Hacking
Κακόβουλο λογισμικό HazyBeacon: Κυβερνοκατασκοπεία στην Νοτιοανατολική Ασία
Κακόβουλο λογισμικό HazyBeacon χρησιμοποιεί AWS Lambda για κλοπή δεδομένων από κυβερνήσεις στη Νοτιοανατολική Ασία.
Νέα απειλή για κυβερνητικές υπηρεσίες
Κυβερνητικές οργανώσεις στη Νοτιοανατολική Ασία βρίσκονται στο στόχαστρο μιας νέας καμπάνιας που στοχεύει στη συλλογή ευαίσθητων πληροφοριών μέσω ενός προηγουμένως άγνωστου Windows backdoor, γνωστού ως HazyBeacon. Αυτή η δραστηριότητα παρακολουθείται από την Palo Alto Networks Unit 42 με την κωδική ονομασία CL-STA-1020, όπου το “CL” αναφέρεται σε “cluster” και το “STA” σε “state-backed motivation”.
Η σημασία της Νοτιοανατολικής Ασίας στην κυβερνοκατασκοπεία
Η περιοχή της Νοτιοανατολικής Ασίας έχει γίνει κεντρικό σημείο για την κυβερνοκατασκοπεία λόγω του ρόλου της σε ευαίσθητες εμπορικές διαπραγματεύσεις, τη στρατιωτική εκσυγχρονισμό και τη στρατηγική ευθυγράμμιση στο πλαίσιο της δυναμικής ισχύος ΗΠΑ-Κίνας. Η στόχευση κυβερνητικών υπηρεσιών σε αυτή την περιοχή μπορεί να προσφέρει πολύτιμες πληροφορίες για την κατεύθυνση της εξωτερικής πολιτικής, τον σχεδιασμό υποδομών και τις εσωτερικές ρυθμιστικές αλλαγές που επηρεάζουν τις περιφερειακές και παγκόσμιες αγορές.
Τεχνικές λεπτομέρειες και τρόποι διείσδυσης
Η ακριβής αρχική μέθοδος πρόσβασης για την παράδοση του κακόβουλου λογισμικού παραμένει άγνωστη, αν και υπάρχουν ενδείξεις για χρήση τεχνικών DLL side-loading για την εγκατάστασή του σε παραβιασμένα συστήματα. Συγκεκριμένα, περιλαμβάνει την τοποθέτηση μιας κακόβουλης έκδοσης ενός DLL με την ονομασία “mscorsvc.dll” μαζί με το νόμιμο εκτελέσιμο αρχείο των Windows, “mscorsvw.exe”.
Η χρήση του AWS Lambda για απόκρυψη
Το HazyBeacon είναι αξιοσημείωτο για τη χρήση των Amazon Web Services (AWS) Lambda URLs για σκοπούς command-and-control (C2), δείχνοντας τη συνεχιζόμενη κατάχρηση νόμιμων υπηρεσιών από τους απειλητικούς παράγοντες για να παραμένουν απαρατήρητοι. Οι AWS Lambda URLs επιτρέπουν την απευθείας εκτέλεση serverless λειτουργιών μέσω HTTPS, δημιουργώντας ένα αξιόπιστο, κλιμακούμενο και δύσκολο στην ανίχνευση κανάλι επικοινωνίας.
Εντοπισμός και αντιμετώπιση της απειλής
Οι αμυντικοί μηχανισμοί πρέπει να δίνουν προσοχή στην εξερχόμενη κίνηση προς σπάνια χρησιμοποιούμενα cloud endpoints όπως το *.lambda-url.*.amazonaws.com, ειδικά όταν προέρχεται από ασυνήθιστα εκτελέσιμα αρχεία ή υπηρεσίες συστήματος. Ενώ η χρήση του AWS από μόνη της δεν είναι ύποπτη, η βασική παρακολούθηση με βάση το πλαίσιο, όπως η συσχέτιση των προελεύσεων των διαδικασιών, οι αλυσίδες εκτέλεσης γονέα-παιδιού και η συμπεριφορά των endpoints, μπορεί να βοηθήσει στη διάκριση της νόμιμης δραστηριότητας από το κακόβουλο λογισμικό που χρησιμοποιεί cloud-native τεχνικές απόκρυψης.
Συλλογή και εξαγωγή δεδομένων
Μεταξύ των κατεβασμένων payloads είναι ένα module συλλογής αρχείων που είναι υπεύθυνο για τη συλλογή αρχείων με συγκεκριμένες επεκτάσεις (π.χ., doc, docx, xls, xlsx, και pdf) και εντός ενός χρονικού διαστήματος. Αυτό περιλαμβάνει προσπάθειες αναζήτησης αρχείων που σχετίζονται με τα πρόσφατα μέτρα δασμών που επιβλήθηκαν από τις Ηνωμένες Πολιτείες.
Χρήση άλλων υπηρεσιών για εξαγωγή δεδομένων
Ο απειλητικός παράγοντας έχει επίσης βρεθεί να χρησιμοποιεί άλλες υπηρεσίες όπως το Google Drive και το Dropbox ως κανάλια εξαγωγής δεδομένων για να ενσωματωθεί στην κανονική κίνηση δικτύου και να μεταφέρει τα συλλεγόμενα δεδομένα. Στο περιστατικό που αναλύθηκε από την Unit 42, οι προσπάθειες για την αποστολή των αρχείων στις υπηρεσίες cloud storage φέρονται να έχουν μπλοκαριστεί.
Καταστροφή αποδεικτικών στοιχείων
Στο τελικό στάδιο, οι επιτιθέμενοι εκτελούν εντολές καθαρισμού για να αποφύγουν να αφήσουν ίχνη της δραστηριότητάς τους, διαγράφοντας όλα τα αρχεία των σταδιακών αρχείων και άλλα payloads που κατέβηκαν κατά τη διάρκεια της επίθεσης.
Συμπεράσματα και προοπτικές
Το HazyBeacon αντικατοπτρίζει μια ευρύτερη τάση των προηγμένων επίμονων απειλών να χρησιμοποιούν αξιόπιστες πλατφόρμες ως κρυφά κανάλια — μια τακτική που συχνά αναφέρεται ως “living off trusted services” (LOTS). Ως μέρος αυτού του cluster κακόβουλου λογισμικού που βασίζεται στο cloud, παρόμοιες τεχνικές έχουν παρατηρηθεί σε απειλές που χρησιμοποιούν τα Google Workspace, Microsoft Teams ή Dropbox APIs για να αποφύγουν την ανίχνευση και να διευκολύνουν τη διαρκή πρόσβαση.
