APT‑Q‑27: Golden Eye Dog использует AWS S3 для сокрытия C2

Киберразведка зафиксировала, что группа, обозначенная как APT-Q-27 и известная также как Golden Eye Dog, применяет ресурсы облачной платформы Amazon Web Services (AWS) S3 для доставки и распределения вредоносных полезных нагрузок. Эта тактика демонстрирует, как злоумышленники всё активнее используют легитимные облачные сервисы для маскировки своей активности и обхода привычных средств обнаружения.

Что обнаружено

В отчёте указывается, что APT-Q-27 использовала объекты и сегменты AWS S3 для размещения вредоносных данных. Конкретная природа payload’ов в документе подробностей не содержит, но использование S3 чаще всего подразумевает одну или несколько следующих стратегий:

• размещение двоичных файлов вредоносного ПО для последующей загрузки на целевые машины;
• хостинг инфраструктуры управления и контроля (C2) или частей цепочки загрузки;
• использование доверенных доменов и сертификатов cloud-провайдера для снижения подозрительности трафика.

«APT-Q-27, также известный как Golden Eye Dog, был идентифицирован как использующий пакеты Amazon Web Services (AWS) S3 для распространения вредоносных полезных данных.»

География инфраструктуры и характер операций

Действия, приписываемые APT-Q-27, прослежены до ряда IP-адресов, большинство из которых расположены в Гонконге и Индии. Наличие множества адресов в этих регионах указывает на распределённую и координированную инфраструктуру, ориентированную на использование облачных возможностей для масштабирования операций без необходимости размещать вредоносные компоненты на собственных серверах.

Почему это опасно

Использование AWS S3 даёт злоумышленникам несколько преимуществ: масштабируемость, высокая доступность и доверие со стороны систем защиты (белые IP-диапазоны, известные домены). Это осложняет обнаружение и атрибуцию атак, увеличивает скорость распространения и снижает затраты на поддержание инфраструктуры злоумышленников.

Рекомендации по защите

Организациям рекомендуется срочно пересмотреть и усилить меры безопасности в облаке. Ключевые практики:

• внедрить и поддерживать принципы least privilege для IAM — минимальные права доступа и жёсткая сегментация учётных записей;
• проверять и корректировать разрешения для S3 bucket (исключить публичный доступ, контролировать ACL и политики bucket);
• включить детальный аудит и логирование (S3 access logs, AWS CloudTrail) и регулярно анализировать логи на предмет аномалий;
• использовать автоматическую проверку содержимого S3 на предмет вредоносных файлов и интегрированные сканеры безопасности;
• внедрить контроль исходящего трафика и фильтрацию, чтобы ограничить связь с подозрительными C2-инфраструктурами;
• организовать проактивную Threat Hunting с использованием индикаторов компрометации (IP, хэши, домены) и обмена threat intelligence;
• подготовить план реагирования на инциденты с учётом эксплойта облачных артефактов и возможностей быстрого удаления или изоляции скомпрометированных S3 объектов.

Вывод

Случай APT-Q-27 подчёркивает тенденцию: злоумышленники всё активнее эксплуатируют легитимные облачные сервисы, такие как AWS S3, для ретрансляции вредоносных операций. Принимаемые контрмеры — от строгого контроля прав доступа до постоянного мониторинга и сканирования — остаются ключевыми для снижения рисков. По мере развития угроз кибербезопасность облачных сред должна становиться приоритетом для организаций любых масштабов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "APT‑Q‑27: Golden Eye Dog использует AWS S3 для сокрытия C2".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.