Το HazyBeacon malware κλέβει κυβερνητικά δεδομένα μέσω AWS Lambda
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Το HazyBeacon malware κλέβει κυβερνητικά δεδομένα μέσω AWS Lambda
https://www.secnews.gr/653983/hazybeacon-malware-klevei-kivernitika-dedomena-meso-aws-lambda/
Jul 16th 2025, 12:24
by Absenta Mia
Κρατικοί οργανισμοί στη Νοτιοανατολική Ασία αποτελούν στόχο μιας νέας εκστρατείας malware που αποσκοπεί στη συλλογή ευαίσθητων πληροφοριών μέσω μιας άγνωστης μέχρι πρότινος backdoor εφαρμογής για Windows, με την ονομασία HazyBeacon.
Δείτε επίσης: Το Android malware Konfety χρησιμοποιεί νέες τακτικές obfuscation
Η δραστηριότητα αυτή παρακολουθείται από τη μονάδα Unit 42 της Palo Alto Networks και φέρει την κωδική ονομασία CL-STA-1020, όπου το "CL" αναφέρεται σε "cluster" και το "STA" υποδηλώνει "κρατικά υποκινούμενα κίνητρα". Η Νοτιοανατολική Ασία έχει γίνει τα τελευταία χρόνια βασικός στόχος κυβερνοκατασκοπείας, λόγω του ρόλου της σε ευαίσθητες εμπορικές διαπραγματεύσεις, στον εκσυγχρονισμό των στρατιωτικών της δυνάμεων και στη στρατηγική της τοποθέτηση στο πλαίσιο της γεωπολιτικής αντιπαράθεσης ΗΠΑ–Κίνας.
Η στόχευση κρατικών φορέων στην περιοχή μπορεί να προσφέρει πολύτιμες πληροφορίες για την εξωτερική πολιτική, τον σχεδιασμό υποδομών και τις εσωτερικές ρυθμιστικές αλλαγές που επηρεάζουν τις περιφερειακές και παγκόσμιες αγορές.
Το ακριβές αρχικό μέσο πρόσβασης που χρησιμοποιήθηκε για την εγκατάσταση του κακόβουλου λογισμικού παραμένει άγνωστο προς το παρόν, αν και υπάρχουν ενδείξεις για χρήση τεχνικών DLL side-loading προκειμένου να εγκατασταθεί σε παραβιασμένα συστήματα. Συγκεκριμένα, η τεχνική περιλαμβάνει την τοποθέτηση μιας κακόβουλης έκδοσης της βιβλιοθήκης "mscorsvc.dll" μαζί με το νόμιμο εκτελέσιμο αρχείο των Windows "mscorsvw.exe".
Με την εκτέλεση του εκτελέσιμου αρχείου, η DLL ενεργοποιείται και ξεκινά επικοινωνία με μια διεύθυνση URL που ελέγχεται από τον επιτιθέμενο, επιτρέποντάς της να εκτελεί αυθαίρετες εντολές και να κατεβάζει επιπλέον κακόβουλο φορτίο. Η επιμονή στο σύστημα εξασφαλίζεται μέσω μιας υπηρεσίας, η οποία φροντίζει να εκκινεί τη DLL ακόμη και μετά από επανεκκίνηση του υπολογιστή.
Δείτε ακόμα: Η ransomware ομάδα Interlock χρησιμοποιεί νέο RAT malware
Το HazyBeacon malware ξεχωρίζει για το γεγονός ότι αξιοποιεί διευθύνσεις URL της υπηρεσίας AWS Lambda για σκοπούς command-and-control (C2), κάτι που αποδεικνύει τη συνεχιζόμενη τάση των κυβερνοεγκληματιών να καταχρώνται νόμιμες υπηρεσίες για να παραμένουν αόρατοι και να αποφεύγουν τον εντοπισμό.
Οι αμυντικοί μηχανισμοί θα πρέπει να παρακολουθούν ιδιαίτερα την εξερχόμενη κίνηση προς σπάνια χρησιμοποιούμενα endpoints cloud, όπως τα *.lambda-url.*.amazonaws.com, ειδικά όταν η επικοινωνία προέρχεται από ασυνήθιστα εκτελέσιμα ή υπηρεσίες συστήματος. Αν και η χρήση του AWS από μόνη της δεν είναι ύποπτη, μια ανάλυση με βάση το πλαίσιο —συμπεριλαμβανομένων της προέλευσης της διεργασίας, της αλυσίδας εκτέλεσης γονέα-παιδιού και της συμπεριφοράς του endpoint— μπορεί να βοηθήσει στη διάκριση μεταξύ νόμιμης δραστηριότητας και κακόβουλου λογισμικού που χρησιμοποιεί cloud-based μεθόδους απόκρυψης.
