HazyBeaconは、CL-STA-1020として識別されたクラウドネイティブ型のステルスマルウェアキャンペーンです。Amazon Web Services(AWS)のLambda関数URLを悪用してひそかなコマンド&コントロール(C2)チャネルを構築しており、攻撃者の手口が大きく進化していることを示しています。
Qualysの最新調査によると、このキャンペーンは主に東南アジアの政府機関を標的としており、設定ミスのあるサーバーレスインフラを悪用することで、悪意あるトラフィックを正規のクラウド通信に紛れ込ませています。
HazyBeaconによるAWS Lambda関数URLの悪用手口
VPSサーバーや侵害済みドメインといった攻撃者所有のインフラに依存する従来のC2アーキテクチャとは異なり、HazyBeaconは「借用インフラ」という手法を採用しています。正規のAWS環境内に悪意あるコンポーネントを展開することで、実質的に他社のインフラを踏み台にしています。
攻撃者はまず、公開されたGitHubリポジトリやフィッシングキャンペーン、または侵害された開発者環境から窃取したIdentity and Access Management(IAM)認証情報を使って初期アクセスを確立します。
こうした認証情報を利用してLambda関数を作成し、AuthTypeをNONEに設定した公開Function URLとして外部に公開することで、認証制御を事実上無効化します。
展開されたLambda関数はプロキシとして機能し、感染エンドポイントと攻撃者のバックエンドインフラ間でトラフィックを中継します。被害者システム上で動作するマルウェアは暗号化されたHTTPリクエストでLambda URLと通信し、そのリクエストが攻撃者の管理するサーバーへと転送される仕組みです。
レスポンスも同じ経路を逆方向に辿ることで、耐障害性の高いステルス通信ループが形成されます。すべてのトラフィックが「on.aws」で終わる信頼済みAWSドメインから発信されているように見えるため、従来のネットワーク防御やドメインレピュテーションシステムでは検出・ブロックが困難です。
このマルウェアは、柔軟性と持続性を重視した軽量なモジュール型フレームワークとして動作します。主な機能として、システム偵察、リモートコマンド実行、ペイロード配信、データ窃取などを備えています。
感染システム上のフットプリントを最小限に抑え、通信ロジックをAWSインフラにオフロードすることで、HazyBeaconは検知されにくさを保ちながら、高い運用効率を維持しています。
このキャンペーンを可能にしている重要な要因が、AWS Lambda関数URLのシンプルさと低い可視性です。2022年に導入されたこの機能は、API GatewayやロードバランサーなしにHTTPSエンドポイント経由でサーバーレス関数を公開できるものです。
運用負荷を軽減できる反面、設定ミスがあるとセキュリティリスクにつながります。認証のない公開エンドポイントは、AWSの高い信頼性を利用した即席かつスケーラブルなC2機構を攻撃者に提供してしまいます。
攻撃のライフサイクルは、クラウド中心の予測可能なキルチェーンをたどります。認証情報の侵害後、攻撃者はget-caller-identityやポリシー列挙といったノイズの少ないAPIコールで権限を確認します。
次に、監視が手薄な地域で無害に見える命名規則を使ってLambda関数を展開し、検知を回避します。公開Function URLを付与することで持続性を確立した後は、侵害されたAWSアカウントが知らぬ間に世界規模のC2ネットワークの一端を担い、1時間あたり数千もの悪意あるリクエストを処理するようになります。
この活動をMITRE ATT&CKフレームワークに照らすと、有効なアカウントの悪用(T1078.004)、サーバーレス実行(T1648)、Webサービスベースのコマンド&コントロール(T1102)への依存が浮き彫りになります。
注目すべき点として、このキャンペーンはAWS自体の脆弱性を突いているわけではなく、脆弱なアイデンティティガバナンスと不十分な監視体制を利用しています。クラウドセキュリティのhygiene(衛生管理)がいかに重要かを改めて示す事例です。
こうした脅威への対策として、防御側はアイデンティティ中心のセキュリティコントロールを優先すべきです。多要素認証の徹底、アクセスキーのローテーション、未使用認証情報の削除により、不正アクセスのリスクを大幅に低減できます。
さらに、全リージョンにわたって包括的なAWS CloudTrailのログ記録を有効化することで、未承認のLambdaデプロイを含む不審なAPIアクティビティの可視性を確保できます。
インフラの挙動監視も同様に重要です。プロキシとして使用されるLambda関数は独特のトラフィックパターンを示し、インバウンドとアウトバウンドの接続比率がほぼ1対1になる傾向があります。
VPCフローログと異常検知を組み合わせることで、こうした挙動を特定できます。また、サービスコントロールポリシー(SCP)を実装して明示的な承認なしに公開Function URLが作成できないよう制限することで、サーバーレス公開に対するゼロトラストモデルを効果的に適用できます。
HazyBeaconキャンペーンは、クラウドネイティブな攻撃対象領域へのより大きなシフトを浮き彫りにしています。攻撃者が正規サービスを武器化することで、検知を回避し帰属の特定を困難にしているのです。
クラウド導入が加速する中、インフラの設定ミスやアイデンティティの脆弱性が、信頼されたプラットフォームをサイバー諜報活動の一部に変えてしまう危険性を、組織は認識しなければなりません。
クラウド環境が攻撃者のコマンドインフラと化すことを防ぐには、継続的な監視、厳格なアクセス制御、そしてプロアクティブな検知戦略が不可欠です。
翻訳元: https://gbhackers.com/hazybeacon-abuses-aws-lambda-function/
