Nation-State Hackers Deploy New Airstalk Malware in Suspected Supply Chain Attack

Airstalk : Nouvelle Menace Malveillante d’Origine Étatique Ciblant la Chaîne d’Approvisionnement

Une nouvelle famille de logiciels malveillants, baptisée Airstalk, est actuellement déployée par des acteurs étatiques présumés dans le cadre d’une attaque potentielle de la chaîne d’approvisionnement. Identifié par Palo Alto Networks Unit 42 sous le nom de code CL-STA-1009, ce malware exploite l’API de gestion des appareils mobiles (MDM) AirWatch (désormais Workspace ONE Unified Endpoint Management) pour établir des canaux de commande et de contrôle discrets.

Ce malware existe en variantes PowerShell et .NET. Il est capable de capturer des captures d’écran, de voler des cookies, l’historique de navigation et les signets des navigateurs web. Il est probable que les attaquants utilisent un certificat volé pour signer certains de leurs artefacts. La variante .NET, plus avancée, cible également Microsoft Edge et le navigateur d’entreprise Island, tout en tentant d’imiter un utilitaire AirWatch.

Points Clés :

• Malware : Airstalk
• Acteur : Présumé groupe étatique (CL-STA-1009)
• Méthode : Attaque probable de la chaîne d’approvisionnement
• Exploitation : API AirWatch/Workspace ONE MDM pour le canal C2
• Variantes : PowerShell et .NET
• Capacités : Capture d’écran, vol de données de navigation (cookies, historique, signets), exfiltration de fichiers, désinstallation.
• Signes potentiels : Utilisation d’un certificat volé pour la signature de certains fichiers.

Vulnérabilités :

L’article ne mentionne pas de vulnérabilités spécifiques avec des identifiants CVE exploitées. L’attaque repose sur l’exploitation des fonctionnalités légitimes de l’API MDM AirWatch/Workspace ONE pour établir la communication C2.

Recommandations :

Bien que l’article n’énumère pas de recommandations directes, les éléments suivants peuvent être déduits pour atténuer les risques :

• Surveillance accrue des communications API : Examiner attentivement les requêtes et les réponses des API MDM, en particulier celles impliquant des attributs personnalisés et des téléversements de fichiers.
• Gestion rigoureuse des certificats : Surveiller et auditer l’utilisation des certificats pour la signature de code, afin de détecter les certificats potentiellement compromis ou utilisés de manière abusive.
• Sécurisation de la chaîne d’approvisionnement logicielle : Mettre en œuvre des contrôles stricts sur les fournisseurs tiers et les logiciels qu’ils fournissent.
• Protection des points d’accès aux données sensibles : Renforcer la sécurité autour des navigateurs et des données sensibles qu’ils stockent, notamment en limitant l’accès aux profils utilisateurs et aux cookies.
• Surveillance des activités suspectes : Mettre en place des systèmes de détection d’intrusions et de surveillance des journaux pour identifier les comportements anormaux, tels que les téléversements de données inhabituels ou les tentatives d’accès non autorisées.
• Analyse des menaces ciblées : Les organisations opérant dans le secteur du Business Process Outsourcing (BPO) doivent être particulièrement vigilantes, car elles constituent une cible attrayante pour ce type d’attaques.

Source