Μεταξύ των κακόβουλων φορτίων που κατεβάζονται περιλαμβάνεται και μια μονάδα συλλογής αρχείων, η οποία είναι υπεύθυνη για την αναζήτηση και συλλογή αρχείων με συγκεκριμένες επεκτάσεις (π.χ. doc, docx, xls, xlsx και pdf) και εντός καθορισμένου χρονικού διαστήματος. Περιλαμβάνονται επίσης προσπάθειες εντοπισμού αρχείων που σχετίζονται με τα πρόσφατα δασμολογικά μέτρα που επέβαλαν οι Ηνωμένες Πολιτείες.
Ο επιτιθέμενος έχει διαπιστωθεί ότι χρησιμοποιεί και άλλες δημοφιλείς υπηρεσίες όπως το Google Drive και το Dropbox ως κανάλια εξαγωγής δεδομένων, προκειμένου να συγκαλύψει τη δραστηριότητά του μέσα σε φυσιολογική δικτυακή κίνηση και να μεταδώσει τις συλλεγμένες πληροφορίες απαρατήρητα. Στο περιστατικό που αναλύθηκε από την Unit 42, οι προσπάθειες μεταφόρτωσης των αρχείων στις cloud υπηρεσίες αποτράπηκαν επιτυχώς.
Δείτε επίσης: Χάκερ εισάγουν malware στο πρόσθετο Gravity Forms WordPress
Στο τελικό στάδιο της επίθεσης HazyBeacon malware, οι δράστες εκτελούν εντολές καθαρισμού για να εξαφανίσουν ίχνη της παρουσίας τους, διαγράφοντας όλα τα αρχεία-αρχεία με τα συλλεχθέντα δεδομένα και οποιαδήποτε επιπλέον κακόβουλα φορτία που είχαν προηγουμένως κατεβεί.
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Το HazyBeacon malware κλέβει κυβερνητικά δεδομένα μέσω AWS Lambda
https://www.secnews.gr/653983/hazybeacon-malware-klevei-kivernitika-dedomena-meso-aws-lambda/
Jul 16th 2025, 12:24
by Absenta Mia
Κρατικοί οργανισμοί στη Νοτιοανατολική Ασία αποτελούν στόχο μιας νέας εκστρατείας malware που αποσκοπεί στη συλλογή ευαίσθητων πληροφοριών μέσω μιας άγνωστης μέχρι πρότινος backdoor εφαρμογής για Windows, με την ονομασία HazyBeacon.
Δείτε επίσης: Το Android malware Konfety χρησιμοποιεί νέες τακτικές obfuscation
Η δραστηριότητα αυτή παρακολουθείται από τη μονάδα Unit 42 της Palo Alto Networks και φέρει την κωδική ονομασία CL-STA-1020, όπου το "CL" αναφέρεται σε "cluster" και το "STA" υποδηλώνει "κρατικά υποκινούμενα κίνητρα". Η Νοτιοανατολική Ασία έχει γίνει τα τελευταία χρόνια βασικός στόχος κυβερνοκατασκοπείας, λόγω του ρόλου της σε ευαίσθητες εμπορικές διαπραγματεύσεις, στον εκσυγχρονισμό των στρατιωτικών της δυνάμεων και στη στρατηγική της τοποθέτηση στο πλαίσιο της γεωπολιτικής αντιπαράθεσης ΗΠΑ–Κίνας.
Η στόχευση κρατικών φορέων στην περιοχή μπορεί να προσφέρει πολύτιμες πληροφορίες για την εξωτερική πολιτική, τον σχεδιασμό υποδομών και τις εσωτερικές ρυθμιστικές αλλαγές που επηρεάζουν τις περιφερειακές και παγκόσμιες αγορές.
