CL-STA-1020として追跡されているHazyBeaconと呼ばれるサイバースパイ活動が新たに記録されました。このキャンペーンは、Amazon Web Services(AWS)を悪用してステルス性の高いコマンド&コントロール(C2)チャネルを構築しており、防御側による検出が極めて困難な手法を用いています。
このキャンペーンは主に東南アジアの政府ネットワークを標的としており、クラウドネイティブな攻撃インフラへの移行という大きなトレンドを体現しています。
この設定ミスにより、脅威アクターは信頼性の高いAWS環境内に秘密の通信リレーを構築することが可能となり、悪意のあるトラフィックを正規のクラウドアクティビティに巧妙に偽装することができます。
従来、C2インフラは仮想プライベートサーバーや侵害されたウェブサイト上の攻撃者管理サーバーに置かれていました。セキュリティチームはIPレピュテーション、ドメインインテリジェンス、既知の悪意あるエンドポイントのブロックに依存してきました。しかし、クラウドプラットフォームの普及によって、こうした境界線は曖昧になっています。
HazyBeaconキャンペーンでは、攻撃者はもはや外部インフラに頼りません。代わりに、窃取したIAM(Identity and Access Management)認証情報を使い、正規のAWSアカウント内に悪意のあるリレーポイントを直接展開します。
攻撃は認証情報の侵害から始まります。脅威アクターは、公開リポジトリへの露出、フィッシングキャンペーン、またはローカルの認証情報ファイルを収集するマルウェアを通じてAWSアクセスキーを入手します。
これらの認証情報は長期間有効で管理が不十分なケースが多く、悪用に格好の標的となっています。アクセスを確立した後、攻撃者は低ノイズなAPI呼び出しで権限を確認し、Lambda関数の作成とパブリックエンドポイントの設定が可能かどうかを調べます。
Palo Alto Networks Unit 42が2025年7月に公開した調査によると、攻撃者はAuthTypeをNONEに設定したAWS Lambda Function URLを悪用しており、認証なしのパブリックアクセスを可能にしています。
HazyBeaconキャンペーンによるAWS悪用の手口
権限確認後、攻撃者は標準的なAWS APIを使って軽量なLambda関数を展開します。これらの関数は通常、無害に見える名称が付けられ、監視が手薄な地域に配置されることが多いです。
重要なステップは、AuthTypeをNONEに設定したFunction URLを有効にすることです。これにより、認証なしでパブリックなHTTPSエンドポイントとして関数が公開されます。
Lambda関数はその後、感染したシステムと攻撃者のバックエンドインフラの間のプロキシとして機能します。侵害されたエンドポイント上のマルウェアは、AWS内でホストされているLambda URLに暗号化されたHTTPリクエストを送信します。
関数はペイロードを攻撃者管理サーバーに転送し、指令を受け取り、それをマルウェアに中継します。これにより、被害者と攻撃者の双方がAWSインフラとのみ通信しているように見える「中間者」アーキテクチャが形成されます。
このアプローチは、検出と帰属をいっそう困難にします。防御側の視点からは、ネットワークトラフィックはon.awsで終わる信頼済みAWSドメインとの通常のHTTPS通信に見えます。
一方、攻撃者のバックエンドにはAWSから発信されるトラフィックとして映るため、真の発信元がさらに隠蔽されます。多くの場合、AWSアカウントのオーナーは異常な請求額や不正利用報告が浮上するまで気づかないままです。
マルウェア自体は軽量かつ柔軟なフレームワークとして動作します。ホストの詳細情報を収集するシステム列挙を実行し、暗号化チャネルで配信されたリモートコマンドを実行するほか、文書やキーストロークを含むデータ窃取もサポートしています。
このキャンペーンの有効性は、悪用された機能のシンプルさと正当性にあります。2022年に導入されたAWS Lambda Function URLは、API Gatewayのような複雑な設定なしにサーバーレス関数を公開できる機能です。
便利な反面、この機能は攻撃者がパブリック向けインフラを数秒で展開できる摩擦の少ない経路を生み出しています。
セキュリティ専門家は、これはAWS自体の脆弱性ではなく、アイデンティティおよび設定管理の失敗であると強調しています。
組織はリスクを低減するために、厳格なIAMコントロールの実施、定期的な認証情報のローテーション、CloudTrailのグローバルロギングの有効化、異常を検知するためのVPCフローログの監視を実施することが重要です。
さらに、Lambda Function URLの公開を制限するサービスコントロールポリシーの実装と継続的な設定監査も、悪用防止に有効な手段です。
HazyBeaconキャンペーンは、攻撃者が信頼されたクラウドサービスを検出回避に武器化するという広範なトレンドを浮き彫りにしています。クラウド導入が加速する中、可視性とアイデンティティガバナンスはエンタープライズセキュリティの重要な柱となっています。
MITRE ATT&CK
| 戦術 | テクニックID | テクニック名 | HazyBeaconにおける使用状況 |
| 初期アクセス | T1078.004 | 有効なアカウント:クラウドアカウント | 窃取した静的IAMアクセスキーを使用してクラウド環境に侵入。 |
| 実行 | T1648 | サーバーレス実行 | 侵害されたユーザーセッションとは独立して持続する新しいLambda関数の作成。 |
| 防御回避 | T1564 | アーティファクトの隠蔽 | 未使用リージョンへの展開、無害な命名規則(「BackupHandler」「ImageResizer」など)の使用。 |
| コマンド&コントロール | T1102 | Webサービス | 正規のWebトラフィックに紛れるため、通信チャネルとしてAWS Lambdaを利用。 |
| コマンド&コントロール | T1090 | プロキシ | Lambda関数が真の通信先を隠すための中継ポイントとして機能。 |
翻訳元: https://gbhackers.com/hazybeacon-campaign-abuses-aws/
