Государственные структуры Юго-Восточной Азии стали мишенью сложной кибератаки. Злоумышленники, обозначенные Palo Alto Networks Unit 42 как кластер CL-STA-1020, использовали ранее неизвестный бэкдор HazyBeacon для кражи конфиденциальных данных. Цель — документы о тарифах, торговых спорах, военной модернизации и стратегическом позиционировании в контексте противостояния США и Китая.
Атака начиналась с DLL side-loading: вредоносная библиотека
Ключевая особенность — использование AWS Lambda URL (
Модуль-сборщик искал файлы с расширениями
После кражи данных атакующие стирали следы: удаляли архивы и загруженные модули. HazyBeacon служил основным инструментом для сохранения доступа и сбора информации.
Эта кампания — часть тренда Living Off Trusted Services (LOTS), когда APT-группы злоупотребляют доверенными платформами. Помимо AWS Lambda, в таких атаках фигурируют Google Workspace, Microsoft Teams и Dropbox API. Эксплуатация облачных сервисов позволяет избегать обнаружения и обеспечивать устойчивость.
Изображение носит иллюстративный характер
Атака начиналась с DLL side-loading: вредоносная библиотека
mscorsvc.dll маскировалась под легитимный процесс mscorsvw.exe. После запуска DLL связывалась с управляемым злоумышленниками URL, обеспечивая выполнение команд и загрузку дополнительных модулей. Для постоянного доступа создавалась служба, активирующаяся после перезагрузки. Ключевая особенность — использование AWS Lambda URL (
.lambda-url..amazonaws.com) для скрытого управления. Как пояснил исследователь Лиор Рохбергер, это создавало «надёжный, масштабируемый и труднообнаружимый канал», маскирующийся под легитимный облачный трафик. Модуль-сборщик искал файлы с расширениями
.doc, .docx, .xls, .xlsx, .pdf, созданные за определённый период. Особый интерес представляли данные о новых тарифных мерах США. Для выгрузки пытались задействовать Google Drive и Dropbox, но в данном случае передачи заблокировали. После кражи данных атакующие стирали следы: удаляли архивы и загруженные модули. HazyBeacon служил основным инструментом для сохранения доступа и сбора информации.
Эта кампания — часть тренда Living Off Trusted Services (LOTS), когда APT-группы злоупотребляют доверенными платформами. Помимо AWS Lambda, в таких атаках фигурируют Google Workspace, Microsoft Teams и Dropbox API. Эксплуатация облачных сервисов позволяет избегать обнаружения и обеспечивать устойчивость.
