Een vermoedelijke natiestatelijke dreigingsactor is in verband gebracht met de verspreiding van een nieuwe malware genaamd Airstalk als onderdeel van een waarschijnlijke supply chain-aanval.
Palo Alto Networks Unit 42 zei dat het het cluster onder de naam volgt CL-STA-1009waarbij “CL” staat voor cluster en “STA” verwijst naar door de staat gesteunde motivatie.
“Airstalk misbruikt de AirWatch API voor mobiel apparaatbeheer (MDM), dat nu Workspace ONE Unified Endpoint Management heet”, aldus beveiligingsonderzoekers Kristopher Russo en Chema Garcia in een analyse. “Het gebruikt de API om een geheim command-and-control (C2)-kanaal tot stand te brengen, voornamelijk via de AirWatch-functie om aangepaste apparaatkenmerken en bestandsuploads te beheren.”
De malware, die voorkomt in PowerShell- en .NET-varianten, maakt gebruik van een multi-threaded command-and-control (C2) communicatieprotocol en kan schermafbeeldingen maken en cookies, browsergeschiedenis, bladwijzers en schermafbeeldingen van webbrowsers verzamelen. Er wordt aangenomen dat de bedreigingsactoren een gestolen certificaat gebruiken om enkele artefacten te ondertekenen.
Unit 42 zei dat de .NET-variant van Airstalk over meer mogelijkheden beschikt dan zijn PowerShell-tegenhanger, wat suggereert dat het een geavanceerde versie van de malware zou kunnen zijn.
De PowerShell-variant maakt op zijn beurt gebruik van het “/api/mdm/devices/”-eindpunt voor C2-communicatie. Hoewel het eindpunt is ontworpen om inhoudsdetails van een bepaald apparaat op te halen, gebruikt de malware de functie voor aangepaste kenmerken in de API om deze te gebruiken als een dead drop-resolver voor het opslaan van informatie die nodig is voor interactie met de aanvaller.
Eenmaal gelanceerd, initialiseert de achterdeur het contact door een “CONNECT”-bericht te verzenden en wacht hij op een “CONNECTED”-bericht van de server. Vervolgens ontvangt het verschillende taken die moeten worden uitgevoerd op de gecompromitteerde host in de vorm van een bericht van het type ‘ACTIONS’. De uitvoer van de uitvoering wordt teruggestuurd naar de bedreigingsacteur met behulp van een “RESULT”-bericht.
De achterdeur ondersteunt zeven verschillende ACTIES, waaronder het maken van een screenshot, het ophalen van cookies van Google Chrome, het weergeven van alle Chrome-gebruikersprofielen, het verkrijgen van browserbladwijzers van een bepaald profiel, het verzamelen van de browsergeschiedenis van een bepaald Chrome-profiel, het opsommen van alle bestanden in de gebruikersmap en het zichzelf verwijderen van de host.
“Sommige taken vereisen het terugsturen van een grote hoeveelheid gegevens of bestanden nadat Airstalk is uitgevoerd”, aldus Unit 42. “Om dit te doen, gebruikt de malware de blobs-functie van de AirWatch MDM API om de inhoud als een nieuwe blob te uploaden.”
De .NET-variant van Airstalk breidt de mogelijkheden uit door zich ook te richten op Microsoft Edge en Island, een bedrijfsgerichte browser, terwijl wordt geprobeerd een AirWatch Helper-hulpprogramma na te bootsen (“AirwatchHelper.exe”). Bovendien ondersteunt het nog drie berichttypen:
- MISMATCH, voor het signaleren van versie-mismatch-fouten
- DEBUG, voor het verzenden van foutopsporingsberichten
- PING, voor bakenen
Bovendien maakt het gebruik van drie verschillende uitvoeringsthreads, die elk een uniek doel dienen: het beheren van C2-taken, het exfiltreren van het debug-logboek en het beaconen naar de C2-server. De malware ondersteunt ook een bredere reeks commando’s, hoewel een daarvan nog niet geïmplementeerd lijkt te zijn:
- Screenshot, om een screenshot te maken
- UpdateChrome om een specifiek Chrome-profiel te exfiltreren
- FileMap, om de inhoud van de specifieke map weer te geven
- RunUtility (niet geïmplementeerd)
- EnterpriseChromeProfiles, om beschikbare Chrome-profielen op te halen
- UploadFile, om specifieke Chrome-artefacten en inloggegevens te exfiltreren
- OpenURL, om een nieuwe URL in Chrome te openen
- Verwijder de installatie om de uitvoering te voltooien
- EnterpriseChromeBookmarks, om Chrome-bladwijzers op te halen van een specifiek gebruikersprofiel
- EnterpriseIslandProfiles, om beschikbare eilandbrowserprofielen op te halen
- UpdateIsland, om een specifiek eilandbrowserprofiel te exfiltreren
- ExfilAlreadyOpenChrome, om alle cookies van het huidige Chrome-profiel te dumpen
Interessant is dat, hoewel de PowerShell-variant een geplande taak voor persistentie gebruikt, de .NET-versie een dergelijk mechanisme mist. Unit 42 zei dat sommige van de .NET-variantmonsters zijn ondertekend met een “waarschijnlijk gestolen” certificaat ondertekend door een geldige certificeringsinstantie (Aoteng Industrial Automation (Langfang) Co., Ltd.), met vroege iteraties met een compilatietijdstempel van 28 juni 2024.
Het is momenteel niet bekend hoe de malware wordt verspreid of op wie deze aanvallen mogelijk gericht zijn. Maar het gebruik van MDM-gerelateerde API’s voor C2 en het targeten van bedrijfsbrowsers zoals Island suggereren de mogelijkheid van een supply chain-aanval gericht op de sector van de outsourcing van bedrijfsprocessen (BPO).
“Organisaties die gespecialiseerd zijn in BPO zijn lucratieve doelwitten geworden voor zowel criminelen als nationale aanvallers”, aldus het rapport. “Aanvallers zijn bereid genereus te investeren in de middelen die nodig zijn om hen niet alleen in gevaar te brengen, maar ook voor onbepaalde tijd toegang te behouden.”
“De ontwijkingstechnieken die door deze malware worden gebruikt, zorgen ervoor dat deze in de meeste omgevingen onopgemerkt blijft. Dit geldt met name als de malware in de omgeving van een externe leverancier draait. Dit is vooral rampzalig voor organisaties die BPO gebruiken, omdat gestolen browsersessiecookies toegang kunnen geven tot een groot aantal van hun klanten.”
