رصدت وحدة Unit 42 في شركة Palo Alto Networks توزيع برمجية خبيثة جديدة تُدعى Airstalk، منسوبة إلى مجموعة تهديد يُشتبه في أنها مدعومة من دولة، وذلك في ما يبدو هجومًا على سلسلة التوريد. تستغل البرمجية واجهة برمجة تطبيقات إدارة الأجهزة النقالة AirWatch API (المعروفة الآن باسم Workspace ONE Unified Endpoint Management) لتأسيس قناة اتصال وتحكم (C2) مخفية عبر ميزات رفع الملفات والسمات المخصصة للأجهزة.
التهديد والمكتشفون
تتبّع Unit 42 المجموعة تحت التسمية CL-STA-1009 (“CL” للمجموعة و”STA” للدافع المدعوم من الدولة). كشف الباحثان Kristopher Russo وChema Garcia أن Airstalk ظهرت بنسختي PowerShell و.NET، وأن النسخة المكتوبة بـ.NET تزود المهاجمين بقدرات أوسع، ما يوحي بأنها النسخة المتقدمة تقنيًا من البرمجية. تشير الأدلة إلى استخدام شهادة موقعة على الأرجح مسروقة لتوقيع بعض مكوّنات الحملة.
الآلية الفنية والقدرات
تُسيء Airstalk استخدام نقطة نهاية API مثل /api/mdm/devices/ لتعمل كقناة C2، عبر تخزين رسائل المهاجم ضمن السمات المخصصة أو رفع “بلوب” (blob) يحتوي على بيانات كبيرة. عند تشغيلها، تبادر الباكدور بإرسال رسالة “CONNECT” ثم تنتظر “CONNECTED” قبل استقبال أوامر من نوع “ACTIONS” التي تُنفَّذ محليًا وترسل النتائج عبر رسالة “RESULT”.
تدعم البرمجية سبع أوامر رئيسية على الأقل تشمل: أخذ لقطات شاشة، واستخراج كوكيز متصفح Chrome، وعدّ ملفات ملفات المستخدم، وسرد ملفات تعريف Chrome المتوفرة، وسحب العلامات المرجعية وسجل التصفح لملف تعريف محدد، ورفع أجزاء كبيرة من البيانات عبر ميزة البلوب، وأمر لإلغاء التثبيت. وُصفت كذلك قدرة النسخة على حصاد كوكيز الجلسات وسجل التصفح والـ bookmarks، مما يسمح بمخططاتِ اختطافِ جلساتٍ قد تمنح الوصول إلى حسابات متعددة للعملاء.
النسخ، البقاء، والميزات المتقدمة
تختلف النسختان تقنياً: نسخة PowerShell تستخدم مهمة مجدولة لتحقيق الاستمرارية، بينما تبدو بعض عينات .NET خالية من آلية جدولة واضحة، وقد تعتمد على تقنيات أخرى للبقاء. النسخة .NET تستهدف كذلك متصفحات مؤسسية إضافية مثل Microsoft Edge وIsland (متصفح للشركات)، وتحاول التنكّر كأداة مساعدة شرعية باسم AirwatchHelper.exe. تضيف النسخة .NET ثلاثة رسائل إضافية وهي MISMATCH وDEBUG وPING، وتُشغّل ثلاث سلاسل تنفيذية (ثريدات) منفصلة لإدارة الأوامر، وإخراج السجل التصحيحي، والإشارة إلى خادم C2. كما عُثر على عينات تحمل طابع توقيع بشهادة لدائرة صناعية صينية محتملة (Aoteng Industrial Automation (Langfang) Co., Ltd.) مع طوابع تجميع تعود إلى 28 يونيو 2024.
الانتشار والاستهداف المحتمل
لم يتأكد بعدُ مسار التوزيع الدقيق للبرمجية أو قوائم الضحايا النهائية، لكن استخدام واجهات MDM وميزات استهداف متصفحات مؤسساتية واهتمام واضح بالمتصفحات المتمحورة حول الأعمال يشيران إلى احتمال أن تكون الحملة جزءًا من هجوم سلسلة توريد يستهدف قطاع تعهيد عمليات الأعمال (BPO). وتلفت Unit 42 إلى أن مقدمي خدمات BPO باتوا أهدافًا مربحة للمهاجمين، إذ قد تسمح سرقة كوكيز الجلسات المتصفح بالوصول إلى كمٍّ كبير من عملاء تلك الشركات، ما يجعل الاختراق طويل الأمد شديد الخطورة على مؤسسات عديدة.
