Một tác nhân đe dọa được cho là do nhà nước bảo trợ đã bị liên kết với việc phát tán một loại mã độc mới có tên Airstalk như một phần của cuộc tấn công chuỗi cung ứng bị nghi ngờ.
Palo Alto Networks Unit 42 cho biết họ đang theo dõi nhóm này dưới tên gọi CL-STA-1009, trong đó "CL" là viết tắt của cluster (cụm) và "STA" đề cập đến động cơ được nhà nước hậu thuẫn.
"Airstalk lạm dụng AirWatch API cho quản lý thiết bị di động (MDM), hiện được gọi là Workspace ONE Unified Endpoint Management," các nhà nghiên cứu bảo mật Kristopher Russo và Chema Garcia cho biết trong một phân tích. "Nó sử dụng API để thiết lập một kênh command-and-control (C2) bí mật, chủ yếu thông qua tính năng AirWatch để quản lý các custom device attributes và file uploads."
Mã độc này, xuất hiện dưới các biến thể PowerShell và .NET, sử dụng giao thức giao tiếp command-and-control (C2) đa luồng và có khả năng chụp ảnh màn hình cũng như thu thập cookies, browser history, bookmarks và screenshots từ các trình duyệt web. Người ta tin rằng các tác nhân đe dọa đang lợi dụng một stolen certificate để ký một số artifacts.
Các biến thể của Airstalk
Unit 42 cho biết biến thể .NET của Airstalk được trang bị nhiều khả năng hơn so với đối tác PowerShell của nó, cho thấy đây có thể là một phiên bản mã độc nâng cao.
Biến thể PowerShell, về phần mình, sử dụng endpoint "/api/mdm/devices/" cho giao tiếp C2. Mặc dù endpoint này được thiết kế để tìm nạp chi tiết nội dung của một thiết bị cụ thể, mã độc sử dụng tính năng custom attributes trong API để dùng nó như một dead drop resolver để lưu trữ thông tin cần thiết cho việc tương tác với kẻ tấn công.
Sau khi được khởi chạy, backdoor sẽ khởi tạo liên lạc bằng cách gửi một tin nhắn "CONNECT" và chờ đợi một tin nhắn "CONNECTED" từ máy chủ. Sau đó, nó nhận các tác vụ khác nhau để thực thi trên máy chủ bị xâm nhập dưới dạng tin nhắn loại "ACTIONS". Kết quả thực thi được gửi lại cho tác nhân đe dọa bằng một tin nhắn "RESULT".
Khả năng của Backdoor Airstalk
Backdoor hỗ trợ bảy ACTIONS khác nhau, bao gồm chụp ảnh màn hình (screenshot), lấy cookies từ Google Chrome, liệt kê tất cả Chrome profiles của người dùng, lấy browser bookmarks của một profile nhất định, thu thập browser history của một Chrome profile nhất định, liệt kê tất cả các file trong thư mục của người dùng và tự gỡ cài đặt (uninstall) khỏi máy chủ.
"Một số tác vụ yêu cầu gửi lại một lượng lớn dữ liệu hoặc file sau khi Airstalk được thực thi," Unit 42 cho biết. "Để làm như vậy, mã độc sử dụng tính năng blobs của AirWatch MDM API để tải nội dung lên dưới dạng một blob mới."
Biến thể .NET của Airstalk mở rộng các khả năng bằng cách cũng nhắm mục tiêu Microsoft Edge và Island, một enterprise-focused browser, trong khi cố gắng bắt chước một tiện ích AirWatch Helper ("AirwatchHelper.exe"). Hơn nữa, nó hỗ trợ ba loại tin nhắn bổ sung:
- MISMATCH, để báo lỗi không khớp phiên bản
- DEBUG, để gửi các tin nhắn debug
- PING, để beaconing
Ngoài ra, nó sử dụng ba execution threads khác nhau, mỗi luồng phục vụ một mục đích riêng: để quản lý các C2 tasks, exfiltrate debug log và beacon tới C2 server. Mã độc cũng hỗ trợ một bộ lệnh rộng hơn, mặc dù một trong số chúng dường như chưa được triển khai:
- Screenshot, để chụp ảnh màn hình
- UpdateChrome, để exfiltrate một Chrome profile cụ thể
- FileMap, để liệt kê nội dung của thư mục cụ thể
- RunUtility (chưa được triển khai)
- EnterpriseChromeProfiles, để tìm nạp các Chrome profiles có sẵn
- UploadFile, để exfiltrate các Chrome artifacts và credentials cụ thể
- OpenURL, để mở một URL mới trong Chrome
- Uninstall, để kết thúc
- EnterpriseChromeBookmarks, để tìm nạp Chrome bookmarks từ một user profile cụ thể
- EnterpriseIslandProfiles, để tìm nạp các Island browser profiles có sẵn
- UpdateIsland, để exfiltrate một Island browser profile cụ thể
- ExfilAlreadyOpenChrome, để dump tất cả cookies từ Chrome profile hiện tại
Thú vị là, trong khi biến thể PowerShell sử dụng một scheduled task để persistence, phiên bản .NET của nó lại thiếu cơ chế như vậy. Unit 42 cho biết một số mẫu biến thể .NET được ký bằng một "likely stolen" certificate được ký bởi một valid certificate authority (Aoteng Industrial Automation (Langfang) Co., Ltd.), với các phiên bản đầu tiên có compilation timestamp là ngày 28 tháng 6 năm 2024.
Mục tiêu và phương thức phân phối
Hiện tại vẫn chưa rõ mã độc được phân phối như thế nào, hoặc ai có thể là mục tiêu trong các cuộc tấn công này. Nhưng việc sử dụng các MDM-related APIs cho C2 và việc nhắm mục tiêu các enterprise browsers như Island cho thấy khả năng một supply chain attack nhắm vào lĩnh vực business process outsourcing (BPO).
"Các tổ chức chuyên về BPO đã trở thành mục tiêu béo bở cho cả tội phạm và các tác nhân tấn công được nhà nước hậu thuẫn," báo cáo cho biết. "Kẻ tấn công sẵn sàng đầu tư hào phóng vào các tài nguyên cần thiết để không chỉ xâm nhập mà còn duy trì quyền truy cập vô thời hạn."
"Các kỹ thuật evasion được sử dụng bởi mã độc này cho phép nó không bị phát hiện trong hầu hết các môi trường. Điều này đặc biệt đúng nếu mã độc đang chạy trong môi trường của một third-party vendor. Điều này đặc biệt tai hại đối với các tổ chức sử dụng BPO vì stolen browser session cookies có thể cho phép truy cập vào một số lượng lớn khách hàng của họ."
