Државно-спонзорирани хакери распоредуваат нов малвер „Airstalk“ во сомнителен напад преку синџир на снабдување

Сомнителен актор поддржан од држава е поврзан со дистрибуцијата на нов малвер наречен Airstalk како дел од веројатен напад преку синџир на снабдување.

Palo Alto Networks Unit 42 соопшти дека го следи кластерот под ознаката CL-STA-1009, каде „CL“ значи кластер, а „STA“ се однесува на мотивација поддржана од држава.

„Airstalk злоупотребува AirWatch API за мобилно управување со уреди (MDM), кое сега се вика Workspace ONE Unified Endpoint Management,“ рекоа истражувачите за безбедност Кристофер Русо и Чема Гарсија во анализата. „Го користи API-то за воспоставување таен канал за командување и контрола (C2), главно преку функцијата на AirWatch за управување со прилагодени атрибути на уредите и за прикачување датотеки.“

Малверот, кој се појавува во PowerShell и .NET варијанти, користи мулти-нивно (мулти-тредирано) протокол за комуникација C2 и е способен да прави снимки на екранот и да собира колачиња, историја на прелистувачот, обележувачи и снимки од екранот од веб-прелистувачите. Се верува дека актерите ги користат украдени сертификати за да ги потпишат некои од артефактите.

Unit 42 наведува дека .NET варијантата на Airstalk е опремена со повеќе можности од PowerShell еквивалентот, што сугерира дека може да станува збор за понапредна верзија на малверот.

PowerShell варијантата, пак, го користи крајниот точка „/api/mdm/devices/“ за C2 комуникации. Додека таа крајна точка е наменета за преземање детали за содржината на одреден уред, малверот ја користи функцијата за прилагодени атрибути во API-то за да ја искористи како „dead drop resolver“ — место за чување на информации потребни за интеракција со напаѓачот. Откако ќе биде активиран, бекдоорот го иницира контактот со испраќање порака „CONNECT“ и чека порака „CONNECTED“ од серверот. Потоа прима различни задачи за извршување на компромитираниот хост во форма на порака од тип „ACTIONS“. Излезот од извршувањето се испраќа назад до напаѓачот користејќи порака „RESULT“.

Бекдоорот поддржува седум различни ACTIONS, вклучувајќи правење снимка на екранот, добивање колачиња од Google Chrome, листање на сите кориснички Chrome профили, добивање обележувачи на прелистувач за даден профил, собирање на историјата на прелистувачот за даден Chrome профил, пребројување/избројување на сите датотеки во корисничкиот директориум и деинсталирање од хостот.

„Некои задачи бараат враќање голема количина податоци или датотеки по извршувањето на Airstalk,“ рече Unit 42. „За да го направи тоа, малверот ја користи функцијата за blobs на AirWatch MDM API-то за да ја прикачи содржината како нов blob.“

.NET варијантата на Airstalk ги проширува можностите и дополнително ги таргетира Microsoft Edge и Island — прелистувач ориентиран кон ентерпрајз-употреба, при што се обидува да имитира помошна алатка на AirWatch („AirwatchHelper.exe“). Покрај тоа, таа поддржува три дополнителни типови пораки:

• MISMATCH — за означување грешки поради несовпаѓање на верзиите
• DEBUG — за испраќање на дебаг-пораки
• PING — за известување/бейконирање

Исто така, користи три различни извршувачки нишки, од кои секоја има посебна намена: управување со C2 задачи, екфилтрација (изнесување) на дебаг-логот и бейконирање кон C2 серверот. Малверот поддржува поширок сет на команди, иако една од нив изгледа дека не е уште имплементирана:

• Screenshot — да направи снимка на екранот
• UpdateChrome — да екфилтрира (изнесе) одреден Chrome профил
• FileMap — да ги испише/наведе содржините на определен директориум
• RunUtility — (не е имплементирано)
• EnterpriseChromeProfiles — да ги преземе достапните Chrome профили во ентерпрајз средина
• UploadFile — да екфилтрира специфични Chrome артефакти и креденцијали
• OpenURL — да отвори нов URL во Chrome
• Uninstall — да заврши со извршувањето (деинсталира/отстрани себе)
• EnterpriseChromeBookmarks — да ги преземе обележувачите (bookmarks) од конкретен кориснички Chrome профил
• EnterpriseIslandProfiles — да ги преземе достапните Island профили
• UpdateIsland — да екфилтрира (изнесе) одреден Island профил
• ExfilAlreadyOpenChrome — да исцрпи (дампира) сите колачиња од тековниот Chrome профил.

Интересно е што додека PowerShell варијантата користи планер (scheduled task) за перзистенција, нејзината .NET верзија нема таков механизам. Unit 42 соопшти дека некои од .NET примероците се потпишани со „веројатно украден“ сертификат издаден од валиден центар за сертификати (Aoteng Industrial Automation (Langfang) Co., Ltd.), а раните итерации имаат временска ознака на компајлирање од 28 јуни 2024 година.

Во моментов не е познато како се дистрибуира малверот ниту кои може да биле целите на овие напади. Сепак, употребата на MDM-поврзани API за C2 и таргетирањето на ентерпрајз-прелистувачи како Island укажуваат на можност за напад преку синџир на снабдување насочен кон секторот за бизнис процес аутсорсинг (BPO).

„Организациите специјализирани за BPO станаа профитабилни цели за криминални и државно-спонзорирани напаѓачи,“ велат од Unit 42. „Напаѓачите се подготвени да вложат значајни ресурси не само за да ги компромитираат туку и за да одржуваат пристап на неодредено време.“

„Техниките за евазија што ги користи овој малвер му овозможуваат да остане непрепознаен во повеќето средини. Ова особено важи ако малверот работи во окружување на трета страна. Тоа е особено катастрофално за организациите што користат BPO, бидејќи украдените колачиња на прелистувачот можат да овозможат пристап до голем број клиенти.“

Извори:

• The Hacker News – „Nation-State Hackers Deploy New Airstalk Malware in Suspected Supply Chain Attack“ The Hacker News