Chiến dịch tấn công mạng tinh vi có tên HazyBeacon, được theo dõi là CL-STA-1020, đang nhắm mục tiêu vào các mạng lưới chính phủ tại khu vực Đông Nam Á. Kẻ tấn công lợi dụng AWS Lambda Function URLs như những kênh chuyển tiếp chỉ huy và kiểm soát (C2) bí mật, làm cho hoạt động của chúng trở nên khó bị phát hiện.
Lợi dụng hạ tầng đám mây để che giấu hoạt động
Các nhà nghiên cứu bảo mật đã quan sát thấy kẻ tấn công khai thác các tính năng serverless được cấu hình sai và thông tin đăng nhập đám mây bị đánh cắp. Mục đích là để trộn lẫn lưu lượng truy cập độc hại vào cơ sở hạ tầng AWS đáng tin cậy, khiến việc phát hiện trở nên cực kỳ khó khăn. Cách tiếp cận này đánh dấu sự thay đổi so với các phương pháp truyền thống, nơi mã độc thường dựa vào các máy chủ do kẻ tấn công sở hữu, dễ dàng bị chặn bởi các biện pháp bảo vệ dựa trên IP hoặc tên miền.
HazyBeacon đại diện cho một mô hình C2 dựa trên đám mây (cloud-native C2), nơi kẻ tấn công triển khai hạ tầng của chúng trong các môi trường đám mây hợp pháp. Trong chiến dịch này, các hệ thống bị xâm nhập giao tiếp với các Lambda Function URLs được lưu trữ trên AWS.
Do lưu lượng truy cập đi qua các miền AWS đáng tin cậy, nó xuất hiện dưới dạng vô hại đối với hầu hết các công cụ bảo mật, qua mặt hiệu quả các biện pháp phòng thủ mạng thông thường. Đây là một ví dụ điển hình về các mối đe dọa mạng ngày càng tinh vi.
Cơ chế hoạt động của HazyBeacon
Cốt lõi của cuộc tấn công là việc lạm dụng AWS Lambda Function URLs được cấu hình với AuthType: NONE. Cấu hình này cho phép truy cập công khai, không cần xác thực. Các điểm cuối này cung cấp một giao diện HTTPS đơn giản mà không yêu cầu API Gateway hoặc bộ cân bằng tải, do đó giảm thiểu khả năng hiển thị và chi phí vận hành.
Kẻ tấn công khai thác thông tin xác thực IAM bị đánh cắp để tạo các hàm Lambda trong các tài khoản AWS bị xâm nhập. Sau đó, chúng cấu hình các Function URLs công khai và sử dụng chúng làm proxy để chuyển tiếp các giao tiếp được mã hóa từ mã độc. Một điểm cuối độc hại điển hình có dạng như sau:
https://<function-name>.lambda-url.<region>.on.awsVì sử dụng miền “on.aws” đáng tin cậy, lưu lượng truy cập trông có vẻ hợp pháp, tạo ra vấn đề “lookalike” (trông giống thật) cho các nhà phòng thủ.
Chuỗi tấn công và hạ tầng đi mượn
HazyBeacon tuân theo mô hình cơ sở hạ tầng đi mượn (borrowed-infrastructure), trong đó kẻ tấn công vũ khí hóa các môi trường đám mây của bên thứ ba. Chuỗi tấn công bao gồm các bước sau:
- Chiếm đoạt thông tin xác thực: Khóa IAM bị đánh cắp từ các kho lưu trữ bị lộ hoặc chiến dịch lừa đảo (phishing).
- Triển khai hạ tầng: Kẻ tấn công tạo các hàm Lambda bằng cách sử dụng các API AWS hợp pháp.
- Thiết lập kênh chuyển tiếp: Kích hoạt các Function URLs công khai để truyền lệnh.
- Giao tiếp C2: Mã độc gửi các yêu cầu được mã hóa tới Lambda, hàm Lambda này chuyển tiếp chúng đến các máy chủ do kẻ tấn công kiểm soát và chuyển tiếp phản hồi trở lại.
Theo nghiên cứu của Qualys, các hệ thống bị nhiễm giao tiếp với hạ tầng của kẻ tấn công thông qua các kênh chuyển tiếp AWS Lambda, che giấu đích đến C2 thực sự phía sau lưu lượng đám mây hợp pháp. Đây là một kỹ thuật nguy hiểm, cho thấy tầm quan trọng của việc cập nhật bản vá và giám sát liên tục.
Khả năng và Tác động của HazyBeacon
HazyBeacon là một backdoor nhẹ nhưng có khả năng mạnh mẽ. Nó có thể thu thập thông tin hệ thống, thực thi các lệnh từ xa và trích xuất dữ liệu nhạy cảm, bao gồm tài liệu và dữ liệu gõ phím. Kẻ tấn công sử dụng AWS Lambda để ẩn các giao tiếp trong lưu lượng đám mây thông thường, khai thác các điểm yếu về quản lý định danh và cấu hình thay vì các lỗ hổng CVE của AWS.
Biện pháp phòng chống và giảm thiểu rủi ro
Các biện pháp phòng chống hiệu quả tập trung vào khả năng hiển thị (visibility) và kiểm soát truy cập. Việc thực thi quản lý IAM chặt chẽ, bao gồm luân chuyển khóa và xác thực đa yếu tố (MFA), là vô cùng quan trọng. Bật ghi nhật ký AWS CloudTrail trên tất cả các khu vực để phát hiện hoạt động API trái phép.
Giám sát nhật ký lưu lượng VPC (VPC flow logs) để xác định các mẫu lưu lượng bất thường giống như proxy. Áp dụng Chính sách Kiểm soát Dịch vụ (SCPs) để chặn các Lambda Function URLs có quyền truy cập công khai trừ khi được phê duyệt rõ ràng. Theo dõi các bất thường về chi phí, vì các kênh C2 quy mô lớn sẽ tạo ra khối lượng lệnh gọi Lambda cao.
HazyBeacon nhấn mạnh một xu hướng ngày càng tăng, nơi kẻ tấn công tái sử dụng các dịch vụ đám mây hợp pháp làm hạ tầng hoạt động. Bằng cách chuyển C2 vào các nền tảng đáng tin cậy như AWS, kẻ thù có được sự tàng hình, khả năng mở rộng và khả năng phủ nhận hợp lý. Các tổ chức cần thích ứng bằng cách ưu tiên bảo mật lấy định danh làm trung tâm, giám sát cấu hình liên tục và phân tích hành vi của các khối lượng công việc đám mây.
Trong môi trường đám mây, mọi lệnh gọi API và thay đổi cấu hình đều được ghi lại. Tận dụng điều này, vì khả năng hiển thị là chìa khóa để phát hiện và ngăn chặn các mối đe dọa trước khi chúng biến hạ tầng thành vũ khí. Một ví dụ về việc khai thác tương tự nhưng ở góc độ khác có thể tìm thấy tại [AWS Security Blog](https://aws.amazon.com/blogs/security/).
