-
09/04/2020
-
108
-
959 bài viết
HazyBeacon: Mã độc lợi dụng AWS Lambda để đánh cắp dữ liệu chính phủ Đông Nam Á
Một chiến dịch gián điệp mạng tinh vi đang âm thầm nhắm vào các cơ quan chính phủ tại Đông Nam Á bằng mã độc cửa hậu chưa từng được ghi nhận trước đây trên Windows, có tên HazyBeacon.
Chiến dịch này được theo dõi bởi nhóm Unit 42 của Palo Alto Networks với mã định danh CL-STA-1020, nhắm đến việc đánh cắp các thông tin mật liên quan đến chính sách thuế quan, tranh chấp thương mại và định hướng chiến lược quốc gia. Trong bối cảnh Đông Nam Á ngày càng trở thành tâm điểm cạnh tranh giữa các cường quốc, đặc biệt là Mỹ và Trung Quốc, khu vực này đã nổi lên như một mục tiêu hấp dẫn của các chiến dịch do thám nhằm chiếm lợi thế trong thương mại, quân sự và chính sách đối ngoại toàn cầu.
Hiện chưa xác định rõ cách thức mà HazyBeacon xâm nhập vào hệ thống, nhưng bằng chứng cho thấy nhóm tấn công sử dụng kỹ thuật DLL side-loading. Mã độc cài một phiên bản DLL độc hại có tên mscorsvc.dll cùng với tập tin thực thi hợp pháp của Windows là mscorsvw.exe. Khi được kích hoạt, DLL độc hại thiết lập kết nối đến máy chủ điều khiển do kẻ tấn công kiểm soát, cho phép thực thi các lệnh tùy ý và tải thêm payload xuống thiết bị bị xâm nhập. Để đảm bảo tồn tại lâu dài trên hệ thống, mã độc thiết lập một dịch vụ tự khởi động lại cùng hệ điều hành.
Điểm nổi bật khiến HazyBeacon trở nên nguy hiểm là việc nó sử dụng AWS Lambda URLs làm kênh điều khiển. Đây là chức năng hợp pháp trong nền tảng đám mây của Amazon cho phép gọi các hàm serverless thông qua HTTPS. Kẻ tấn công đã lợi dụng đặc điểm này để ngụy trang lưu lượng C2, khiến nó giống như các hoạt động hợp lệ và khó bị phát hiện. Việc sử dụng các dịch vụ đám mây phổ biến như AWS tạo ra một kênh liên lạc vừa đáng tin cậy vừa khó phân biệt với lưu lượng bình thường, cho phép mã độc âm thầm hoạt động dưới lớp vỏ hợp pháp.
Các chuyên gia khuyến cáo cần đặc biệt theo dõi lưu lượng outbound đến các tên miền ít phổ biến như *.lambda-url.*.amazonaws.com, nhất là khi các kết nối này bắt nguồn từ tiến trình bất thường hoặc dịch vụ hệ thống không rõ nguồn gốc. Việc giám sát đơn thuần theo địa chỉ IP hoặc tên miền không còn đủ hiệu quả. Thay vào đó, cần áp dụng kỹ thuật phát hiện dựa trên ngữ cảnh, bao gồm phân tích chuỗi tiến trình cha – con, truy vết mối quan hệ thực thi giữa các tiến trình và giám sát hành vi endpoint theo thời gian thực. Những phương pháp này giúp xác định liệu một kết nối đến dịch vụ AWS Lambda là hành vi hợp lệ của ứng dụng hay là một kênh điều khiển ngụy trang tinh vi do mã độc thiết lập. Trong môi trường mà các dịch vụ đám mây ngày càng phổ biến, khả năng phân biệt rõ ràng giữa hoạt động bình thường và hành vi lẩn tránh được thiết kế khéo léo chính là chìa khóa để phát hiện sớm các mối đe dọa tinh vi như HazyBeacon.
