المهاجمون يستغلون خدمات AWS السحابية لاستهداف حكومات جنوب شرق آسيا

تقدم حملة التجسس السيبراني هذه باب خلفي جديد يسمى HazyBeacon، وتستخدم قنوات الاتصال السحابية المشروعة لأغراض التحكم والقيادة (C2) واستخراج البيانات، مما يساعدها على إخفاء أنشطتها الخبيثة.

يستهدف المهاجمون الكيانات الحكومية في جنوب شرق آسيا باستخدام فيروس وصول عن بُعد (RAT) جديد يعمل على نظام Windows، معتمدين على تكتيك فريد للتحكم والقيادة (C2) يستغل خدمات Amazon Web Services (AWS) Lambda وغيرها من الخدمات المشروعة لإخفاء أنشطتهم الخبيثة.

اكتشف الباحثون في وحدة 42 التابعة لشركة Palo Alto Networks ما أطلقوا عليه "مجموعة من الأنشطة المشبوهة" التي يتتبعونها تحت اسم CL-STA-1020، والتي تقوم بسرقة المعلومات من الوكالات الحكومية في المنطقة، بما في ذلك بيانات حول التعريفات والنزاعات التجارية الأخيرة، كما كشفوا في a blog post نُشر في 14 يوليو.

تتميز هذه الحملة بعدة أسباب، كما أشار الباحثون. أولاً، تستخدم باب خلفي جديد يسمى HazyBeacon. ثانياً، تستغل ميزة مشروعة من خدمة AWS Lambda للحوسبة بدون خادم تُعرف باسم Lambda URLs، لإخفاء أنشطتها الخبيثة "في العلن، مما يخلق قناة اتصالات موثوقة وقابلة للتوسع وصعبة الاكتشاف"، كما كتب الباحث الرئيسي في التهديدات في Palo Alto Networks، ليروشبرغر، في المنشور.

تسمح Lambda URLs للمستخدمين باستدعاء الوظائف بدون خادم مباشرة عبر HTTPS. في الهجوم، يستخدم باب HazyBeacon الخلفي هذه الخدمة لإنشاء اتصالات C2، مما يسمح للمهاجمين بالانخراط في جمع المعلومات بشكل سري.

كما يستغل المهاجمون البنية التحتية المشروعة لاستخراج البيانات المسروقة، باستخدام Google Drive وDropbox كقنوات للاستخراج، مما يساعدهم على "الاندماج مع حركة المرور العادية"، كما أضاف ليروشبرغر. "تسلط هذه الحملة الضوء على كيفية استمرار المهاجمين في إيجاد طرق جديدة لاستغلال خدمات السحابة المشروعة والموثوقة."

مقالات ذات صلة

الأمن السيبراني

كلمات مرور قوية: دليلك لتأمين حساباتك ضد الاختراق

منذ 15 ساعة 0

الأمن السيبراني

تحذير: ثغرة Dell خطيرة يستغلها قراصنة صينيون

منذ 3 أيام 0

الأمن السيبراني

فخ 'اكتمل النسخ': لماذا قرصك مليء بالملفات التالفة؟

منذ 3 أيام 0

الأمن السيبراني

تحذير: ثغرات خطيرة في إضافات VSCode تهدد 128 مليون مطور

منذ 3 أيام 0

الأمن السيبراني

إسبانيا تأمر NordVPN وProtonVPN بحجب مواقع قرصنة LaLiga

منذ 3 أيام 0

الأمن السيبراني

حكم تاريخي: إسبانيا تأمر NordVPN بحجب مواقع القرصنة

منذ 3 أيام 0

باب خلفي للبرمجيات الخبيثة يدخل من الباب الجانبي

كشف الباحثون في Trellix لأول مرة عن تكتيك المهاجمين باستخدام Lambda لإخفاء أنشطة C2 في أواخر يونيو، مشيرين إلى أن مثل هذا الإخفاء "يجعل الكشف القائم على الشبكة شبه مستحيل دون فك التشفير أو التحليل السلوكي العميق"، وفقًا لتقريرهم.

