Un supuesto actor de amenazas de un estado nación ha sido vinculado a la distribución de un nuevo malware llamado Airstalk como parte de un probable ataque a la dependencia de suministro.
La Pelotón 42 de Palo Stop Networks dijo que está rastreando el clúster bajo el nombre CL-STA-1009donde «CL» significa conjunto y «STA» se refiere a motivación respaldada por el estado.
«Airstalk hace un mal uso de la API de AirWatch para la trámite de dispositivos móviles (MDM), que ahora se candela Workspace ONE Unified Endpoint Management», dijeron en un descomposición los investigadores de seguridad Kristopher Russo y Chema García. «Utiliza la API para establecer un canal encubierto de comando y control (C2), principalmente a través de la función AirWatch para gobernar atributos personalizados del dispositivo y cargas de archivos».
El malware, que aparece en variantes de PowerShell y .NET, utiliza un protocolo de comunicación de comando y control (C2) de subprocesos múltiples y es capaz de realizar capturas de pantalla y compendiar cookies, historial del navegador, marcadores y capturas de pantalla de los navegadores web. Se cree que los actores de amenazas están aprovechando un certificado robado para firmar algunos de los artefactos.
La Pelotón 42 dijo que la transformación .NET de Airstalk está equipada con más capacidades que su contraparte PowerShell, lo que sugiere que podría ser una traducción avanzadilla del malware.
La transformación de PowerShell, por su parte, utiliza el punto final «/api/mdm/devices/» para las comunicaciones C2. Si adecuadamente el punto final está diseñado para obtener detalles del contenido de un dispositivo en particular, el malware utiliza la función de atributos personalizados en la API para usarlo como un solucionador de caída para acumular la información necesaria para interactuar con el atacante.
Una vez iniciada, la puerta trasera inicializa el contacto enviando un mensaje «CONECTAR» y prórroga un mensaje «CONECTADO» del servidor. Luego recibe varias tareas para ejecutar en el host comprometido en forma de mensaje de tipo «ACCIONES». El resultado de la ejecución se envía de dorso al actor de la amenaza mediante un mensaje «RESULTADO».
La puerta trasera admite siete ACCIONES diferentes, que incluyen tomar una captura de pantalla, obtener cookies de Google Chrome, enumerar todos los perfiles de Chrome de los usuarios, obtener marcadores del navegador de un perfil determinado, compendiar el historial del navegador de un perfil de Chrome determinado, enumerar todos los archivos en el interior del directorio del adjudicatario y desinstalarse del host.
«Algunas tareas requieren cursar una gran cantidad de datos o archivos luego de ejecutar Airstalk», dijo la Pelotón 42. «Para hacerlo, el malware utiliza la función blobs de la API de AirWatch MDM para cargar el contenido como un nuevo blob».
La transformación .NET de Airstalk amplía las capacidades al apuntar incluso a Microsoft Edge e Island, un navegador centrado en la empresa, al tiempo que intenta imitar una utilidad AirWatch Helper («AirwatchHelper.exe»). Adicionalmente, admite tres tipos de mensajes más:
- MISMATCH, para marcar errores de discrepancia de versiones
- DEBUG, para cursar mensajes de depuración
- PING, para balizamiento
Adicionalmente, utiliza tres subprocesos de ejecución diferentes, cada uno de los cuales tiene un propósito único: gobernar tareas C2, filtrar el registro de depuración y señalar el servidor C2. El malware incluso admite un conjunto más amplio de comandos, aunque uno de ellos parece no haberse implementado todavía:
- Captura de pantalla, para tomar una captura de pantalla
- UpdateChrome, para filtrar un perfil de Chrome específico
- FileMap, para enumerar el contenido del directorio específico
- RunUtility (no implementado)
- EnterpriseChromeProfiles, para agenciárselas perfiles de Chrome disponibles
- UploadFile, para extraer credenciales y artefactos específicos de Chrome
- OpenURL, para desplegar una nueva URL en Chrome
- Desinstalar, para finalizar la ejecución.
- EnterpriseChromeBookmarks, para recuperar marcadores de Chrome de un perfil de adjudicatario específico
- EnterpriseIslandProfiles, para agenciárselas perfiles de navegador de isla disponibles
- UpdateIsland, para filtrar un perfil de navegador de isla específico
- ExfilAlreadyOpenChrome, para volcar todas las cookies del perfil coetáneo de Chrome
Curiosamente, mientras que la transformación de PowerShell utiliza una tarea programada para la persistencia, su traducción .NET carece de dicho mecanismo. La Pelotón 42 dijo que algunas de las muestras de variantes de .NET están firmadas con un certificado «probablemente robado» firmado por una autoridad de certificación válida (Aoteng Industrial Automation (Langfang) Co., Ltd.), y las primeras iteraciones presentan una marca de tiempo de compilación del 28 de junio de 2024.
Actualmente no se sabe cómo se distribuye el malware ni quién pudo activo sido el objetivo de estos ataques. Pero el uso de API relacionadas con MDM para C2 y el ataque a navegadores empresariales como Island sugieren la posibilidad de un ataque a la dependencia de suministro dirigido al sector de subcontratación de procesos de negocio (BPO).
«Las organizaciones especializadas en BPO se han convertido en objetivos lucrativos tanto para los atacantes criminales como para los de estados-nación», afirmó. «Los atacantes están dispuestos a cambiar ampliamente en los fortuna necesarios no sólo para comprometerlos sino incluso para sostener el ataque indefinidamente».
«Las técnicas de esparcimiento empleadas por este malware le permiten acontecer desapercibido en la mayoría de los entornos. Esto es particularmente cierto si el malware se ejecuta en el interior del entorno de un proveedor extranjero. Esto es particularmente desastroso para las organizaciones que utilizan BPO porque las cookies de sesión del navegador robadas podrían permitir el ataque a una gran cantidad de sus clientes».