HazyBeacon còn tải về một mô-đun chuyên thu thập dữ liệu, có khả năng quét và lọc các tập tin định dạng phổ biến như doc, docx, xls, xlsx và pdf, giới hạn trong một khoảng thời gian nhất định. Mục tiêu là truy vết các tài liệu chứa thông tin nhạy cảm, trong đó có cả những nội dung liên quan đến các chính sách thuế quan mới của Hoa Kỳ. Sau khi thu thập, dữ liệu được tìm cách exfiltrate thông qua các dịch vụ lưu trữ đám mây quen thuộc như Google Drive và Dropbox. Việc tận dụng các nền tảng phổ biến giúp lưu lượng độc hại hòa lẫn vào hoạt động mạng hợp lệ, gây khó khăn cho các hệ thống giám sát truyền thống. Trong sự cố được Unit 42 phân tích, nỗ lực tải dữ liệu ra ngoài qua các dịch vụ này đã bị chặn, song vẫn cho thấy chiến thuật tinh vi của kẻ tấn công khi chủ động lợi dụng các hạ tầng đám mây đáng tin cậy để che giấu hành vi và tránh hệ thống giám sát.
Sau khi hoàn tất việc đánh cắp dữ liệu, mã độc thực hiện các lệnh dọn dẹp nhằm xóa mọi dấu vết trên hệ thống, bao gồm các bản lưu trữ của tập tin thu thập được và các payload trung gian. Theo phân tích của Unit 42, HazyBeacon chính là công cụ chính giúp nhóm tấn công duy trì hiện diện và đánh cắp dữ liệu tại các tổ chức bị nhắm mục tiêu.
Chiến dịch này là minh chứng rõ ràng cho xu hướng ngày càng phổ biến trong các nhóm mối đe dọa tinh vi. Lợi dụng hạ tầng và dịch vụ đám mây hợp pháp để trốn tránh các biện pháp phòng thủ bảo mật đang trở thành lựa chọn ưu tiên. Xu hướng này, thường được gọi là “living off trusted services” (LOTS) cũng từng xuất hiện trong các chiến dịch sử dụng Google Workspace, Microsoft Teams hay Dropbox API nhằm duy trì quyền truy cập và né tránh hệ thống phát hiện truyền thống.
Chiến dịch này được theo dõi bởi nhóm Unit 42 của Palo Alto Networks với mã định danh CL-STA-1020, nhắm đến việc đánh cắp các thông tin mật liên quan đến chính sách thuế quan, tranh chấp thương mại và định hướng chiến lược quốc gia. Trong bối cảnh Đông Nam Á ngày càng trở thành tâm điểm cạnh tranh giữa các cường quốc, đặc biệt là Mỹ và Trung Quốc, khu vực này đã nổi lên như một mục tiêu hấp dẫn của các chiến dịch do thám nhằm chiếm lợi thế trong thương mại, quân sự và chính sách đối ngoại toàn cầu.
Hiện chưa xác định rõ cách thức mà HazyBeacon xâm nhập vào hệ thống, nhưng bằng chứng cho thấy nhóm tấn công sử dụng kỹ thuật DLL side-loading. Mã độc cài một phiên bản DLL độc hại có tên mscorsvc.dll cùng với tập tin thực thi hợp pháp của Windows là mscorsvw.exe. Khi được kích hoạt, DLL độc hại thiết lập kết nối đến máy chủ điều khiển do kẻ tấn công kiểm soát, cho phép thực thi các lệnh tùy ý và tải thêm payload xuống thiết bị bị xâm nhập. Để đảm bảo tồn tại lâu dài trên hệ thống, mã độc thiết lập một dịch vụ tự khởi động lại cùng hệ điều hành.
