Grupo Estatal usa AWS e Dropbox para Roubo de Dados Governamentais

Governos do Sudeste Asiático estão sendo alvo de uma campanha cibernética que usa um backdoor inédito no Windows, chamado HazyBeacon, para roubar dados sensíveis. A operação, atribuída a um grupo de espionagem estatal e rastreada pela Palo Alto Networks Unit 42 como CL-STA-1020, foca em informações sobre tarifas, disputas comerciais e políticas estratégicas na região.

O Sudeste Asiático tem se tornado um foco para ciberespionagem devido ao seu papel em negociações comerciais, modernização militar e alinhamento estratégico na disputa de influência entre EUA e China. Ao invadir agências governamentais, os atacantes buscam inteligência sobre políticas externas, infraestrutura e regulamentações que impactam mercados regionais e globais. Embora o vetor inicial de ataque ainda não tenha sido identificado, indícios apontam para o uso de DLL side-loading com um arquivo malicioso (“mscorsvc.dll”) e um executável legítimo (“mscorsvw.exe”).

O HazyBeacon estabelece comunicação com URLs controladas pelos invasores, permitindo executar comandos arbitrários e baixar outros módulos maliciosos. O diferencial do HazyBeacon é o uso de AWS Lambda URLs como canal de comando e controle (C2), explorando funcionalidades legítimas da Amazon para ocultar o tráfego malicioso e dificultar a detecção. Também foram identificados tentativas de exfiltrar dados via Google Drive e Dropbox, disfarçando o roubo de arquivos (doc, xls, pdf, entre outros) como tráfego comum. Por fim, os atacantes executam comandos de limpeza para eliminar rastros. Para especialistas, o caso evidencia uma tendência crescente de ameaças persistentes avançadas (APT) explorando serviços confiáveis, para manter acesso furtivo e persistente em redes-alvo.

Fonte: Boletinsec

Compartilhe com seus amigos:

Notícias relacionadas

Interactiva é uma empresa especializada para você entender o impacto das novas tecnologias

Suporte remoto

Clique no link abaixo para poder baixar o TeamViewer.