近期，安全研究团队Unit 42披露了一种名为Airstalk的新型恶意软件，该软件被指与某国家级威胁行为体有关，并疑似通过供应链攻击进行传播。Airstalk恶意软件巧妙地滥用了移动设备管理（MDM）领域的AirWatch API（现Workspace ONE），建立隐秘的命令与控制（C2）通道，用于窃取屏幕截图、浏览器Cookie、浏览历史和书签等敏感信息。该恶意软件存在PowerShell和.NET两个版本，.NET版本功能更为丰富，并针对Google Chrome、Microsoft Edge以及Island等浏览器进行攻击，同时试图伪装成AirWatch辅助工具。其C2通信机制利用MDM API的自定义属性和文件上传功能，并通过消息类型进行指令交互和结果回传。研究人员推测，此次攻击可能以业务流程外包（BPO）行业为目标，利用其供应商环境的复杂性进行隐蔽活动，对依赖BPO服务的企业构成严重威胁。

🕵️ Airstalk恶意软件被指与国家级威胁行为体相关，通过供应链攻击进行传播，其主要特点是滥用AirWatch API（现Workspace ONE）建立隐秘的命令与控制（C2）通道。这一机制利用了MDM平台的文件上传和自定义设备属性管理功能，使得攻击者能够远程指令控制受感染设备。

💻 Airstalk存在PowerShell和.NET两个版本，其中.NET版本功能更为强大，不仅针对Google Chrome，还扩展到Microsoft Edge和企业浏览器Island，并试图伪装成“AirwatchHelper.exe”以逃避检测。它能够执行包括截图、窃取浏览器数据（Cookie、历史、书签）以及文件枚举和卸载等多种操作。

🔗 该恶意软件的C2通信采用多线程协议，通过特定的API端点进行交互，利用MDM API的“死信箱解析器”功能存储关键信息。攻击者通过发送“ACTIONS”消息下达指令，并通过“RESULT”消息接收执行结果，同时利用MDM API的二进制大对象（blobs）功能回传大量数据或文件。

🔍 研究人员推测，Airstalk的攻击目标可能集中在业务流程外包（BPO）行业，因为该行业供应商环境复杂，便于恶意软件隐藏行踪。被盗取的浏览器会话Cookie可能导致攻击者获得大量客户的访问权限，对依赖BPO服务的企业构成严重威胁。

⚠️ 部分Airstalk的.NET版本样本使用了由合法证书颁发机构签发的“疑似被盗”的数字证书进行签名，这增加了其隐蔽性和可信度，使得检测和防御更加困难。

HackerNews 编译，转载请注明出处：

疑似某国家级威胁行为体被指与新型恶意软件 Airstalk 的传播有关，此次攻击疑似为供应链攻击。

Palo Alto Networks旗下安全研究团队 Unit 42 表示，正以 “CL-STA-1009” 为代号追踪该攻击集群，其中 “CL” 代表集群（cluster），“STA” 指国家支持背景（state-backed motivation）。

安全研究员克里斯托弗・鲁索与切马・加西亚在分析报告中指出：“Airstalk 恶意软件滥用了移动设备管理领域的 AirWatch API—— 该平台现更名为 Workspace ONE 统一终端管理系统。它通过该 API 建立秘密的命令与控制（C2）通道，主要借助 AirWatch 的自定义设备属性管理和文件上传功能实现这一操作。”

该恶意软件存在 PowerShell 和.NET 两个版本，采用多线程命令与控制（C2）通信协议，能够捕获屏幕截图，并窃取网页浏览器的 Cookie、浏览历史、书签等数据。据信，攻击者利用了一张被盗证书对部分恶意程序组件进行签名。

Unit 42 指出，Airstalk 的.NET 版本比 PowerShell 版本具备更丰富的功能，推测其可能是该恶意软件的高级版本。

其中，PowerShell 版本通过 “/api/mdm/devices/” 端点进行 C2 通信。该端点的设计初衷是获取特定设备的内容详情，但恶意软件利用 API 中的自定义属性功能，将其用作 “死信箱解析器”（dead drop resolver），存储与攻击者交互所需的关键信息。