Điểm nổi bật khiến HazyBeacon trở nên nguy hiểm là việc nó sử dụng AWS Lambda URLs làm kênh điều khiển. Đây là chức năng hợp pháp trong nền tảng đám mây của Amazon cho phép gọi các hàm serverless thông qua HTTPS. Kẻ tấn công đã lợi dụng đặc điểm này để ngụy trang lưu lượng C2, khiến nó giống như các hoạt động hợp lệ và khó bị phát hiện. Việc sử dụng các dịch vụ đám mây phổ biến như AWS tạo ra một kênh liên lạc vừa đáng tin cậy vừa khó phân biệt với lưu lượng bình thường, cho phép mã độc âm thầm hoạt động dưới lớp vỏ hợp pháp.
Các chuyên gia khuyến cáo cần đặc biệt theo dõi lưu lượng outbound đến các tên miền ít phổ biến như *.lambda-url.*.amazonaws.com, nhất là khi các kết nối này bắt nguồn từ tiến trình bất thường hoặc dịch vụ hệ thống không rõ nguồn gốc. Việc giám sát đơn thuần theo địa chỉ IP hoặc tên miền không còn đủ hiệu quả. Thay vào đó, cần áp dụng kỹ thuật phát hiện dựa trên ngữ cảnh, bao gồm phân tích chuỗi tiến trình cha – con, truy vết mối quan hệ thực thi giữa các tiến trình và giám sát hành vi endpoint theo thời gian thực. Những phương pháp này giúp xác định liệu một kết nối đến dịch vụ AWS Lambda là hành vi hợp lệ của ứng dụng hay là một kênh điều khiển ngụy trang tinh vi do mã độc thiết lập. Trong môi trường mà các dịch vụ đám mây ngày càng phổ biến, khả năng phân biệt rõ ràng giữa hoạt động bình thường và hành vi lẩn tránh được thiết kế khéo léo chính là chìa khóa để phát hiện sớm các mối đe dọa tinh vi như HazyBeacon.
HazyBeacon còn tải về một mô-đun chuyên thu thập dữ liệu, có khả năng quét và lọc các tập tin định dạng phổ biến như doc, docx, xls, xlsx và pdf, giới hạn trong một khoảng thời gian nhất định. Mục tiêu là truy vết các tài liệu chứa thông tin nhạy cảm, trong đó có cả những nội dung liên quan đến các chính sách thuế quan mới của Hoa Kỳ. Sau khi thu thập, dữ liệu được tìm cách exfiltrate thông qua các dịch vụ lưu trữ đám mây quen thuộc như Google Drive và Dropbox. Việc tận dụng các nền tảng phổ biến giúp lưu lượng độc hại hòa lẫn vào hoạt động mạng hợp lệ, gây khó khăn cho các hệ thống giám sát truyền thống. Trong sự cố được Unit 42 phân tích, nỗ lực tải dữ liệu ra ngoài qua các dịch vụ này đã bị chặn, song vẫn cho thấy chiến thuật tinh vi của kẻ tấn công khi chủ động lợi dụng các hạ tầng đám mây đáng tin cậy để che giấu hành vi và tránh hệ thống giám sát.
Sau khi hoàn tất việc đánh cắp dữ liệu, mã độc thực hiện các lệnh dọn dẹp nhằm xóa mọi dấu vết trên hệ thống, bao gồm các bản lưu trữ của tập tin thu thập được và các payload trung gian. Theo phân tích của Unit 42, HazyBeacon chính là công cụ chính giúp nhóm tấn công duy trì hiện diện và đánh cắp dữ liệu tại các tổ chức bị nhắm mục tiêu.
Chiến dịch này là minh chứng rõ ràng cho xu hướng ngày càng phổ biến trong các nhóm mối đe dọa tinh vi. Lợi dụng hạ tầng và dịch vụ đám mây hợp pháp để trốn tránh các biện pháp phòng thủ bảo mật đang trở thành lựa chọn ưu tiên. Xu hướng này, thường được gọi là “living off trusted services” (LOTS) cũng từng xuất hiện trong các chiến dịch sử dụng Google Workspace, Microsoft Teams hay Dropbox API nhằm duy trì quyền truy cập và né tránh hệ thống phát hiện truyền thống.
Theo The Hacker News