攻击者滥用AWS云服务针对东南亚政府

攻击者正在使用一种新型Windows远程访问木马（RAT）针对东南亚政府实体，采用独特的命令与控制（C2）策略，滥用亚马逊网络服务（AWS）Lambda和其他合法服务来隐藏其恶意活动。

Palo Alto Networks Unit 42的研究人员发现了一个他们称为"可疑活动集群"的攻击活动，追踪编号为CL-STA-1020，该活动正在从该地区的政府机构窃取信息，包括有关近期关税和贸易争端的数据。

研究人员指出，该攻击活动有几个显著特点。首先，它使用了一个新发现的名为HazyBeacon的Windows后门。其次，它利用了AWS Lambda无服务器计算服务的一个合法功能——Lambda URLs，来"明目张胆地"隐藏其恶意活动，“创建了一个可靠、可扩展且难以检测的通信渠道”。

AWS Lambda URLs是AWS Lambda的一部分，允许用户通过HTTPS直接调用无服务器函数。在攻击中，HazyBeacon后门使用该服务建立C2通信，使攻击者能够进行隐蔽的情报收集。

攻击者还滥用合法基础设施来外泄窃取的数据，使用Google Drive和Dropbox作为外泄渠道，从而"与正常网络流量混合在一起"。“这次攻击活动突显了攻击者如何继续寻找新的方法来滥用合法、可信的云服务。”

恶意软件后门采取旁路攻击

Trellix的研究人员于6月底首次揭示了攻击者使用Lambda来隐藏C2活动的策略，指出这种隐蔽性"使得基于网络的检测几乎不可能，除非进行解密或深度行为分析"。

在Unit 42观察到的攻击中，HazyBeacon使用这种方法进行C2通信。然而，攻击者首先使用动态链接库（DLL）侧加载技术，通过在C:\Windows\assembly\mscorsvc.dll中放置恶意DLL，与合法的Windows可执行文件mscorsvw.exe一起部署后门。

在后门部署期间，攻击者还通过创建名为msdnetsvc的Windows服务，在被入侵的Windows端点上建立持久性，确保即使在系统重启后，HazyBeacon DLL仍会被加载。

当恶意DLL mscorsvc.dll通过AWS Lambda URL建立C2通道时，就发生了AWS Lambda的滥用。AWS Lambda无需服务器配置或管理即可响应事件运行代码；URL功能于2022年推出，通过为客户提供为Lambda函数配置专用HTTPS端点的方式扩展了此功能。

通过利用此功能，攻击者可以将C2流量与合法的AWS通信混合，从而逃避传统的网络检测。

在观察到的攻击中，一旦恶意软件开始向攻击者控制的Lambda URL端点发送信标，它就开始接收要执行的命令和要下载的额外有效载荷。因此，HazyBeacon下载并存储了各种有效载荷，用于在C:\ProgramData下收集文件和执行侦察。

研究人员指出，使用AWS和其他云服务中的合法通信——无论是通过创建新账户还是使用被入侵的账户——正成为攻击者越来越常见的策略。因此，安全团队应优先加强对云资源使用的监控，以便能够及时发现任何异常活动。

“这些团队还应制定检测策略，能够识别与可信云服务的可疑通信模式，以更好地检测和预防此类攻击。”

Unit 42在帖子中包含了一份入侵指标（IoCs）列表，以帮助识别潜在攻击。防御者可以设置他们的机器学习模型和分析技术，由这些IoCs触发，并使用行为威胁保护来检测和阻止在其云环境中执行具有恶意行为的进程。