有许多组织运用无伺服器(Serverless)的运算服务,部分骇客也盯上这类服务并用于攻击行动,例如,2022年资安业者Cado Security
在这波攻击活动里,骇客运用名为HazyBeacon的后门程式引起Palo Alto Networks的注意,因为该后门程式滥用AWS Lambda的函数URL功能建立C2通讯。此功能的主要用途,是让使用者能直接透过HTTPS呼叫无伺服器运算的功能,一旦攻击者滥用这种合法功能,就能建立具备可靠、可延伸的通道,但难以察觉相关恶意行为。 不过,这种滥用AWS Lambda函数URL功能的手法,并非CL-STA-1020独有。例如,今年6月,资安业者Trellix揭露在恶意软体HazyBeacon的攻击行动里,骇客在渗透阶段,多半使用合法的服务,达到掩盖非法行为的目的,其中包含了Google Drive、Dropbox等知名的云端档案共用服务,目的是外流从受害电脑窃得的档案。 究竟这个后门程式如何入侵受害电脑,Palo Alto Networks并未提及,但他们看到骇客透过DLL侧载手法载入后门,作案的工具包含恶意DLL档案mscorsvc.dll,以及公用程式mscorsvw.exe。一旦该公用程式被注册的Windows服务触发,就会载入恶意DLL档案,并连上骇客控制的AWS Lambda函式URL。