کمیته رکن چهارم– پژوهشگران امنیتی شرکت Palo Alto Networks با ردیابی خوشه تهدیدی با نام «CL‑STA‑۱۰۰۹» کشف کردند که هکرهایی وابسته به دولت از بدافزاری جدید با نام Airstalk در یک حمله مشکوک به زنجیره تأمین استفاده کردهاند.
به گزارش کمیته رکن چهارم، این بدافزار از رابط برنامهنویسی سرویس مدیریت دستگاههای موبایل AirWatch (که اکنون با نام Workspace ONE UEM شناخته میشود) سوءاستفاده میکند تا یک کانال مخفی فرمان و کنترل برقرار کند و دادههای مرورگر کاربر – از جمله کوکیها، تاریخچه، بوکمارکها و اسکرینشاتها – را سرقت کند.
دو نسخه از Airstalk شناسایی شدهاند: نسخهای با اسکریپت PowerShell و دیگری با زبان .NET که نسخه دوم قابلیتهای پیشرفتهتر دارد. این بدافزار با استفاده از API /api/mdm/devices/ برای برقراری ارتباط و ارسال دستورات به سرور C2 عمل میکند.
تحلیلگران میگویند احتمال میدهند که هدف اصلی این حمله، شرکتهای ارائهدهنده خدمات برونسپاری فرآیندهای کسبوکار (BPO) باشد، چرا که بدافزار در محیطهای فروشنده ثالث میتواند دسترسی گستردهای به مشتریان آنها بدهد.
در پایان، این حمله نشاندهنده سطح جدیدی از تهدید در حوزه زنجیره تأمین نرمافزار است؛ زمانی که حتی سرویسهای مدیریت دستگاه – که بهعنوان بخشی از زیرساخت مدیریت موبایل استفاده میشوند – میتوانند به ابزاری برای جاسوسی تبدیل شوند.
