Vládní agentury v jihovýchodní Asii čelí nové kampani kybernetické špionáže, která využívá dosud nezdokumentovaný backdoor HazyBeacon. Podle analýzy Palo Alto Networks Unit 42 (označení CL-STA-1020) se jedná o státem podporovanou aktivitu zaměřenou na sběr citlivých dat, včetně dokumentů souvisejících s obchodními spory a cly.

HazyBeacon se šíří pomocí techniky DLL side-loading, kdy útočníci vloží škodlivou knihovnu mscorsvc.dll vedle legitimního souboru mscorsvw.exe. Po spuštění navazuje komunikaci s infrastrukturou útočníků, umožňuje spouštět příkazy, stahovat další payloady a zajišťuje perzistenci i po restartu.

Zásadním rysem je využití AWS Lambda URL jako command-and-control kanálu. Tato legitimní cloudová služba maskuje komunikaci malwaru a útočníkům poskytuje spolehlivé a škálovatelné spojení, které je obtížné odhalit. Analytici upozorňují, že obránci by měli sledovat podezřelý odchozí provoz na domény .lambda-url..amazonaws.com.

Mezi zjištěnými payloady je modul pro sběr souborů (např. doc, xls, pdf), zaměřený i na data týkající se nedávných celně-obchodních opatření. Pro exfiltraci dat útočníci využívají běžné cloudové služby, jako je Google Drive či Dropbox, aby splynuli s legitimním provozem. Po dokončení útoku jsou archivy a stopy aktivity smazány.

Kampaň ilustruje širší trend tzv. „living-off-trusted-services“ (LOTS), kdy hrozební aktéři zneužívají důvěryhodné cloudové platformy – od AWS přes Google Workspace až po Microsoft Teams – k obcházení detekce a udržení přístupu.

Zdroj: The Hacker News