Organizzazioni governative nel sud-est asiatico nel mirino di una nuova campagna di spionaggio
Le organizzazioni governative nel sud-est asiatico sono diventate il bersaglio di una nuova campagna che mira a raccogliere informazioni sensibili attraverso un backdoor per Windows precedentemente sconosciuto, denominato HazyBeacon. Questa attività è monitorata da Palo Alto Networks Unit 42 con il nome in codice CL-STA-1020, dove “CL” sta per “cluster” e “STA” indica una “motivazione statale”.
Il contesto geopolitico del sud-est asiatico
Il sud-est asiatico è sempre più al centro dell’attenzione per il cyber spionaggio a causa del suo ruolo nelle negoziazioni commerciali sensibili, nella modernizzazione militare e nell’allineamento strategico nel dinamico di potere tra Stati Uniti e Cina. Colpire le agenzie governative in questa regione può fornire preziose informazioni sull’orientamento della politica estera, sulla pianificazione infrastrutturale e sui cambiamenti normativi interni che influenzano i mercati regionali e globali.
Dettagli tecnici dell’attacco
Il vettore di accesso iniziale utilizzato per distribuire il malware non è attualmente noto, sebbene ci siano prove dell’uso di tecniche di DLL side-loading per implementarlo su host compromessi. In particolare, ciò comporta l’inserimento di una versione dannosa di una DLL chiamata “mscorsvc.dll” insieme all’eseguibile legittimo di Windows, “mscorsvw.exe”. Una volta avviato il binario, la DLL stabilisce una comunicazione con un URL controllato dall’attaccante che consente di eseguire comandi arbitrari e scaricare payload aggiuntivi. La persistenza è garantita tramite un servizio che assicura l’avvio della DLL anche dopo un riavvio del sistema.
Uso di AWS Lambda per il comando e controllo
HazyBeacon si distingue per il fatto che sfrutta gli URL di Amazon Web Services (AWS) Lambda per scopi di comando e controllo (C2), dimostrando il continuo abuso da parte degli attori delle minacce di servizi legittimi per passare inosservati e sfuggire al rilevamento. “Gli URL di AWS Lambda sono una funzionalità di AWS Lambda che consente agli utenti di invocare funzioni serverless direttamente tramite HTTPS”, ha spiegato il ricercatore di sicurezza Lior Rochberger. “Questa tecnica utilizza funzionalità cloud legittime per nascondersi in bella vista, creando un canale di comunicazione affidabile, scalabile e difficile da rilevare”.
Raccomandazioni per i difensori
I difensori dovrebbero prestare attenzione al traffico in uscita verso endpoint cloud raramente utilizzati come *.lambda-url.*.amazonaws.com, specialmente quando viene avviato da binari o servizi di sistema insoliti. Sebbene l’uso di AWS di per sé non sia sospetto, una baseline consapevole del contesto, come la correlazione delle origini dei processi, delle catene di esecuzione genitore-figlio e del comportamento degli endpoint, può aiutare a distinguere l’attività legittima dal malware che sfrutta l’evasione nativa del cloud.
Moduli di raccolta file
Tra i payload scaricati c’è un modulo di raccolta file responsabile della raccolta di file che corrispondono a un insieme specifico di estensioni (ad esempio, doc, docx, xls, xlsx e pdf) e all’interno di un intervallo di tempo. Ciò include tentativi di ricerca di file relativi alle recenti misure tariffarie imposte dagli Stati Uniti.
Fonte: The Hackers News