一旦启动，该后门程序会先发送 “CONNECT”（连接）消息初始化通信，等待服务器返回 “CONNECTED”（已连接）响应后，便会接收各类以 “ACTIONS”（操作）类型消息发送的任务，并在受感染主机上执行。执行结果将通过 “RESULT”（结果）消息反馈给攻击者。

该后门支持七种不同的操作指令，包括：捕获屏幕截图、获取谷歌浏览器（Google Chrome）的 Cookie、列出所有用户的 Chrome 配置文件、提取指定配置文件的浏览器书签、收集指定 Chrome 配置文件的浏览历史、枚举用户目录下的所有文件，以及从主机中自行卸载。

Unit 42 表示：“Airstalk 执行部分任务后，需要回传大量数据或文件。为此，恶意软件利用 AirWatch MDM API 的二进制大对象（blobs）功能，将相关内容以新的二进制大对象形式上传。”

Airstalk 的.NET 版本进一步扩展了功能范围，除谷歌浏览器外，还针对微软 Edge 浏览器和企业级专用浏览器 Island 发起攻击，同时试图伪装成 AirWatch 辅助工具（“AirwatchHelper.exe”）。此外，该版本新增了三种消息类型：

MISMATCH（版本不匹配）：用于标记版本兼容错误DEBUG（调试）：用于发送调试信息PING（心跳）：用于向 C2 服务器发送存活信号

该版本还采用三个独立的执行线程，分别承担不同职责：管理 C2 任务、泄露调试日志、向 C2 服务器发送心跳信号。同时，它支持更广泛的命令集（其中一项命令暂未实现）：

Screenshot（截图）：捕获屏幕截图UpdateChrome（提取 Chrome 数据）：窃取指定的 Chrome 配置文件FileMap（文件映射）：列出指定目录下的所有内容RunUtility（运行工具）：暂未实现EnterpriseChromeProfiles（企业 Chrome 配置文件）：获取可用的 Chrome 配置文件UploadFile（上传文件）：窃取指定的 Chrome 组件和凭据信息OpenURL（打开链接）：在 Chrome 浏览器中打开指定 URLUninstall（卸载）：终止自身执行EnterpriseChromeBookmarks（企业 Chrome 书签）：提取指定用户配置文件的 Chrome 书签EnterpriseIslandProfiles（企业 Island 配置文件）：获取可用的 Island 浏览器配置文件UpdateIsland（提取 Island 数据）：窃取指定的 Island 浏览器配置文件ExfilAlreadyOpenChrome（泄露已打开 Chrome 数据）：导出当前 Chrome 配置文件的所有 Cookie

值得注意的是，PowerShell 版本通过计划任务实现持久化驻留，而.NET 版本暂未配备此类机制。Unit 42 透露，部分.NET 版本样本使用了一张 “疑似被盗” 的数字证书进行签名，该证书由合法的证书颁发机构 —— 奥腾工业自动化（廊坊）有限公司（Aoteng Industrial Automation (Langfang) Co., Ltd.）签发。早期版本的编译时间戳显示为 2024 年 6 月 28 日。

目前，该恶意软件的传播途径及攻击目标尚不明确。但结合其利用 MDM 相关 API 构建 C2 通道、针对 Island 等企业级浏览器的特性，研究人员推测此次攻击可能是针对业务流程外包（BPO）行业的供应链攻击。

Unit 42 分析称：“专注于业务流程外包（BPO）的机构已成为犯罪集团和国家级攻击者的重点目标。攻击者愿意投入大量资源，不仅要攻陷这些机构，还要实现长期控制。”

“该恶意软件采用的规避检测技术使其能在大多数环境中隐藏行踪，尤其在第三方供应商环境中运行时更难被发现。这对使用 BPO 服务的企业而言极具破坏性 —— 被盗取的浏览器会话 Cookie 可能导致攻击者获取其大量客户的访问权限。”

 

---

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文