與連線 (Unit 42, 2025)。
• 監控 MDM API 使用情況： 密切監控 MDM API 的異常使用情況，及早發現潛在的惡意活動 (Palo Alto Networks, 2025)。
• 定期審查排程工作： 定期審查受管理端點上的排程工作，檢查是否存在未經授權的持久性機制 (Rescana, 2025)。
• 實施威脅獵捕： 使用 EDR、XDR 及 SIEM 等平台，主動獵捕惡意連網指標 (IOC)，例如檔案雜湊值、憑證詳細資訊及可疑的 API 使用情況 (Rescana, 2025)。
• 行為監控： 針對異常的瀏覽器資料存取及外洩模式進行行為監控，有助於偵測潛在的惡意活動 (Rescana, 2025)。

參考文獻

• Palo Alto Networks. (2025). Airstalk Malware Exploits VMware Workspace ONE UEM APIs in Sophisticated Nation-State Supply Chain Attack. Retrieved from: https://unit42.paloaltonetworks.com/new-windows-based-malware-family-airstalk/
• Rescana. (2025). Airstalk Malware Exploits VMware Workspace One UEM APIs in Sophisticated Nation-State Supply Chain Attack. Retrieved from: https://www.rescana.com/post/airstalk-malware-exploits-vmware-workspace-one-uem-apis-in-sophisticated-nation-state-a
• SecurityWeek. (2025). Chinese APT Uses Airstalk Malware in Supply Chain Attacks. Retrieved from: https://www.securityweek.com/chinese-apt-uses-airstalk-malware-in-supply-chain-attacks/
• The Hacker News. (2025). Nation-State Hackers Deploy New Airstalk Malware in Supply Chain Attacks. Retrieved from: https://thehackernews.com/2025/10/nation-state-hackers-deploy-new.html
• Unit 42. (2025). A New Windows-Based Malware Family, Airstalk. Retrieved from https://unit42.paloaltonetworks.com/new-windows-based-malware-family-airstalk/

本文章由 AI 撰寫，部分觀點可能與人工撰寫有所不同。

“`