Se ha vinculado a un presunto actor de amenazas a un estado-nación con la distribución de un nuevo malware llamado Airstalk como parte de un probable ataque a la cadena de suministro.
La Unidad 42 de Palo Alto Networks dijo que está rastreando el clúster con el nombre de CL-STA-1009 , donde «CL» significa grupo y «STA» se refiere a la motivación respaldada por el estado.
«Airstalk hace un mal uso de la API de AirWatch para la administración de dispositivos móviles (MDM), que ahora se denomina Workspace ONE Unified Endpoint Management», afirman los investigadores de seguridad Kristopher Russo y Chema Garcia dijo en un análisis. «Utiliza la API para establecer un canal encubierto de mando y control (C2), principalmente a través de la función AirWatch para gestionar los atributos personalizados del dispositivo y la carga de archivos».
El malware, que aparece en las variantes de PowerShell y .NET, utiliza un protocolo de comunicación de comando y control (C2) de subprocesos múltiples y es capaz de capturar capturas de pantalla y recopilar cookies, historial del navegador, marcadores y capturas de pantalla de los navegadores web. Se cree que los atacantes están aprovechando un certificado robado para firmar algunos de los artefactos.
Unit 42 dijo que la variante.NET de Airstalk está equipada con más capacidades que su contraparte de PowerShell, lo que sugiere que podría ser una versión avanzada del malware.
La variante PowerShell, por su parte, utiliza el» /api/mdm/dispositivos/ «punto final para las comunicaciones C2. Si bien el punto final está diseñado para obtener los detalles del contenido de un dispositivo en particular, el malware utiliza la función de atributos personalizados de la API para utilizarla como un solucionador integrado para almacenar la información necesaria para interactuar con el atacante.
Una vez lanzada, la puerta trasera inicializa el contacto enviando un mensaje «CONECTAR» y espera un mensaje de «CONECTADO» del servidor. A continuación, recibe varias tareas para ejecutarlas en el host comprometido en forma de un mensaje del tipo «ACCIONES». El resultado de la ejecución se devuelve al autor de la amenaza mediante un mensaje de «RESULTADO».
La puerta trasera admite siete ACCIONES diferentes, como tomar una captura de pantalla, obtener cookies de Google Chrome, enumerar todos los perfiles de usuario de Chrome, obtener los marcadores del navegador de un perfil determinado, recopilar el historial de navegación de un perfil de Chrome determinado, enumerar todos los archivos del directorio del usuario y desinstalarse automáticamente del host.
«Algunas tareas requieren el envío de una gran cantidad de datos o archivos después de ejecutar Airstalk», dijo Unit 42. «Para ello, el malware utiliza la función blobs de la API MDM de AirWatch para subir el contenido como un nuevo blob».
La variante.NET de Airstalk amplía las capacidades al centrarse también en Microsoft Edge e Island, un navegador empresarial, e intenta imitar una utilidad AirWatch Helper (» AirwatchHelper.exe «). Además, admite otros tres tipos de mensajes:
- MISMATCH, para marcar errores de discordancia de versiones
- DEBUG, para enviar mensajes de depuración
- PING, para balizamiento
Además, utiliza tres subprocesos de ejecución diferentes, cada uno de los cuales tiene un propósito único: administrar las tareas de C2, filtrar el registro de depuración y dirigirlo al servidor C2. El malware también admite un conjunto más amplio de comandos, aunque parece que uno de ellos aún no se ha implementado:
- Captura de pantalla, para hacer una captura de pantalla
- Actualiza Chrome para filtrar un perfil de Chrome específico
- FileMap, para enumerar el contenido del directorio específico
- RunUtility (no implementado)
- Perfiles de Chrome empresariales, para obtener los perfiles de Chrome disponibles
- UploadFile, para filtrar artefactos y credenciales específicos de Chrome
- openURL, para abrir una nueva URL en Chrome
- Desinstalar, para finalizar el
- EnterpriseChromeBookmarks, para obtener los marcadores de Chrome de un perfil de usuario específico
- EnterpriseIslandProfiles, para obtener los perfiles de navegador de islas disponibles
- UpdateIsland, para filtrar un perfil de navegador de Island específico
- exfilAlReadyOpenChrome, para volcar todas las cookies del perfil actual de Chrome
Curiosamente, si bien la variante de PowerShell usa una tarea programada para la persistencia, su versión.NET carece de ese mecanismo. Unit 42 señaló que algunos de los ejemplos de variantes de.NET están firmados con un certificado de «probable robo» firmado por una autoridad certificadora válida (Aoteng Industrial Automation (Langfang) Co., Ltd.), y que en las primeras versiones la fecha de compilación era el 28 de junio de 2024.
Actualmente no se sabe cómo se distribuye el malware ni quién puede haber sido el objetivo de estos ataques. Sin embargo, el uso de API relacionadas con la MDM para C2 y los ataques dirigidos a navegadores empresariales como Island sugieren la posibilidad de que se produzca un ataque a la cadena de suministro dirigido al sector de la subcontratación de procesos empresariales (BPO).
«Las organizaciones especializadas en la BPO se han convertido en objetivos lucrativos tanto para los atacantes criminales como para los de los estados nacionales», afirmó. «Los atacantes están dispuestos a invertir generosamente en los recursos necesarios no solo para comprometerlos, sino también para mantener el acceso indefinidamente».
«Las técnicas de evasión empleadas por este malware permiten que no se detecte en la mayoría de los entornos. Esto es particularmente cierto si el malware se ejecuta en el entorno de un proveedor externo. Esto es particularmente desastroso para las organizaciones que utilizan la BPO, ya que las cookies robadas de sesión del navegador podrían permitir el acceso a un gran número de sus clientes».