Organizações governamentais no Sudeste Asiático estão sendo o alvo de uma nova campanha que visa coletar informações sensíveis por meio de uma backdoor do Windows até então não documentada, chamada HazyBeacon.
A atividade está sendo monitorada pela Palo Alto Networks Unit 42 sob a nomenclatura CL-STA-1020, onde "CL" significa "cluster" e "STA" refere-se a "motivação respaldada pelo estado".
"Os atores de ameaça por trás deste cluster de atividade vêm coletando informações sensíveis de agências governamentais, incluindo informações sobre tarifas recentes e disputas comerciais," disse o pesquisador de segurança Lior Rochberger em uma análise de segunda-feira.
O Sudeste Asiático tem se tornado cada vez mais um ponto focal para espionagem cibernética devido ao seu papel em negociações comerciais sensíveis, modernização militar e alinhamento estratégico na dinâmica de poder EUA-China.
Visar agências governamentais nesta região pode fornecer inteligência valiosa sobre direção da política externa, planejamento de infraestrutura e mudanças regulatórias internas que influenciam os mercados regionais e globais.
O vetor de acesso inicial exato usado para entregar o malware atualmente não é conhecido, embora evidências mostrem o uso de técnicas de side-loading de DLL para implantá-lo em hosts comprometidos.
Especificamente, isso envolve plantar uma versão maliciosa de uma DLL chamada "mscorsvc.dll" junto com o executável legítimo do Windows, "mscorsvw.exe".
Uma vez que o binário é lançado, a DLL procede para estabelecer comunicação com uma URL controlada pelo atacante, que permite executar comandos arbitrários e baixar payloads adicionais.
A persistência é alcançada por meio de um serviço que garante o lançamento da DLL mesmo após um reboot do sistema.
HazyBeacon é notável pelo fato de que aproveita URLs do Amazon Web Services (AWS) Lambda para fins de comando e controle (C2), demonstrando o abuso contínuo de serviços legítimos pelos atores de ameaças para passar despercebidos e evitar detecção.
"URLs do AWS Lambda são uma característica do AWS Lambda que permite aos usuários invocar funções serverless diretamente via HTTPS," explicou Rochberger.
"Esta técnica usa funcionalidades legítimas da cloud para se esconder à vista de todos, criando um canal de comunicação confiável, escalável e difícil de detectar." Defensores devem prestar atenção ao tráfego de saída para endpoints de cloud pouco usados como .lambda-url. .amazonaws.com, especialmente quando iniciado por binários ou serviços do sistema incomuns.
Embora o uso do AWS em si não seja suspeito, a criação de uma baseline contextual—como correlacionar origens de processos, cadeias de execução pai-filho e comportamento de endpoint—pode ajudar a distinguir atividades legítimas de malware que se aproveitam de evasão nativa da cloud.
Entre os payloads baixados está um módulo colecionador de arquivos responsável por colher arquivos que correspondem a um conjunto específico de extensões (ex.: doc, docx, xls, xlsx e pdf) e dentro de um intervalo de tempo.
Isso inclui tentativas de buscar arquivos relacionados às recentes medidas tarifárias impostas pelos Estados Unidos.
O ator de ameaça também foi encontrado utilizando outros serviços como Google Drive e Dropbox como canais de exfiltração para se misturar com o tráfego de rede normal e transmitir os dados coletados.
No incidente analisado pela Unit 42, tentativas de upload dos arquivos para os serviços de armazenamento na nuvem teriam sido bloqueadas.
Na etapa final, os atacantes executam comandos de limpeza para evitar deixar rastros de sua atividade, deletando todos os arquivos de estágio e outros payloads baixados durante o ataque.
"Os atores de ameaça usaram HazyBeacon como a principal ferramenta para manter uma presença e coletar informações sensíveis das entidades governamentais afetadas," disse Rochberger.
"Esta campanha destaca como os atacantes continuam encontrando novas formas de abusar de serviços de cloud legítimos e confiáveis." HazyBeacon reflete uma tendência mais ampla de ameaças persistentes avançadas usando plataformas confiáveis como canais ocultos—uma tática frequentemente referida como "viver de serviços confiáveis" (LOTS).
Como parte desse cluster de malware baseado na cloud, técnicas similares foram observadas em ameaças que usam APIs do Google Workspace, Microsoft Teams ou Dropbox para evadir detecção e facilitar acesso persistente.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...