Airstalk恶意软件利用AirWatch MDM实现隐蔽C2通信

安全研究人员发现了一个复杂的新型恶意软件家族Airstalk，该恶意软件利用VMware的AirWatch API（现称为Workspace ONE Unified Endpoint Management）建立隐蔽的命令与控制通道。

这一发现代表了重大的威胁演变，研究人员以中等置信度评估这是一次国家支持的供应链攻击，已发现PowerShell和.NET两种变体。该威胁活动被追踪为集群标识符CL-STA-1009。

Airstalk通过滥用AirWatch MDM平台的合法功能来隐藏恶意通信。与依赖安全团队主动监控的传统基于网络的C2基础设施不同，该恶意软件利用AirWatch API的自定义设备属性功能作为死投机制——一种双方不直接连接的信息交换隐蔽通信技术。

这种方法允许攻击者通过可信的系统管理渠道保持持久访问，同时规避检测。

该恶意软件采用具有版本控制功能的多线程C2通信协议，表明其正在积极开发和改进。特别令人担忧的是，发现某些样本使用了可能被盗的证书进行签名，该证书颁发给中国奥腾工业自动化公司，但证书在签发约十分钟后即被撤销。

与PowerShell变体相比，Airstalk的.NET变体在JSON消息的UUID字段中添加了额外后缀。这种防御规避策略展示了威胁行为体在绕过代码签名验证机制方面的复杂性。

不同变体显示演进过程

研究人员发现了两种主要变体，具有不同的复杂程度。PowerShell变体作为基础，而.NET变体代表了能力扩展的更高级演进。

执行任务后，恶意软件使用UploadResult函数发送任务结果，指定ACTION_ID。将任务结果发送回C2通道。

两种变体都针对浏览器数据提取，包括cookie、浏览历史、书签和截图。然而，.NET变体将其范围扩展到Google Chrome之外，还包括Microsoft Edge和Island Browser，表明其 targeting 策略更广泛。

.NET变体为C2通信引入了三种不同的交付类型——DEBUG、RESULT和BASE——每种都服务于特定的操作目的。它在单独的执行线程中实现信标行为、调试日志记录和任务管理，表明威胁行为体意图保持长期持久性和可靠的通信通道。

两种变体都展示了复杂的数据外泄技术。该恶意软件远程启用Chrome的调试模式来转储cookie，而不会触发典型的安全警报，这是先前在Lumma和StealC等消费者信息窃取器中记录的方法。然而，将此功能捆绑到可信的企业管理工具中，显著增加了在防御良好的环境中成功执行的可能性。

该恶意软件支持多个操作任务，具有用于截图捕获、配置文件枚举、文件目录列表和浏览器工件提取的操作ID。PowerShell变体中故意省略特定操作ID——特别是ID 3——表明要么实施不完整，要么有意模块化以隐藏额外功能不被发现。

供应链攻击影响

这一发现强化了国家支持间谍活动中的一个令人不安的趋势：将业务流程外包提供商作为力量倍增器进行 targeting。

BPO组织通过单次入侵为攻击者提供通往多个客户的网关访问。当与被盗的会话cookie和捕获的截图结合时，潜在损害从最初受感染的供应商扩展到所有下游客户。

研究人员建议组织将安全监控扩展到传统指标和访问控制之外，重点关注行为异常。了解正常用户模式并识别偏差——无论是在访问时间、数据量还是交互模式方面——为像Airstalk这样故意模仿合法管理活动的复杂攻击提供了最可靠的检测机制。