Кто шпионит через облака Амазона?

Государственные структуры Юго-Восточной Азии стали мишенью сложной кибератаки. Злоумышленники, обозначенные Palo Alto Networks Unit 42 как кластер CL-STA-1020, использовали ранее неизвестный бэкдор HazyBeacon для кражи конфиденциальных данных. Цель — документы о тарифах, торговых спорах, военной модернизации и стратегическом позиционировании в контексте противостояния США и Китая.

Атака начиналась с DLL side-loading: вредоносная библиотека mscorsvc.dll маскировалась под легитимный процесс mscorsvw.exe. После запуска DLL связывалась с управляемым злоумышленниками URL, обеспечивая выполнение команд и загрузку дополнительных модулей. Для постоянного доступа создавалась служба, активирующаяся после перезагрузки.

Ключевая особенность — использование AWS Lambda URL (.lambda-url..amazonaws.com) для скрытого управления. Как пояснил исследователь Лиор Рохбергер, это создавало «надёжный, масштабируемый и труднообнаружимый канал», маскирующийся под легитимный облачный трафик.

Модуль-сборщик искал файлы с расширениями .doc, .docx, .xls, .xlsx, .pdf, созданные за определённый период. Особый интерес представляли данные о новых тарифных мерах США. Для выгрузки пытались задействовать Google Drive и Dropbox, но в данном случае передачи заблокировали.

После кражи данных атакующие стирали следы: удаляли архивы и загруженные модули. HazyBeacon служил основным инструментом для сохранения доступа и сбора информации.

Эта кампания — часть тренда Living Off Trusted Services (LOTS), когда APT-группы злоупотребляют доверенными платформами. Помимо AWS Lambda, в таких атаках фигурируют Google Workspace, Microsoft Teams и Dropbox API. Эксплуатация облачных сервисов позволяет избегать обнаружения и обеспечивать устойчивость.

Источник: Ravie Lakshmanan