Uma campanha estatal vem atacando governos do Sudeste Asiático, usando serviços em nuvem como AWS e Dropbox para exfiltrar dados sensíveis. O monitoramento dessas ações é essencial para evitar vazamentos de inteligência estratégica.
A operação utiliza um backdoor Windows inédito, chamado HazyBeacon, implantado via técnica de sideloading de DLL. Ele estabelece comunicação com servidores de comando e controle hospedados no AWS Lambda, dificultando a detecção por parecer tráfego legítimo. Após instalar o backdoor como serviço (msdnetsvc), o grupo realizava coleta de informações em agências governamentais sobre políticas externas, infraestrutura e regulamentações.
Para exfiltrar dados, a campanha utilizou Dropbox (e Google Drive em alguns casos), camuflando o envio como uso normal de nuvem. Isso dificulta a identificação em análises de rede ou inspeção tradicional
Dica de prevenção
Monitore serviços em nuvem como AWS Lambda — rastreie URLs e padrões atípicos de uso em C2.
Bloqueie sideloading de DLLs e serviços suspeitos como 'msdnetsvc' via AppLocker ou políticas de execução.
Inspecione TLS e tráfego HTTPS de nuvem, usando proxy com SSL inspection para identificar uploads para Dropbox ou Google Drive não autorizados.
Implemente EDR/SIEM com foco em combinação de eventos: criação de serviço + comunicação Lambda + upload para nuvem.
Audite privilégios no endpoint e restringa permissões de escrita em pastas como C:\Windows\assembly.
Caso como esse mostra a sofisticação de ataques que usam infraestrutura legítima para espionagem governamental. Combinar monitoração de nuvem, controle de execução de DLLs e análise profunda de rede é fundamental para evitar esse tipo de ameaça. A LC SEC pode ajudar sua organização a implementar essas defesas estratégicas. Saiba mais: lcsec.io