في الهجوم الذي رصدته وحدة 42، يستخدم HazyBeacon هذه الطريقة للتواصل C2. ومع ذلك، أولاً، يستخدم المهاجمون تحميل مكتبة الارتباط الديناميكي (DLL) لنشر الباب الخلفي عن طريق زرع DLL خبيث في C:\Windows\assembly\mscorsvc.dll، بجانب تنفيذ Windows المشروع، mscorsvw.exe.

"عندما تم تفعيل mscorsvw.exe بواسطة خدمته المسجلة في Windows، قام بتحميل DLL البديل الخبيث بدلاً من مكتبة Microsoft المشروعة،" كتب ليروشبرغر. "ثم اتصل بعنوان Lambda URL الذي يتحكم فيه المهاجم."

أثناء نشر الباب الخلفي، يقوم المهاجمون أيضًا بإنشاء استمرارية على نقطة النهاية المدمرة في Windows عن طريق إنشاء خدمة Windows تُدعى msdnetsvc، مما يضمن تحميل DLL HazyBeacon حتى بعد إعادة تشغيل النظام.

إساءة استخدام AWS Lambda

تحدث إساءة استخدام AWS Lambda عندما يقوم DLL الخبيث، mscorsvc.dll، بإنشاء قناة C2 عبر عنوان Lambda URL. تقوم AWS Lambda بتشغيل الشيفرة استجابةً للأحداث دون الحاجة إلى توفير أو إدارة الخادم؛ وتقدم ميزة URLs، التي تم تقديمها في عام 2022، هذه الوظيفة من خلال توفير طريقة للعملاء لتكوين نقاط نهاية HTTPS مخصصة لوظائف Lambda.

"تسمح هذه النقاط النهاية باستدعاء الوظائف مباشرة باستخدام طلبات الويب القياسية، دون الحاجة إلى تكوينات معقدة لبوابة API،" كتب ليروشبرغر. من خلال استغلال هذه الميزة، يسمح المهاجم بدمج حركة مرور C2 مع الاتصالات المشروعة لـ AWS، مما يمكن أن يتجنب الكشف التقليدي على الشبكة، كما قال.

بمجرد أن بدأت البرمجيات الخبيثة في إرسال إشارات إلى نقطة نهاية Lambda URL التي يتحكم فيها المهاجم عند <محجوز>.lambda-url.ap-southeast-1.on[.]aws خلال الهجوم الملاحظ، بدأت في تلقي الأوامر للتنفيذ وحزم إضافية للتنزيل. ونتيجة لذلك، قام HazyBeacon بتنزيل وتخزين حزم متنوعة لجمع الملفات وأداء الاستطلاع تحت C:\ProgramData.

تتبع استخدام موارد السحابة للتخفيف من التهديدات السيبرانية

أصبح استخدام الاتصالات المشروعة ضمن AWS وغيرها من خدمات السحابة - سواء من خلال إنشاء حسابات جديدة أو باستخدام حسابات مخترقة - تكتيكًا شائعًا بشكل متزايد للمهاجمين، كما أشار الباحثون. لهذا السبب، يجب على فرق الأمان إعطاء الأولوية لمراقبة معززة لاستخدام موارد السحابة حتى يتمكنوا من متابعة أي نشاط غير عادي، كما قال ليروشبرغر.

"يجب على هذه الفرق أيضًا تطوير استراتيجيات الكشف التي يمكن أن تحدد أنماط الاتصال المشبوهة مع خدمات السحابة الموثوقة لتحسين الكشف والوقاية من مثل هذه الهجمات،" أضاف.

تضمن تقرير وحدة 42 قائمة بمؤشرات الاختراق (IoCs) في المنشور لمساعدة في تحديد الهجوم المحتمل. يمكن للدفاعات ضبط نماذج التعلم الآلي وتقنيات التحليل لتفعيلها بواسطة تلك المؤشرات، بالإضافة إلى استخدام حماية التهديدات السلوكية لاكتشاف ومنع تنفيذ العمليات ذات السلوك الخبيث في بيئاتهم السحابية.