Overheidsorganisaties in Zuidoost -Azië zijn het doelwit van een nieuwe campagne die tot doel heeft gevoelige informatie te verzamelen door middel van een eerder backdeur met een zonder papieren Wazig.
De activiteit wordt gevolgd door Palo Alto Networks Unit 42 onder de naam CL-STA-1020waar “CL” staat voor “Cluster” en “STA” verwijst naar “door de staat gesteunde motivatie.”
“De dreigingsactoren achter deze activiteitencluster hebben gevoelige informatie verzameld van overheidsinstanties, inclusief informatie over recente tarieven en handelsconflicten,” zei beveiligingsonderzoeker Lior Rochberger in een analyse van maandag.
Zuidoost -Azië is in toenemende mate een centraal punt geworden voor cyberspionage vanwege zijn rol in gevoelige handelsonderhandelingen, militaire modernisering en strategische afstemming in de dynamiek van de VS -China -macht. Het richten op overheidsinstanties in deze regio kan waardevolle intelligentie bieden over de richting van het buitenlands beleid, infrastructuurplanning en interne wettelijke verschuivingen die de regionale en wereldwijde markten beïnvloeden.
De exacte initiële toegangsvector die wordt gebruikt om de malware te leveren, is momenteel niet bekend, hoewel bewijsmateriaal het gebruik van DLL-side-loadtechnieken aantoont om het op gecompromitteerde hosts te implementeren. In het bijzonder omvat het het planten van een kwaadaardige versie van een DLL genaamd “MSCORSVC.DLL” samen met het legitieme Windows -uitvoerbare bestand, “MSCORSVW.EXE.”
Nadat het binaire getal is gelanceerd, gaat de DLL verder met het vaststellen van communicatie met een door aanvallers gecontroleerde URL waarmee het willekeurige opdrachten kan uitvoeren en extra payloads kan downloaden. Persistentie wordt bereikt door middel van een service die ervoor zorgt dat de DLL wordt gelanceerd, zelfs na een herstart van het systeem.
HazyBeacon is opmerkelijk vanwege het feit dat het de Amazon Web Services (AWS) Lambda URL’s gebruikt voor command-and-control (C2) -doeleinden, wat het voortdurende misbruik van legitieme diensten van bedreigingen aantoont om te vliegen onder de radar- en ontsnappingsdetectie.
“AWS Lambda URL’s zijn een functie van AWS Lambda waarmee gebruikers serverloze functies direct via HTTPS kunnen oproepen,” legde Rochberger uit. “Deze techniek maakt gebruik van legitieme cloudfunctionaliteit om zich in het zicht te verbergen, waardoor een betrouwbaar, schaalbaar en moeilijk te detecteren communicatiekanaal ontstaat.”
Verdedigers moeten aandacht besteden aan uitgaande verkeer om zelden gebruikte cloud -eindpunten zoals *.lambda-url.*. Amazonaws.comvooral wanneer geïnitieerd door ongebruikelijke binaire bestanden of systeemdiensten. Hoewel het gebruik van AWS zelf niet verdacht is, kan contextbewuste baselining-zoals het correlerende proces van proces, ouder-kind uitvoeringsketens en eindpuntgedrag-helpen bij het onderscheiden van legitieme activiteit van malware die cloud-native-evasioneert.
Gedownload onder de payloads is een bestandsverzamelaarsmodule die verantwoordelijk is voor het oogsten van bestanden die overeenkomen met een specifieke set extensies (bijv. DOC, DOCX, XLS, XLSX en PDF) en binnen een tijdsbereik. Dit omvat pogingen om te zoeken naar bestanden met betrekking tot de recente tariefmaatregelen opgelegd door de Verenigde Staten.
De dreigingsacteur is ook gebleken om andere diensten zoals Google Drive en Dropbox te gebruiken als exfiltratiekanalen om op te gaan in normaal netwerkverkeer en de verzamelde gegevens te verzenden. In het incident dat wordt geanalyseerd door Unit 42, zouden pogingen om de bestanden te uploaden naar de cloudopslagservices te uploaden zijn geblokkeerd.
In de laatste fase voeren de aanvallers opruimopdrachten uit om te voorkomen dat ze sporen van hun activiteit achterlaten, waarbij alle archieven van geënsceneerde bestanden en andere payloads tijdens de aanval worden gedownload.
“De dreigingsactoren gebruikten wazige berecon als het belangrijkste hulpmiddel voor het handhaven van voet aan de grond en het verzamelen van gevoelige informatie van de getroffen overheidsentiteiten,” zei Rochberger. “Deze campagne benadrukt hoe aanvallers nieuwe manieren blijven vinden om legitieme, vertrouwde cloudservices te misbruiken.”
Hazybeacon weerspiegelt een bredere trend van geavanceerde persistente bedreigingen met behulp van vertrouwde platforms als geheime kanalen – een tactiek die vaak “living van vertrouwde diensten” (kavels) wordt genoemd. Als onderdeel van dit cloudgebaseerde malwarecluster zijn vergelijkbare technieken waargenomen in bedreigingen met behulp van Google Workspace, Microsoft-teams of Dropbox API’s om detectie te ontwijken en aanhoudende toegang te vergemakkelijken.
