Un supuesto actor de amenazas de un estado nación ha sido vinculado a la distribución de un nuevo malware llamado Airstalk como parte de un probable ataque a la sujeción de suministro.
La Dispositivo 42 de Palo Suspensión Networks dijo que está rastreando el clúster bajo el nombre CL-STA-1009donde “CL” significa asociación y “STA” se refiere a motivación respaldada por el estado.
“Airstalk hace un mal uso de la API de AirWatch para la papeleo de dispositivos móviles (MDM), que ahora se lumbre Workspace ONE Unified Endpoint Management”, dijeron en un observación los investigadores de seguridad Kristopher Russo y Chema García. “Utiliza la API para establecer un canal encubierto de comando y control (C2), principalmente a través de la función AirWatch para gobernar atributos personalizados del dispositivo y cargas de archivos”.
El malware, que aparece en variantes de PowerShell y .NET, utiliza un protocolo de comunicación de comando y control (C2) de subprocesos múltiples y es capaz de realizar capturas de pantalla y compilar cookies, historial del navegador, marcadores y capturas de pantalla de los navegadores web. Se cree que los actores de amenazas están aprovechando un certificado robado para firmar algunos de los artefactos.
La Dispositivo 42 dijo que la variable .NET de Airstalk está equipada con más capacidades que su contraparte PowerShell, lo que sugiere que podría ser una traducción vanguardia del malware.
La variable de PowerShell, por su parte, utiliza el punto final “/api/mdm/devices/” para las comunicaciones C2. Si proporcionadamente el punto final está diseñado para obtener detalles del contenido de un dispositivo en particular, el malware utiliza la función de atributos personalizados en la API para usarlo como un solucionador de caída para acumular la información necesaria para interactuar con el atacante.
Una vez iniciada, la puerta trasera inicializa el contacto enviando un mensaje “CONECTAR” y dilación un mensaje “CONECTADO” del servidor. Luego recibe varias tareas para ejecutar en el host comprometido en forma de mensaje de tipo “ACCIONES”. El resultado de la ejecución se envía de reverso al actor de la amenaza mediante un mensaje “RESULTADO”.
La puerta trasera admite siete ACCIONES diferentes, que incluyen tomar una captura de pantalla, obtener cookies de Google Chrome, enumerar todos los perfiles de Chrome de los usuarios, obtener marcadores del navegador de un perfil determinado, compilar el historial del navegador de un perfil de Chrome determinado, enumerar todos los archivos internamente del directorio del heredero y desinstalarse del host.
“Algunas tareas requieren cursar una gran cantidad de datos o archivos luego de ejecutar Airstalk”, dijo la Dispositivo 42. “Para hacerlo, el malware utiliza la función blobs de la API de AirWatch MDM para cargar el contenido como un nuevo blob”.
La variable .NET de Airstalk amplía las capacidades al apuntar asimismo a Microsoft Edge e Island, un navegador centrado en la empresa, al tiempo que intenta imitar una utilidad AirWatch Helper (“AirwatchHelper.exe”). Por otra parte, admite tres tipos de mensajes más:
- MISMATCH, para marcar errores de discrepancia de versiones
- DEBUG, para cursar mensajes de depuración
- PING, para balizamiento
Por otra parte, utiliza tres subprocesos de ejecución diferentes, cada uno de los cuales tiene un propósito único: gobernar tareas C2, filtrar el registro de depuración y señalar el servidor C2. El malware asimismo admite un conjunto más amplio de comandos, aunque uno de ellos parece no haberse implementado todavía:
- Captura de pantalla, para tomar una captura de pantalla
- UpdateChrome, para filtrar un perfil de Chrome específico
- FileMap, para enumerar el contenido del directorio específico
- RunUtility (no implementado)
- EnterpriseChromeProfiles, para despabilarse perfiles de Chrome disponibles
- UploadFile, para extraer credenciales y artefactos específicos de Chrome
- OpenURL, para destapar una nueva URL en Chrome
- Desinstalar, para finalizar la ejecución.
- EnterpriseChromeBookmarks, para recuperar marcadores de Chrome de un perfil de heredero específico
- EnterpriseIslandProfiles, para despabilarse perfiles de navegador de isla disponibles
- UpdateIsland, para filtrar un perfil de navegador de isla específico
- ExfilAlreadyOpenChrome, para volcar todas las cookies del perfil flagrante de Chrome
Curiosamente, mientras que la variable de PowerShell utiliza una tarea programada para la persistencia, su traducción .NET carece de dicho mecanismo. La Dispositivo 42 dijo que algunas de las muestras de variantes de .NET están firmadas con un certificado “probablemente robado” firmado por una autoridad de certificación válida (Aoteng Industrial Automation (Langfang) Co., Ltd.), y las primeras iteraciones presentan una marca de tiempo de compilación del 28 de junio de 2024.
Actualmente no se sabe cómo se distribuye el malware ni quién pudo ocurrir sido el objetivo de estos ataques. Pero el uso de API relacionadas con MDM para C2 y el ataque a navegadores empresariales como Island sugieren la posibilidad de un ataque a la sujeción de suministro dirigido al sector de subcontratación de procesos de negocio (BPO).
“Las organizaciones especializadas en BPO se han convertido en objetivos lucrativos tanto para los atacantes criminales como para los de estados-nación”, afirmó. “Los atacantes están dispuestos a modificar desinteresadamente en los medios necesarios no sólo para comprometerlos sino asimismo para ayudar el ataque indefinidamente”.
“Las técnicas de entretenimiento empleadas por este malware le permiten sobrevenir desapercibido en la mayoría de los entornos. Esto es particularmente cierto si el malware se ejecuta internamente del entorno de un proveedor foráneo. Esto es particularmente desastroso para las organizaciones que utilizan BPO porque las cookies de sesión del navegador robadas podrían permitir el ataque a una gran cantidad de sus clientes”.
