- 19,420
- 40
- 8 Ноя 2022
США и Китай сражаются за данные через взломанные облака Amazon.
Государственные учреждения Юго-Восточной Азии оказались в центре новой кибершпионской кампании, нацеленной на сбор конфиденциальной информации с использованием ранее неизвестного вредоносного инструмента для Windows под названием HazyBeacon. Эта активность Для просмотра ссылки Войдиили Зарегистрируйся специалистами Palo Alto Networks Unit 42 под обозначением CL-STA-1020, где «CL» указывает на кластер угроз, а «STA» — на предполагаемую государственную поддержку действий злоумышленников.
По данным аналитика Лиора Рохбергера, киберпреступники сосредоточились на получении данных, касающихся деятельности государственных ведомств, включая документы о тарифных мерах и спорах в сфере международной торговли. В последние годы регион Юго-Восточной Азии всё чаще становится объектом подобных атак из-за его роли в глобальных переговорах, военном сотрудничестве и балансировании между интересами США и Китая. Доступ к информации о внутренней политике, изменениях в инфраструктуре и торговом регулировании позволяет получить стратегическое преимущество на геополитической арене.
Точный способ проникновения HazyBeacon на устройства пока не установлен, но обнаружено использование технологии Для просмотра ссылки Войдиили Зарегистрируйся . Атакующие размещают вредоносную версию файла «mscorsvc.dll» рядом с легитимным исполняемым файлом Windows «mscorsvw.exe». После запуска бинарного файла вредоносная библиотека инициирует связь с управляющим сервером, который позволяет загружать дополнительные модули и выполнять произвольные команды. Устойчивость вредоносной программы обеспечивается за счёт системной службы, автоматически запускающей DLL при перезагрузке.
Особенность HazyBeacon заключается в использовании облачных URL-адресов AWS Lambda для связи с командным центром. Такая тактика позволяет замаскировать вредоносный трафик под обычное облачное взаимодействие, что усложняет обнаружение угроз. Lambda-функции, работающие через HTTPS, дают злоумышленникам стабильный и практически незаметный канал управления, используя Для просмотра ссылки Войдиили Зарегистрируйся .
Защите помогает отслеживание нестандартных обращений к облачным адресам вида «*.lambda-url.*.amazonaws.com», особенно если они инициированы непривычными процессами. Хотя само использование AWS не является признаком угрозы, контекстный анализ — например, сопоставление источника процесса, связей между родительскими и дочерними задачами и аномалий в поведении системы — может выявить скрытые атаки.
Один из загружаемых модулей представляет собой сборщик документов, предназначенный для поиска файлов с расширениями doc, docx, xls, xlsx и pdf. При этом сбор данных ограничен определённым временным диапазоном, что позволяет точечно извлекать только актуальные документы. Зафиксированы попытки обнаружения информации, касающейся недавних тарифных решений, принятых США.
Для вывода данных злоумышленники прибегают к популярным облачным сервисам вроде Google Drive и Dropbox. Это позволяет им маскировать передачу файлов под обычную пользовательскую активность. Однако в конкретном случае, проанализированном Unit 42, эти попытки были заблокированы средствами безопасности.
На финальной стадии атаки киберпреступники запускают команды по удалению следов деятельности — удаляют временные архивы, загруженные вредоносные компоненты и другие артефакты, оставленные в процессе операции.
По оценке специалистов, HazyBeacon стал основным инструментом для закрепления в системе и извлечения информации. Эта кампания является примером того, как злоумышленники всё активнее используют надёжные облачные платформы в качестве каналов маскировки и управления.
Такая стратегия — часть более широкой тенденции, известной как Living-off-Trusted-Sites ( Для просмотра ссылки Войдиили Зарегистрируйся ), когда вредоносные программы используют легитимные API от Google Workspace, Microsoft Teams или Dropbox для обхода средств защиты и сохранения доступа.
Государственные учреждения Юго-Восточной Азии оказались в центре новой кибершпионской кампании, нацеленной на сбор конфиденциальной информации с использованием ранее неизвестного вредоносного инструмента для Windows под названием HazyBeacon. Эта активность Для просмотра ссылки Войди
По данным аналитика Лиора Рохбергера, киберпреступники сосредоточились на получении данных, касающихся деятельности государственных ведомств, включая документы о тарифных мерах и спорах в сфере международной торговли. В последние годы регион Юго-Восточной Азии всё чаще становится объектом подобных атак из-за его роли в глобальных переговорах, военном сотрудничестве и балансировании между интересами США и Китая. Доступ к информации о внутренней политике, изменениях в инфраструктуре и торговом регулировании позволяет получить стратегическое преимущество на геополитической арене.
Точный способ проникновения HazyBeacon на устройства пока не установлен, но обнаружено использование технологии Для просмотра ссылки Войди
Особенность HazyBeacon заключается в использовании облачных URL-адресов AWS Lambda для связи с командным центром. Такая тактика позволяет замаскировать вредоносный трафик под обычное облачное взаимодействие, что усложняет обнаружение угроз. Lambda-функции, работающие через HTTPS, дают злоумышленникам стабильный и практически незаметный канал управления, используя Для просмотра ссылки Войди
Защите помогает отслеживание нестандартных обращений к облачным адресам вида «*.lambda-url.*.amazonaws.com», особенно если они инициированы непривычными процессами. Хотя само использование AWS не является признаком угрозы, контекстный анализ — например, сопоставление источника процесса, связей между родительскими и дочерними задачами и аномалий в поведении системы — может выявить скрытые атаки.
Один из загружаемых модулей представляет собой сборщик документов, предназначенный для поиска файлов с расширениями doc, docx, xls, xlsx и pdf. При этом сбор данных ограничен определённым временным диапазоном, что позволяет точечно извлекать только актуальные документы. Зафиксированы попытки обнаружения информации, касающейся недавних тарифных решений, принятых США.
Для вывода данных злоумышленники прибегают к популярным облачным сервисам вроде Google Drive и Dropbox. Это позволяет им маскировать передачу файлов под обычную пользовательскую активность. Однако в конкретном случае, проанализированном Unit 42, эти попытки были заблокированы средствами безопасности.
На финальной стадии атаки киберпреступники запускают команды по удалению следов деятельности — удаляют временные архивы, загруженные вредоносные компоненты и другие артефакты, оставленные в процессе операции.
По оценке специалистов, HazyBeacon стал основным инструментом для закрепления в системе и извлечения информации. Эта кампания является примером того, как злоумышленники всё активнее используют надёжные облачные платформы в качестве каналов маскировки и управления.
Такая стратегия — часть более широкой тенденции, известной как Living-off-Trusted-Sites ( Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
