Las organizaciones gubernamentales en el sudeste asiático son el objetivo de una nueva campaña que tiene como objetivo recopilar información confidencial a través de una puerta trasera de Windows previamente indocumentada doblada Viticón.
La actividad está siendo rastreada por la Unidad 42 de Palo Alto Networks bajo el apodo CL-STA-1020donde «CL» significa «Cluster» y «Sta» se refiere a la «motivación respaldada por el estado».
«Los actores de amenaza detrás de este grupo de actividad han sido recopilar información confidencial de las agencias gubernamentales, incluida información sobre aranceles recientes y disputas comerciales», dijo el investigador de seguridad Lior Rochberger en un análisis de lunes.
El sudeste asiático se ha convertido cada vez más en un punto focal para el ciber espionaje debido a su papel en las negociaciones comerciales sensibles, la modernización militar y la alineación estratégica en la dinámica de poder de los Estados Unidos -China. Se dirige a las agencias gubernamentales en esta región puede proporcionar una valiosa inteligencia sobre la dirección de la política exterior, la planificación de la infraestructura y los cambios regulatorios internos que influyen en los mercados regionales y globales.
Actualmente, el vector de acceso inicial exacto utilizado para entregar el malware, aunque la evidencia muestra el uso de técnicas de carga lateral de DLL para implementarlo en hosts comprometidos. Específicamente, implica plantar una versión maliciosa de una DLL llamada «MSCORSVC.DLL» junto con el ejecutable legítimo de Windows, «MSCORSVW.EXE».
Una vez que se lanza el binario, el DLL procede a establecer la comunicación con una URL controlada por el atacante que le permite ejecutar comandos arbitrarios y descargar cargas útiles adicionales. La persistencia se logra mediante un servicio que asegura que la DLL se lance incluso después de un reinicio del sistema.
HozyBeacon es notable por el hecho de que aprovecha las URL LAMBDA de Amazon Web Services (AWS) para fines de comando y control (C2), lo que demuestra el abuso continuo de los actores de amenazas de servicios legítimos para volar bajo el radar y escapar de la detección.
«Las URL Lambda de AWS son una característica de AWS Lambda que permite a los usuarios invocar funciones sin servidor directamente a través de HTTPS», explicó Rochberger. «Esta técnica utiliza la funcionalidad de nube legítima para esconderse a la vista, creando un canal de comunicación confiable, escalable y difícil de detectar».
Los defensores deben prestar atención al tráfico saliente a puntos finales de nubes raramente usados como *.lambda-url.*. Amazonaws.comespecialmente cuando se inicia por binarios o servicios de sistema inusuales. Si bien el uso de AWS en sí no es sospechoso, el contexto es el contexto de la base, como la correlación de los orígenes del proceso, las cadenas de ejecución de los padres e hijos y el comportamiento de los puntos finales, puede ayudar a distinguir la actividad legítima de la evasión nativa de la nube de malware de malware.
Descargado entre las cargas útiles se encuentra un módulo de recolector de archivos responsable de cosechar archivos que coinciden con un conjunto específico de extensiones (por ejemplo, DOC, DOCX, XLS, XLSX y PDF) y dentro de un rango de tiempo. Esto incluye intentos de buscar archivos relacionados con las recientes medidas arancelarias impuestas por los Estados Unidos.
También se ha encontrado que el actor de amenaza emplea otros servicios como Google Drive y Dropbox como canales de exfiltración para combinarse con el tráfico de red normal y transmitir los datos recopilados. En el incidente analizado por la Unidad 42, se dice que los intentos de cargar los archivos a los servicios de almacenamiento en la nube han sido bloqueados.
En la etapa final, los atacantes ejecutan comandos de limpieza para evitar dejar rastros de su actividad, eliminando todos los archivos de archivos escenificados y otras cargas útiles descargadas durante el ataque.
«Los actores de amenaza usaron Hozybeacon como la herramienta principal para mantener un punto de apoyo y recopilar información confidencial de las entidades gubernamentales afectadas», dijo Rochberger. «Esta campaña destaca cómo los atacantes continúan encontrando nuevas formas de abusar de los servicios de nube legítimos y confiables».
HozyBeacon refleja una tendencia más amplia de amenazas persistentes avanzadas que utilizan plataformas de confianza como canales encubiertos, una táctica a menudo conocida como «Vivir de servicios de confianza» (lotes). Como parte de este clúster de malware basado en la nube, se han observado técnicas similares en las amenazas utilizando el espacio de trabajo de Google, los equipos de Microsoft o las API de Dropbox para evadir la detección y facilitar el acceso persistente.