Un presunto actor de amenazas de un estado nación ha sido vinculado a la distribución de un nuevo malware llamado Airstalk como parte de un probable ataque a la cadena de suministro.
La Unidad 42 de Palo Alto Networks dijo que está rastreando el clúster bajo el nombre CL-STA-1009donde «CL» significa grupo y «STA» se refiere a motivación respaldada por el estado.
«Airstalk hace un mal uso de la API de AirWatch para la gestión de dispositivos móviles (MDM), que ahora se llama Workspace ONE Unified Endpoint Management», dijeron en un análisis los investigadores de seguridad Kristopher Russo y Chema García. «Utiliza la API para establecer un canal encubierto de comando y control (C2), principalmente a través de la función AirWatch para administrar atributos personalizados del dispositivo y cargas de archivos».
El malware, que aparece en variantes de PowerShell y .NET, utiliza un protocolo de comunicación de comando y control (C2) de subprocesos múltiples y es capaz de realizar capturas de pantalla y recopilar cookies, historial del navegador, marcadores y capturas de pantalla de los navegadores web. Se cree que los actores de amenazas están aprovechando un certificado robado para firmar algunos de los artefactos.
La Unidad 42 dijo que la variante .NET de Airstalk está equipada con más capacidades que su contraparte PowerShell, lo que sugiere que podría ser una versión avanzada del malware.
La variante de PowerShell, por su parte, utiliza el punto final «/api/mdm/devices/» para las comunicaciones C2. Si bien el punto final está diseñado para obtener detalles del contenido de un dispositivo en particular, el malware utiliza la función de atributos personalizados en la API para usarlo como un solucionador de caída para almacenar la información necesaria para interactuar con el atacante.
Una vez iniciada, la puerta trasera inicializa el contacto enviando un mensaje «CONECTAR» y espera un mensaje «CONECTADO» del servidor. Luego recibe varias tareas para ejecutar en el host comprometido en forma de mensaje de tipo «ACCIONES». El resultado de la ejecución se envía de vuelta al actor de la amenaza mediante un mensaje «RESULTADO».
La puerta trasera admite siete ACCIONES diferentes, que incluyen tomar una captura de pantalla, obtener cookies de Google Chrome, enumerar todos los perfiles de Chrome de los usuarios, obtener marcadores del navegador de un perfil determinado, recopilar el historial del navegador de un perfil de Chrome determinado, enumerar todos los archivos dentro del directorio del usuario y desinstalarse del host.
«Algunas tareas requieren enviar una gran cantidad de datos o archivos después de ejecutar Airstalk», dijo la Unidad 42. «Para hacerlo, el malware utiliza la función blobs de la API de AirWatch MDM para cargar el contenido como un nuevo blob».
La variante .NET de Airstalk amplía las capacidades al apuntar también a Microsoft Edge e Island, un navegador centrado en la empresa, al tiempo que intenta imitar una utilidad AirWatch Helper («AirwatchHelper.exe»). Además, admite tres tipos de mensajes más:
- MISMATCH, para marcar errores de discrepancia de versiones
- DEBUG, para enviar mensajes de depuración
- PING, para balizamiento
Además, utiliza tres subprocesos de ejecución diferentes, cada uno de los cuales tiene un propósito único: administrar tareas C2, filtrar el registro de depuración y señalar el servidor C2. El malware también admite un conjunto más amplio de comandos, aunque uno de ellos parece no haberse implementado todavía:
- Captura de pantalla, para tomar una captura de pantalla
- UpdateChrome, para filtrar un perfil de Chrome específico
- FileMap, para enumerar el contenido del directorio específico
- RunUtility (no implementado)
- EnterpriseChromeProfiles, para buscar perfiles de Chrome disponibles
- UploadFile, para extraer credenciales y artefactos específicos de Chrome
- OpenURL, para abrir una nueva URL en Chrome
- Desinstalar, para finalizar la ejecución.
- EnterpriseChromeBookmarks, para recuperar marcadores de Chrome de un perfil de usuario específico
- EnterpriseIslandProfiles, para buscar perfiles de navegador de isla disponibles
- UpdateIsland, para filtrar un perfil de navegador de isla específico
- ExfilAlreadyOpenChrome, para volcar todas las cookies del perfil actual de Chrome
Curiosamente, mientras que la variante de PowerShell utiliza una tarea programada para la persistencia, su versión .NET carece de dicho mecanismo. La Unidad 42 dijo que algunas de las muestras de variantes de .NET están firmadas con un certificado «probablemente robado» firmado por una autoridad de certificación válida (Aoteng Industrial Automation (Langfang) Co., Ltd.), y las primeras iteraciones presentan una marca de tiempo de compilación del 28 de junio de 2024.
Actualmente no se sabe cómo se distribuye el malware ni quién pudo haber sido el objetivo de estos ataques. Pero el uso de API relacionadas con MDM para C2 y el ataque a navegadores empresariales como Island sugieren la posibilidad de un ataque a la cadena de suministro dirigido al sector de subcontratación de procesos de negocio (BPO).
«Las organizaciones especializadas en BPO se han convertido en objetivos lucrativos tanto para los atacantes criminales como para los de estados-nación», afirmó. «Los atacantes están dispuestos a invertir generosamente en los recursos necesarios no sólo para comprometerlos sino también para mantener el acceso indefinidamente».
«Las técnicas de evasión empleadas por este malware le permiten pasar desapercibido en la mayoría de los entornos. Esto es particularmente cierto si el malware se ejecuta dentro del entorno de un proveedor externo. Esto es particularmente desastroso para las organizaciones que utilizan BPO porque las cookies de sesión del navegador robadas podrían permitir el acceso a una gran cantidad de sus clientes».