HazyBeacon 后门瞄准东南亚政府,窃取敏感信息
HackerNews 编译,转载请注明出处: 东南亚的政府组织正成为一场新攻击活动的目标,该活动旨在通过一个此前未被记录的 Windows 后门程序(名为 HazyBeacon)收集敏感信息。 帕洛阿尔托网络公司 Unit 42 团队正追踪这一活动,将其命名为 CL-STA-1020,其中 “CL” 代表 “集群”,“STA” 指 “国家支持的动机”。 安全研究员利奥尔・罗奇伯格在周一的分析中表示,这一活动集群背后的威胁行为者一直在从政府机构收集敏感信息,包括近期关税和贸易争端相关信息。 由于在敏感贸易谈判、军事现代化以及美中权力动态中的战略定位,东南亚日益成为网络间谍活动的焦点。针对该地区政府机构的攻击可获取有关外交政策方向、基础设施规划以及影响地区和全球市场的内部监管变化等有价值的情报。 目前尚不清楚用于交付恶意软件的确切初始访问向量,但有证据表明,攻击者使用了 DLL 侧载技术在受感染主机上部署恶意软件。具体而言,这涉及植入一个名为 mscorsvc.dll 的恶意 DLL 文件,同时搭配合法的 Windows 可执行文件 mscorsvw.exe。 一旦该二进制文件启动,DLL 就会与攻击者控制的 URL 建立通信,从而能够执行任意命令并下载额外的有效载荷。攻击者通过一项服务实现持久化,确保系统重启后该 DLL 仍能启动。 HazyBeacon 的显著特点是利用亚马逊云服务(AWS)的 Lambda URL 作为命令与控制(C2)渠道,这表明威胁行为者持续滥用合法服务以隐匿行踪、逃避检测。 罗奇伯格解释道,AWS Lambda URL 是 AWS Lambda 的一项功能,允许用户通过 HTTPS 直接调用无服务器函数。这种技术利用合法的云功能隐藏在公开视野中,构建出可靠、可扩展且难以检测的通信渠道。 防御者应关注发往极少使用的云端点(如 *.lambda-url.*.amazonaws.com)的出站流量,尤其是当这些流量由异常的二进制文件或系统服务发起时。虽然 AWS 的使用本身并不可疑,但结合上下文的基线分析(如关联进程来源、父子执行链和端点行为)有助于区分合法活动与利用云原生技术进行规避的恶意软件。 下载的有效载荷中包含一个文件收集模块,负责收集符合特定扩展名(如 doc、docx、xls、xlsx 和 pdf)且在特定时间范围内的文件。这包括尝试搜索与美国近期实施的关税措施相关的文件。 威胁行为者还被发现利用谷歌云端硬盘和 Dropbox 等其他服务作为数据泄露渠道,以混入正常网络流量并传输收集到的数据。在 Unit 42 团队分析的这起事件中,向这些云存储服务上传文件的尝试据称已被阻止。 在攻击的最后阶段,攻击者会运行清理命令以避免留下活动痕迹,删除所有已暂存文件的存档以及攻击过程中下载的其他有效载荷。 罗奇伯格表示,威胁行为者将 HazyBeacon 用作在受影响政府实体中维持立足点并收集敏感信息的主要工具。这场攻击活动凸显了攻击者不断寻找新方法滥用合法、可信的云服务。 HazyBeacon 反映了一个更广泛的趋势,即高级持续威胁利用可信平台作为秘密渠道 —— 这种策略通常被称为依托可信服务(LOTS)。作为这一基于云的恶意软件集群的一部分,人们已在其他威胁中观察到类似技术,这些威胁利用谷歌工作空间、微软 Teams 或 Dropbox 的 API 来规避检测并促进持久访问。 消息来源: thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文