Eyalet destekli HozyBeacon kötü amaçlı yazılım, SE Asya hükümetlerinden veri çalmak için AWS Lambda’yı kullanıyor


15 Tem, 2025Ravie LakshmananSiber Casusluk / Tehdit İstihbaratı

Güneydoğu Asya’daki hükümet örgütleri, daha önce belgelenmemiş bir pencere arka kapısı ile hassas bilgileri toplamayı amaçlayan yeni bir kampanyanın hedefidir. Puslu.

Etkinlik, takma adın altında Palo Alto Networks Birimi 42 tarafından izleniyor CL-STA-1020“CL”, “küme” ve “STA” anlamına gelir “devlet destekli motivasyon” anlamına gelir.

Güvenlik araştırmacısı Lior Rochberger Pazartesi analizinde, “Bu faaliyet kümesinin arkasındaki tehdit aktörleri, son tarifeler ve ticaret anlaşmazlıkları hakkında bilgi de dahil olmak üzere devlet kurumlarından hassas bilgiler toplamaktır.” Dedi.

Güneydoğu Asya, hassas ticaret müzakerelerinde, askeri modernizasyon ve ABD -Çin güç dinamiğindeki stratejik uyumundaki rolü nedeniyle siber casusluk için giderek daha fazla odak noktası haline geldi. Bu bölgedeki devlet kurumlarının hedeflenmesi, dış politika yönü, altyapı planlaması ve bölgesel ve küresel pazarları etkileyen iç düzenleyici değişimler hakkında değerli zeka sağlayabilir.

Siber güvenlik

Kötü amaçlı yazılımları teslim etmek için kullanılan tam başlangıç erişim vektörü şu anda bilinmemektedir, ancak kanıtlar, tehlikeye atılan ana bilgisayarlara dağıtmak için DLL yan yükleme tekniklerinin kullanımını göstermektedir. Özellikle, “mscorsvw.exe”, meşru Windows ile birlikte “mscorsvc.dll” adlı bir DLL’nin kötü niyetli bir versiyonunu eklemeyi içerir.

İkili başlatıldıktan sonra DLL, keyfi komutlar yürütmesine ve ek yükler indirmesine izin veren saldırgan kontrollü bir URL ile iletişim kurmaya devam eder. Kalıcılık, DLL’nin sistemin yeniden başlatılmasından sonra bile başlatılmasını sağlayan bir hizmet aracılığıyla elde edilir.

HozyBeacon, komuta ve kontrol (C2) amaçları için Amazon Web Services (AWS) Lambda URL’lerini kullandığı ve tehdit oyuncularının radar altında uçması ve kaçış tespiti için meşru hizmetlerin sürekli kötüye kullanılmasını göstermesi nedeniyle dikkat çekicidir.

Rochberger, “AWS Lambda URL’leri, kullanıcıların doğrudan HTTPS üzerinden sunucusız işlevleri çağırmasına izin veren AWS Lambda’nın bir özelliğidir.” “Bu teknik, güvenilir, ölçeklenebilir ve tespit edilmesi zor bir iletişim kanalı oluşturmak için düz görüşte gizlemek için meşru bulut işlevselliğini kullanıyor.”

Savunucular, nadiren kullanılan bulut uç noktalarına giden trafiğe dikkat etmelidir. *.lambda-url.*. Amazonaws.comözellikle olağandışı ikili dosyalar veya sistem hizmetleri tarafından başlatıldığında. AWS kullanımının kendisi şüpheli olmasa da, süreç kökenleri, ebeveyn-çocuk yürütme zincirleri ve uç nokta davranışı gibi bağlama duyarlı bazelingi, meşru etkinliği, bulut analli kaçıştan yararlanan kötü amaçlı yazılımlardan ayırt etmeye yardımcı olabilir.

Yükler arasında, belirli bir uzantı kümesi (örneğin, DOC, DOCX, XLS, XLSX ve PDF) ile eşleşen dosyaları hasat etmekten sorumlu bir dosya toplayıcı modülü ve zaman aralığında. Bu, Amerika Birleşik Devletleri tarafından verilen son tarife önlemleriyle ilgili dosyaları arama girişimlerini de içerir.

Siber güvenlik

Tehdit oyuncusu, normal ağ trafiğiyle karışacak ve toplanan verileri iletecek şekilde Google Drive ve Dropbox gibi diğer hizmetleri de kullandığı bulunmuştur. Ünite 42 tarafından analiz edilen olayda, dosyaları bulut depolama hizmetlerine yükleme girişimlerinin engellendiği söylenir.

Son aşamada, saldırganlar, etkinliklerinin izlerini bırakmaktan kaçınmak için temizleme komutları çalıştırarak, saldırı sırasında indirilen tüm aşamalı dosyaların ve diğer yüklerin arşivlerini siliyor.

Rochberger, “Tehdit aktörleri, bir dayanağın korunması ve etkilenen devlet kuruluşlarından hassas bilgiler toplamak için ana araç olarak HozyBeacon’u kullandı.” Dedi. “Bu kampanya, saldırganların meşru, güvenilir bulut hizmetlerini kötüye kullanmanın yeni yollarını nasıl bulmaya devam ettiğini vurgulamaktadır.”

HozyBeacon, güvenilir platformları gizli kanallar olarak kullanan gelişmiş kalıcı tehditlerin daha geniş bir eğilimini yansıtır – genellikle “güvenilir hizmetlerden yaşamak” (çok) olarak adlandırılan bir taktik. Bu bulut tabanlı kötü amaçlı yazılım kümesinin bir parçası olarak, algılamadan kaçınmak ve kalıcı erişimi kolaylaştırmak için Google Workspace, Microsoft ekipleri veya Dropbox API’lerini kullanan tehditlerde benzer teknikler gözlenmiştir.

Bu makaleyi ilginç mi buldunuz? Bizi takip et Twitter ve daha fazla özel içeriği okumak için LinkedIn.





Source link