HackerNews 编译，转载请注明出处：

疑似某国家级威胁行为体被指与新型恶意软件 Airstalk 的传播有关，此次攻击疑似为供应链攻击。

Palo Alto Networks旗下安全研究团队 Unit 42 表示，正以 “CL-STA-1009” 为代号追踪该攻击集群，其中 “CL” 代表集群（cluster），“STA” 指国家支持背景（state-backed motivation）。

安全研究员克里斯托弗・鲁索与切马・加西亚在分析报告中指出：“Airstalk 恶意软件滥用了移动设备管理领域的 AirWatch API—— 该平台现更名为 Workspace ONE 统一终端管理系统。它通过该 API 建立秘密的命令与控制（C2）通道，主要借助 AirWatch 的自定义设备属性管理和文件上传功能实现这一操作。”

该恶意软件存在 PowerShell 和.NET 两个版本，采用多线程命令与控制（C2）通信协议，能够捕获屏幕截图，并窃取网页浏览器的 Cookie、浏览历史、书签等数据。据信，攻击者利用了一张被盗证书对部分恶意程序组件进行签名。

Unit 42 指出，Airstalk 的.NET 版本比 PowerShell 版本具备更丰富的功能，推测其可能是该恶意软件的高级版本。

其中，PowerShell 版本通过 “/api/mdm/devices/” 端点进行 C2 通信。该端点的设计初衷是获取特定设备的内容详情，但恶意软件利用 API 中的自定义属性功能，将其用作 “死信箱解析器”（dead drop resolver），存储与攻击者交互所需的关键信息。

一旦启动，该后门程序会先发送 “CONNECT”（连接）消息初始化通信，等待服务器返回 “CONNECTED”（已连接）响应后，便会接收各类以 “ACTIONS”（操作）类型消息发送的任务，并在受感染主机上执行。执行结果将通过 “RESULT”（结果）消息反馈给攻击者。

该后门支持七种不同的操作指令，包括：捕获屏幕截图、获取谷歌浏览器（Google Chrome）的 Cookie、列出所有用户的 Chrome 配置文件、提取指定配置文件的浏览器书签、收集指定 Chrome 配置文件的浏览历史、枚举用户目录下的所有文件，以及从主机中自行卸载。

Unit 42 表示：“Airstalk 执行部分任务后，需要回传大量数据或文件。为此，恶意软件利用 AirWatch MDM API 的二进制大对象（blobs）功能，将相关内容以新的二进制大对象形式上传。”

Airstalk 的.NET 版本进一步扩展了功能范围，除谷歌浏览器外，还针对微软 Edge 浏览器和企业级专用浏览器 Island 发起攻击，同时试图伪装成 AirWatch 辅助工具（“AirwatchHelper.exe”）。此外，该版本新增了三种消息类型：

...