攻擊者使用一種新型 Windows 遠端存取木馬 (RAT) 瞄準東南亞的政府實體,採用獨特的命令與控制 (C2) 策略,濫用 Amazon Web Services (AWS) Lambda 和其他合法服務來隱藏其惡意活動。Palo Alto Networks 第 42 單元的研究人員發現了他們追踪的編號為 CL-STA-1020 的“可疑活動集群”,該活動正在竊取該地區政府機構的信息,包括有關近期關稅和貿易爭端的數據,他們在7 月 14 日發布的博客文章中透露。 研究人員指出,這次攻擊活動之所以引人注目,有幾個原因。首先,它使用了新發現的名為 HazyBeacon 的 Windows後門。其次,它利用了 AWS Lambda 無伺服器運算服務中名為 Lambda URL 的合法功能,將其惡意活動“隱藏在眾目睽睽之下,創建了一個可靠、可擴展且難以檢測的通訊管道”,Palo Alto Networks 高級威脅研究員 Lior Rochberger 在文章中寫道。
攻擊者還濫用合法基礎設施來竊取數據,使用 Google Drive 和 Dropbox 作為洩漏管道,從而“混入正常的網路流量”,Rochberger 補充道。 “此次攻擊活動凸顯了攻擊者如何不斷尋找新方法來濫用合法、可信的雲端服務。”務建立 C2 通信,從而允許攻擊者進行秘密情報收集。AWS Lambda URL 是 AWS Lambda 的一部分,可讓使用者直接透過 HTTPS 呼叫無伺服器函數。在此次攻擊中,HazyBeacon 後門使用該服
惡意軟體後門利用側門
Trellix 的研究人員在 6 月底首次披露了攻擊者使用 Lambda 掩蓋 C2 活動的策略,並指出這種掩蓋“使得基於網絡的檢測在沒有解密或深度行為分析的情況下幾乎不可能實現”,他們的報告稱。 在 Unit 42 觀察到的攻擊中,HazyBeacon 使用此方法進行 C2 通訊。然而,攻擊者首先使用動態連結程式庫 (DLL) 側載來部署後門,方法是將惡意 DLL 植入 C:\Windows\assembly\mscorsvc.dll 中,同時植入合法的 Windows 執行檔 mscorsvw.exe。 在後門部署期間,攻擊者還會透過建立名為 msdnetsvc 的 Windows 服務在受感染的 Windows 端點上建立持久性,這確保即使在重新啟動系統後也能載入 HazyBeacon DLL。
濫用 AWS Lambda
當惡意 DLL mscorsvc.dll 透過 AWS Lambda URL 建立 C2 通道時,就會發生 AWS Lambda 的濫用。 AWS Lambda 無需伺服器預置或管理即可執行程式碼來回應事件;2022 年推出的 URL 功能擴展了此功能,為客戶提供了為 Lambda 函數配置專用 HTTPS 終端節點的方法。
Rochberger寫道:「這些端點允許使用標準Web請求直接呼叫這些函數,而無需複雜的API網關配置。」他表示,透過利用該功能,攻擊者可以將C2流量與合法的AWS通訊混合,從而逃避傳統的網路偵測。
在觀察到的攻擊過程中,一旦惡意軟體開始向攻擊者控制的 Lambda URL 端點(位於 <redacted>.lambda-url.ap-southeast-1.on[.]aws)發送信標,它就會開始接收要執行的命令並下載其他有效載荷。因此,HazyBeacon 下載並儲存了各種有效載荷,用於收集檔案並在 C:\ProgramData 下執行偵察。
資料來源:https://www.darkreading.com/cloud-security/attackers-abuse-aws-southeast-asian-governments-novel-rat