Το ακριβές αρχικό μέσο πρόσβασης που χρησιμοποιήθηκε για την εγκατάσταση του κακόβουλου λογισμικού παραμένει άγνωστο προς το παρόν, αν και υπάρχουν ενδείξεις για χρήση τεχνικών DLL side-loading προκειμένου να εγκατασταθεί σε παραβιασμένα συστήματα. Συγκεκριμένα, η τεχνική περιλαμβάνει την τοποθέτηση μιας κακόβουλης έκδοσης της βιβλιοθήκης "mscorsvc.dll" μαζί με το νόμιμο εκτελέσιμο αρχείο των Windows "mscorsvw.exe".
Με την εκτέλεση του εκτελέσιμου αρχείου, η DLL ενεργοποιείται και ξεκινά επικοινωνία με μια διεύθυνση URL που ελέγχεται από τον επιτιθέμενο, επιτρέποντάς της να εκτελεί αυθαίρετες εντολές και να κατεβάζει επιπλέον κακόβουλο φορτίο. Η επιμονή στο σύστημα εξασφαλίζεται μέσω μιας υπηρεσίας, η οποία φροντίζει να εκκινεί τη DLL ακόμη και μετά από επανεκκίνηση του υπολογιστή.
Δείτε ακόμα: Η ransomware ομάδα Interlock χρησιμοποιεί νέο RAT malware
Το HazyBeacon malware ξεχωρίζει για το γεγονός ότι αξιοποιεί διευθύνσεις URL της υπηρεσίας AWS Lambda για σκοπούς command-and-control (C2), κάτι που αποδεικνύει τη συνεχιζόμενη τάση των κυβερνοεγκληματιών να καταχρώνται νόμιμες υπηρεσίες για να παραμένουν αόρατοι και να αποφεύγουν τον εντοπισμό.
Οι αμυντικοί μηχανισμοί θα πρέπει να παρακολουθούν ιδιαίτερα την εξερχόμενη κίνηση προς σπάνια χρησιμοποιούμενα endpoints cloud, όπως τα *.lambda-url.*.amazonaws.com, ειδικά όταν η επικοινωνία προέρχεται από ασυνήθιστα εκτελέσιμα ή υπηρεσίες συστήματος. Αν και η χρήση του AWS από μόνη της δεν είναι ύποπτη, μια ανάλυση με βάση το πλαίσιο —συμπεριλαμβανομένων της προέλευσης της διεργασίας, της αλυσίδας εκτέλεσης γονέα-παιδιού και της συμπεριφοράς του endpoint— μπορεί να βοηθήσει στη διάκριση μεταξύ νόμιμης δραστηριότητας και κακόβουλου λογισμικού που χρησιμοποιεί cloud-based μεθόδους απόκρυψης.
Μεταξύ των κακόβουλων φορτίων που κατεβάζονται περιλαμβάνεται και μια μονάδα συλλογής αρχείων, η οποία είναι υπεύθυνη για την αναζήτηση και συλλογή αρχείων με συγκεκριμένες επεκτάσεις (π.χ. doc, docx, xls, xlsx και pdf) και εντός καθορισμένου χρονικού διαστήματος. Περιλαμβάνονται επίσης προσπάθειες εντοπισμού αρχείων που σχετίζονται με τα πρόσφατα δασμολογικά μέτρα που επέβαλαν οι Ηνωμένες Πολιτείες.
Ο επιτιθέμενος έχει διαπιστωθεί ότι χρησιμοποιεί και άλλες δημοφιλείς υπηρεσίες όπως το Google Drive και το Dropbox ως κανάλια εξαγωγής δεδομένων, προκειμένου να συγκαλύψει τη δραστηριότητά του μέσα σε φυσιολογική δικτυακή κίνηση και να μεταδώσει τις συλλεγμένες πληροφορίες απαρατήρητα. Στο περιστατικό που αναλύθηκε από την Unit 42, οι προσπάθειες μεταφόρτωσης των αρχείων στις cloud υπηρεσίες αποτράπηκαν επιτυχώς.
Δείτε επίσης: Χάκερ εισάγουν malware στο πρόσθετο Gravity Forms WordPress
Στο τελικό στάδιο της επίθεσης HazyBeacon malware, οι δράστες εκτελούν εντολές καθαρισμού για να εξαφανίσουν ίχνη της παρουσίας τους, διαγράφοντας όλα τα αρχεία-αρχεία με τα συλλεχθέντα δεδομένα και οποιαδήποτε επιπλέον κακόβουλα φορτία που είχαν προηγουμένως κατεβεί.
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz