Кибершпионы используют AWS Lambda для скрытого управления вредоносными программами в атаках на правительства Юго-Восточной Азии

Традиционные C2-серверы часто блокируются системами защиты, но в данном случае злоумышленники решили обойти детектирование, используя легальный функционал облачных сервисов Amazon. AWS Lambda URL позволяют напрямую вызывать серверные функции через HTTPS без необходимости настройки сложных API-шлюзов. Эта особенность делает данный метод крайне сложным для обнаружения, так как запросы к AWS воспринимаются как легитимные.

Вредоносное ПО HazyBeacon внедряется в систему через технику DLL-подмены (sideloading). Злоумышленники размещают вредоносную библиотеку mscorsvc.dll в каталоге C:\Windows\assembly, заменяя оригинальный файл. После этого легитимный процесс mscorsvw.exe загружает поддельную DLL, которая устанавливает соединение с управляемым атакующими Lambda URL. Для обеспечения постоянного доступа создается служба Windows под названием msdnetsvc, гарантирующая, что бэкдор останется активным даже после перезагрузки системы.

Преимущество использования AWS Lambda для C2 заключается в том, что атакующие могут масштабировать свою инфраструктуру без необходимости управления серверами. Кроме того, поскольку AWS-сервисы широко используются в корпоративных сетях, такой трафик не вызывает подозрений у стандартных систем мониторинга. Помимо AWS, злоумышленники также применяли Google Drive и Dropbox для выгрузки данных, что еще больше затрудняет их обнаружение.

После заражения системы HazyBeacon загружает на устройство дополнительные вредоносные инструменты, такие как 7z.exe (для архивирования данных), igfx.exe (для сбора файлов) и специализированные утилиты для загрузки данных в облачные хранилища. Собранные документы архивируются, разбиваются на части по 200 МБ и отправляются на Google Drive и Dropbox. Интересно, что атака включала целенаправленный поиск файлов, связанных с торговыми конфликтами, например, документов с названиями вроде «Письмо президенту США о мерах по тарифам».

Несмотря на сложную технику скрытности, система защиты Palo Alto Networks смогла обнаружить и заблокировать попытки выгрузки данных. Злоумышленники попытались стереть следы, удалив временные файлы и использованные утилиты, но анализ журналов позволил экспертам восстановить картину атаки.

Эта кампания демонстрирует, как злоумышленники продолжают адаптироваться, используя легальные облачные сервисы для своих целей. Без должного контроля даже доверенные платформы, такие как AWS, могут стать инструментом кибершпионажа. Организациям рекомендуется усилить мониторинг активности в облачных сервисах и внедрять решения, способные выявлять аномальные паттерны взаимодействия с ними.

SHA256

• 279e60e77207444c7ec7421e811048267971b0db42f4b4d3e975c7d0af7f511e
• 304c615f4a8c2c2b36478b693db767d41be998032252c8159cc22c18a65ab498
• 3255798db8936b5b3ae9fed6292413ce20da48131b27394c844ecec186a1e92f
• 4931df8650521cfd686782919bda0f376475f9fc5f1fee9d7cf3a4e0d9c73e30
• d20b536c88ecd326f79d7a9180f41a2e47a40fcf2cc6a2b02d68a081c89eaeaa
• d961aca6c2899cc1495c0e64a29b85aa226f40cf9d42dadc291c4f601d6e27c3
• f0c9481513156b0cdd216d6dfb53772839438a2215d9c5b895445f418b64b886