Ünite 42 Palo Alto Networks’ten araştırmacılar, Güneydoğu Asya’daki hükümet kuruluşlarını sistematik olarak hedefleyen CL-STA-1020’yi belirleyen sofistike bir tehdit kümesi izliyor.
Bu operasyon, devlet kurumlarından hassas verilerin çıkarılmasına, özellikle de son tarifeleri ve ticaret anlaşmazlıklarını çevreleyen ayrıntıları, casusluk ve istihbarat toplantısına dayanan bir nedenin altını çizmeye odaklanmaktadır.
Kampanya, gizli bir komut ve kontrol (C2) altyapısı oluşturmak için AWS lambda URL’lerini kullanan Hozybeacon olarak adlandırılan daha önce belgelenmemiş bir Windows arka kapının yenilikçi kullanımı için öne çıkıyor.
Roman arka kapı ortaya çıkıyor
Tehdit aktörleri, HTTPS uç noktaları aracılığıyla çağrılan meşru AWS sunucusuz işlevlerinden yararlanarak, geleneksel ağ savunmalarından kaçan, iyi huylu bulut trafiğiyle sorunsuz bir şekilde karışan ölçeklenebilir, esnek bir iletişim kanalı oluşturur.
İlk olarak Haziran 2025’te Trellix tarafından gelişmiş Kalıcı Tehdit (APT) faaliyetleriyle ilgili olarak vurgulanan bu teknik, kötü niyetli operasyonların rutin AWS etkileşimleri olarak maskeli işlemlerin ağır bulut bağımlılıkları olan ortamlarda tespiti karmaşıklaştırmasına izin verir.
Saldırı zinciri, rakiplerin kötü amaçlı mscorsvc.dll’yi meşru Microsoft yürütülebilir MSCORSVW.EXE’nin yanında C: \ Windows \ Assembly dizinindeki dll sideloading ile başlar.
İlişkili Windows Hizmeti aracılığıyla yürütüldükten sonra, sideloaded DLL, lambda-url.ap-southeast-1.on.aws alt alanlarına karar verenler gibi saldırgan kontrollü bir AWS lambda URL’sine işaret etmeye başlar.
Kalıcılık, msdnetsvc adlı özel bir Windows hizmetinin oluşturulmasıyla sağlanır ve arka kapının yeniden yeniden yayın sonrası yeniden etkinleştirilmesini sağlar.
Bağlandıktan sonra, HozyBeacon, dosya arşivleme için 7z.exe ve veri toplama ve eksfiltrasyon için özel yardımcı programlar gibi meşru araçlar da dahil olmak üzere C: \ ProgramData’ya ek yükler indirir.
Örneğin, IGFX.EXE yükü, tanımlanmış zaman aralıkları içinde belirtilen uzantıları tarayan ve sonuçları uzlaşmış makinenin adını alan zip arşivlerine sıkıştıran bir dosya toplayıcısı olarak hizmet eder.
Bu arşivler daha sonra 7z.exe kullanılarak 200 MB parçalara ayrılır ve “ABD Başkanına Tarifeler Önlemleri Mektubu” gibi ticaret anlaşmazlıklarıyla ilgili belgeler için hedeflenen keşifleri kolaylaştırır.
Pessfiltrasyon taktikleri
Exfiltration çabaları, aktörlerin meşru trafikle harmanlamaya olan vurgusunu, Google Drive depolarını sağlanan sürücü kimlikleri aracılığıyla kimlik doğrulaması için Google.exe gibi özel araçlar kullandığını, ardından Google.exe, GoogLeDrive.exe ve GOOGLEDRiveUpload.ex gibi yükleyicileri kullanıyor.
Benzer şekilde, dropbox.exe, normal kurumsal etkinliği taklit etmek için güvenilir bulut depolama hizmetleri aracılığıyla açılan dosyaları yönlendiren Dropbox’a yüklemeleri işler.
Rapora göre, bu denemeler izlenen ortamlarda tespit edilmiş ve engellenmesine rağmen, işlem, yükleri, arşivleri ve izleri silerek, adli ayak izlerini en aza indiren temizleme komutlarıyla sona ermektedir.
2022 yılında API ağ geçidi yükü olmadan doğrudan HTTPS işlev çağrısı için tanıtılan AWS Lambda’nın bu kötüye kullanılması, kalıcı sunucular olmadan dinamik C2 de dahil olmak üzere taktik avantajlar sağlar ve Amazonaws.com alanlarının meşru trafikte yaygınlığından yararlanır.
Kampanya, rakiplerin kötülük için bulut anadili özelliklerini nasıl yeniden kullandığını ve güvenlik ekiplerini anormal bulut iletişiminin izlenmesini ve sunucusız etkileşimlerdeki sapmaları tespit etmek için davranışsal analizleri benimsemesini istemektedir.
Uzlaşma göstergeleri
| Dosya Yolu | Tanım | Sha256 karma |
|---|---|---|
| C: \ windows \ montaj \ mscorsvc.dll | Lambda-url arka kapı | 4931df8650521cfd686782919bda0f376475f9fc5f1fee9d7cf3a4e0d9c73e30 |
| C: \ ProgramData \ Google.exe | Google Drive Dosya Yükleyici | D20b536c88ecd326f79d7a9180f41a2e47a40fcf2cc6a2b02d68a081c89eaea |
| C: \ Programdate \ googledrive.exe | Google Drive Dosya Yükleyici | 304C615F4A8C2C2B36478B693DB767D41BE998032252C8159C22C18A65AB498 |
| C: \ ProgramData \ GoogledRiveUpload.exe | Google Drive Dosya Yükleyici | F |
| C: \ ProgramData \ Dropbox.exe | Dropbox dosya yükleyicisi | 3255798db8936b5b3ae9fed6292413ce20da48131b27394c844ecec18a1e92f |
| C: \ ProgramData \ Igfx.exe | Dosya koleksiyoncusu | 279E60E7720744C7EC7421E811048267971B0DB42F4B3E975C7D0AF7F511E |
| C: \ ProgramData \ google.exe | Google Drive Connect Aracı | D961ACA6C2899CC1495C0E64A29B85AA226F40CF9D42DADC291C4F601D6E27C3 |
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.