HazyBeacon(CL-STA-1020)と名付けられた高度なクラウドネイティブ型マルウェアキャンペーンが、Amazon Web Services(AWS)のLambda Function URLを悪用して隠密なコマンド&コントロール(C2)チャネルを構築していることが明らかになりました。この手口は、攻撃者の戦術における大きな進化を示しています。
Qualysが記録したこのキャンペーンは、主に東南アジアの政府機関を標的としており、設定ミスのあるサーバーレスインフラを悪用することで、悪意のあるトラフィックを正規のクラウド通信にシームレスに紛れ込ませています。
HazyBeaconは、VPSサーバーや侵害されたドメインなど攻撃者所有のインフラに依存する従来のC2アーキテクチャとは異なり、正規のAWS環境内に悪意のあるコンポーネントを展開する「借用インフラ」モデルで動作します。
攻撃者はまず、公開されたGitHubリポジトリ、フィッシングキャンペーン、または侵害された開発者環境から窃取したIAM(Identity and Access Management)認証情報を使って初期アクセスを確立します。
これらの認証情報を用いて、Lambda関数を展開し、AuthTypeをNONEに設定した公開Function URLで外部に公開することで、インフラレベルの認証制御をすべて回避します。
展開されたLambda関数は透過型プロキシとして機能し、感染したエンドポイントと攻撃者のバックエンドサーバーの間で暗号化されたHTTPトラフィックを中継します。
応答は同じ経路を逆方向に辿り、耐性が高く検知されにくい通信ループを形成します。
すべてのトラフィックがon.awsで終わる信頼されたAWSドメインから発信されているように見えるため、従来のネットワーク防御やドメインレピュテーションシステムでは検知・ブロックが困難であり、攻撃者は侵害された環境への持続的かつ低視認性のアクセスを維持できます。
このキャンペーンを支える重要な要素が、AWS Lambda Function URLのアーキテクチャ上のシンプルさです。
2022年に導入されたこの機能は、API GatewayやロードバランサーなしでサーバーレスファンクションをHTTPSエンドポイントとして公開できるもので、正規の用途では運用負荷を軽減します。
しかし、設定ミスにより認証なしで放置された場合、これらの公開エンドポイントはAWSのグローバルな信頼性を継承したスケーラブルなC2メカニズムを攻撃者に即座に提供します。
これにより、多くのエンタープライズセキュリティチームにとってネットワーク境界でのブロックは事実上困難になります。攻撃のライフサイクルは、ゼロデイ悪用ではなく、IDおよび設定の不備を起点とした予測可能なクラウド中心のキルチェーンをたどります。
初期の認証情報窃取の後、攻撃者はget-caller-identityやIAMポリシー列挙といったノイズの少ないAPIコールでアカウント権限を確認します。
続いて、監視が手薄なAWSリージョンに無害に見える命名規則でLambda関数を展開します。
公開Function URLを付与することで永続性が確立され、侵害されたAWSアカウントは知らぬ間にグローバルなC2ネットワークの一端を担うことになります。このアカウントは標準的なアラートしきい値を超えることなく、1時間に数千件もの悪意あるリクエストを処理し続けます。
このアクティビティをMITRE ATT&CKフレームワークに当てはめると、正規アカウントの悪用(T1078.004)、サーバーレス実行(T1648)、リージョン分散によるアーティファクト隠蔽(T1564)、Webサービスを介したC2通信(T1102)が該当します。
重要なのは、このキャンペーンがAWS自体の脆弱性を突くものではなく、ID管理の甘さと監視の不足を利用している点です。これは、クラウドセキュリティの衛生管理が最前線の防御課題であることを改めて示しています。
防御側はまず、IDを中心とした制御を優先すべきです。多要素認証の強制、アクセスキーの定期的なローテーション、未使用認証情報の削除により、不正なインフラ展開のリスクを大幅に低減できます。
Qualysによると、全リージョンにわたってAWS CloudTrailの包括的なログを有効化することで、不正なLambda関数の作成やFunction URL設定イベントを含む不審なAPIアクティビティの可視性が確保されます。
インフラの挙動の監視も同様に重要です。C2プロキシとして使用されるLambda関数は、インバウンドとアウトバウンドの接続比率がほぼ1対1になるという特徴的なトラフィックパターンを示します。
VPCフローログと異常検知を組み合わせることで、この挙動を浮き彫りにできます。
また、AWSオーガニゼーションレベルでService Control Policiesを実装し、明示的に承認された場合を除いて公開Function URLの作成を制限することで、サーバーレス公開に対するゼロトラストモデルが強制され、この種の攻撃の主要な前提条件の一つが排除されます。
HazyBeaconキャンペーンは、クラウドネイティブな攻撃面へのより大きなシフトを浮き彫りにしています。攻撃者は正規サービスを武器化することで検知を回避し、攻撃の帰属を困難にしています。
クラウド導入が加速する中、インフラの設定ミスやIDの脆弱性は、信頼されたプラットフォームをサイバースパイ活動の構成要素へと静かに変貌させる可能性があります。
翻訳元: https://cyberpress.org/hazybeacon-malware-abuses-aws-lambda/
