Se cree que un presunto actor de amenazas de un estado nación está involucrado en la distribución de un nuevo malware llamado Airstalk como parte de un ataque a la cadena de suministro.
La Unidad 42 de Palo Alto Networks dijo que está rastreando el grupo, designado CL-STA-1009. «CL» significa grupo y «STA» significa motivos respaldados por el estado.
«Airstalk explota la API de AirWatch para la gestión de dispositivos móviles (MDM), ahora llamada Workspace ONE Unified Endpoint Management», escribieron los investigadores de seguridad Kristopher Russo y Chema García en su análisis. «Usar API para establecer canales de comando y control (C2) encubiertos principalmente a través de la funcionalidad AirWatch y administrar atributos personalizados de dispositivos y cargas de archivos».
El malware, que aparece como variantes de PowerShell y .NET, aprovecha el protocolo de comunicación de comando y control (C2) de subprocesos múltiples y puede capturar capturas de pantalla y recopilar cookies, historial del navegador, marcadores y capturas de pantalla de los navegadores web. Se cree que los atacantes están utilizando certificados robados para firmar algunos artefactos.
La Unidad 42 dijo que la variante .NET de Airstalk tiene más funciones que la versión PowerShell, lo que sugiere que puede ser una versión avanzada del malware.
La variante de PowerShell utiliza el punto final «/api/mdm/devices/» para la comunicación C2. Si bien el punto final está diseñado para recuperar detalles de contenido para un dispositivo específico, el malware utiliza la funcionalidad de atributos personalizados de la API para actuar como un solucionador de punto muerto para almacenar la información necesaria para interactuar con el atacante.
Una vez iniciada, la puerta trasera inicializa la conexión enviando un mensaje «CONECTAR» y espera un mensaje «CONECTADO» del servidor. Luego recibe varias tareas que deben realizarse en el host comprometido en forma de mensajes de tipo «ACCIONES». El resultado de la ejecución se envía de vuelta al atacante mediante un mensaje «RESULTADO».
La puerta trasera admite siete acciones diferentes, que incluyen tomar capturas de pantalla, recuperar cookies de Google Chrome, enumerar todos los perfiles de Chrome de los usuarios, recuperar los marcadores del navegador para un perfil en particular, recopilar el historial del navegador para un perfil de Chrome en particular, enumerar todos los archivos en el directorio del usuario y desinstalar del host.
«Algunas tareas requieren el envío de grandes cantidades de datos o archivos después de que se ejecuta Airstalk», dijo la Unidad 42. «Para hacer esto, el malware utiliza la funcionalidad BLOB de la API AirWatch MDM para cargar el contenido como un nuevo BLOB».
La variante .NET de Airstalk imita la utilidad AirWatch Helper (‘AirwatchHelper.exe’) al tiempo que amplía su funcionalidad al apuntar también a los navegadores empresariales Microsoft Edge e Island. Además, admite tres tipos de mensajes adicionales.
MISMATCH, para marcar un error de no coincidencia de versión DEBUG, para enviar un mensaje de depuración PING, para enviar una baliza
Además, se utilizan tres subprocesos de ejecución diferentes, cada uno de los cuales tiene un propósito específico: administrar tareas C2, extraer registros de depuración y enviar señales al servidor C2. El malware también admite un conjunto más amplio de comandos, uno de los cuales no parece haber sido implementado todavía.
Captura de pantalla, UpdateChrome para tomar una captura de pantalla, FileMap para extraer un perfil de Chrome específico, RunUtility (no implementado) para enumerar el contenido de un directorio específico EnterpriseChromeProfiles, UploadFile para obtener perfiles de Chrome disponibles, OpenURL para extraer artefactos y credenciales de Chrome específicos, abrir una nueva URL en la desinstalación de Chrome, salir de la ejecución EnterpriseChromeBookmarks, obtener marcadores de Chrome de un perfil de usuario específico EnterpriseIslandProfiles, perfil para obtener los navegadores Island disponibles UpdateIsland, ExfilAlreadyOpenChrome para extraer un perfil de navegador de isla específico, volcar todas las cookies del perfil actual de Chrome
Curiosamente, mientras que la variante de PowerShell utiliza tareas programadas para la persistencia, su versión .NET no tiene ese mecanismo. La Unidad 42 dijo que algunas de las muestras de variantes de .NET estaban firmadas con certificados «posiblemente robados» firmados por una autoridad de certificación válida (Aoteng Industrial Automation (Langfang) Co., Ltd.), y las primeras iteraciones presentaban una marca de tiempo de compilación del 28 de junio de 2024.
En este momento, no está claro cómo se distribuyó el malware ni quién fue el objetivo de estos ataques. Sin embargo, el uso de API relacionadas con MDM en C2 y el objetivo de navegadores empresariales como Island sugiere la posibilidad de ataques a la cadena de suministro dirigidos al sector de subcontratación de procesos de negocio (BPO).
«Las organizaciones especializadas en BPO se han convertido en objetivos lucrativos tanto para los delincuentes como para los actores estatales», dice el informe. «Los atacantes amenazantes están dispuestos a invertir los recursos necesarios no sólo para comprometer la seguridad, sino también para mantener el acceso indefinidamente».
«Las técnicas de evasión empleadas por este malware le permiten pasar desapercibido en la mayoría de los entornos. Esto es especialmente cierto cuando el malware se ejecuta dentro del entorno de un proveedor externo. Esto es especialmente desastroso para las organizaciones que utilizan BPO, ya que las cookies de sesión de navegador robadas pueden potencialmente proporcionar acceso a una gran cantidad de clientes».
Source link
