HazyBeacon backdoor
A Palo Alto Unit 42 azonosított egy CL‑STA‑1020 nevű csoportot, amely dél‑kelet‑ázsiai kormányzati szervezeteket céloz. Elsődleges céljuk a kereskedelmi és tarifális dokumentumok megszerzése volt. A cikk fő újdonsága egy eddig nem publikált Windows backdoor, amelyet HazyBeacon-nek neveztek el, és amely egy egészen váratlan C2 mechanizmust használ: AWS Lambda URL-eket HTTPS-en keresztül.
A HazyBeacon DLL-t DLL side-loading segítségével juttatták be, a rosszindulatú mscorsvc.dll-t a C:\Windows\assembly\ könyvtárba helyezték, majd a mscorsvw.exe néven egy hamisított Windows szolgáltatást hoztak létre. Így minden rendszerindításkor betöltődik a backdoor. Miután a DLL betöltődött, a program Lambda-URL-re küld beacon kéréseket, így kap utasításokat és tölti le a következő modulokat.
A malware Payload-ként a következő eszközöket helyezi el a C:\ProgramData\ könyvtárban 7z.exe tömörítéshez, igfx.exe fájlgyűjtő, valamint Google/Dropbox feltöltő segédprogramok (GoogleGet.exe, google.exe, GoogleDrive.exe, Dropbox.exe). Ezek segítségével az áldozat dokumentumait – például kereskedelmi tárgyalási anyagokat – tömörítik, majd a felhőalapú tárhelyekre továbbítják, amivel a támadók zavartalanul távolról lopják el az adatokat.
A kivitelezés egyik zsenialitása abban rejlik, hogy az AWS Lambda URL-ek azonos doménnel (amazonaws.com, lambda-url.on.aws) működnek, amelyek általában megbízhatónak számítanak. Ez jelentősen csökkenti a hálózati szűrők észlelési esélyeit – hiszen a forgalom megbízható domainről származik, így szinte láthatatlan marad.
A végponti telepítés utólagos nyomjai eltűnnek, mivel a kommunikáció mind cloud-based, mind fájlmentes, a HazyBeacon maga a memóriában marad, a töltőprogramokat pedig letöltés után törli. Ez a kombináció – DLL sideloading, AWS Lambda-alapú C2, memória-alapú végrehajtás, felhőszolgáltatásokra épülő exfiltráció – rendkívül kihívássá teszi a védelmet.
