DLL hijacking + AWS Lambda = HazyBeacon: новая формула невидимого государственного шпионажа

Государственные учреждения Юго-Восточной Азии оказались в центре новой кибершпионской кампании, нацеленной на сбор конфиденциальной информации с использованием ранее неизвестного вредоносного инструмента для Windows под названием HazyBeacon. Эта активность отслеживается специалистами Palo Alto Networks Unit 42 под обозначением CL-STA-1020, где «CL» указывает на кластер угроз, а «STA» — на предполагаемую государственную поддержку действий злоумышленников.

По данным аналитика Лиора Рохбергера, киберпреступники сосредоточились на получении данных, касающихся деятельности государственных ведомств, включая документы о тарифных мерах и спорах в сфере международной торговли. В последние годы регион Юго-Восточной Азии всё чаще становится объектом подобных атак из-за его роли в глобальных переговорах, военном сотрудничестве и балансировании между интересами США и Китая. Доступ к информации о внутренней политике, изменениях в инфраструктуре и торговом регулировании позволяет получить стратегическое преимущество на геополитической арене.

Точный способ проникновения HazyBeacon на устройства пока не установлен, но обнаружено использование технологии подмены библиотек DLL . Атакующие размещают вредоносную версию файла «mscorsvc.dll» рядом с легитимным исполняемым файлом Windows «mscorsvw.exe». После запуска бинарного файла вредоносная библиотека инициирует связь с управляющим сервером, который позволяет загружать дополнительные модули и выполнять произвольные команды. Устойчивость вредоносной программы обеспечивается за счёт системной службы, автоматически запускающей DLL при перезагрузке.

Особенность HazyBeacon заключается в использовании облачных URL-адресов AWS Lambda для связи с командным центром. Такая тактика позволяет замаскировать вредоносный трафик под обычное облачное взаимодействие, что усложняет обнаружение угроз. Lambda-функции, работающие через HTTPS, дают злоумышленникам стабильный и практически незаметный канал управления, используя официальную инфраструктуру Amazon .

Защите помогает отслеживание нестандартных обращений к облачным адресам вида «*.lambda-url.*.amazonaws.com», особенно если они инициированы непривычными процессами. Хотя само использование AWS не является признаком угрозы, контекстный анализ — например, сопоставление источника процесса, связей между родительскими и дочерними задачами и аномалий в поведении системы — может выявить скрытые атаки.

Один из загружаемых модулей представляет собой сборщик документов, предназначенный для поиска файлов с расширениями doc, docx, xls, xlsx и pdf. При этом сбор данных ограничен определённым временным диапазоном, что позволяет точечно извлекать только актуальные документы. Зафиксированы попытки обнаружения информации, касающейся недавних тарифных решений, принятых США.

Для вывода данных злоумышленники прибегают к популярным облачным сервисам вроде Google Drive и Dropbox. Это позволяет им маскировать передачу файлов под обычную пользовательскую активность. Однако в конкретном случае, проанализированном Unit 42, эти попытки были заблокированы средствами безопасности.

На финальной стадии атаки киберпреступники запускают команды по удалению следов деятельности — удаляют временные архивы, загруженные вредоносные компоненты и другие артефакты, оставленные в процессе операции.

По оценке специалистов, HazyBeacon стал основным инструментом для закрепления в системе и извлечения информации. Эта кампания является примером того, как злоумышленники всё активнее используют надёжные облачные платформы в качестве каналов маскировки и управления.

Такая стратегия — часть более широкой тенденции, известной как Living-off-Trusted-Sites ( LoTS ), когда вредоносные программы используют легитимные API от Google Workspace, Microsoft Teams или Dropbox для обхода средств защиты и сохранения доступа.