Một chiến dịch mã độc mới, được định danh là HazyBeacon và theo dõi dưới mã CL-STA-1020, đang lợi dụng hạ tầng đám mây tin cậy để thực hiện các cuộc tấn công mạng tinh vi. Chiến dịch này nhắm mục tiêu vào các mạng lưới chính phủ, ẩn mình trong các nền tảng đáng tin cậy như Amazon Web Services (AWS) để né tránh phát hiện truyền thống.
HazyBeacon không khai thác các lỗ hổng của chính AWS. Thay vào đó, nó tận dụng việc chiếm đoạt tài khoản AWS hợp lệ thuộc về các tổ chức không liên quan, sau đó triển khai các chức năng serverless nhẹ để làm điểm chuyển tiếp ẩn cho hoạt động Command and Control (C2).
Chiến dịch HazyBeacon: Mối đe dọa mạng trong hạ tầng đám mây
Mối đe dọa mới trong không gian đám mây
Chiến dịch HazyBeacon đại diện cho một hình thức tấn công mạng tiên tiến, sử dụng hạ tầng đám mây làm lớp vỏ bọc. Các tác nhân đe dọa tránh sử dụng các máy chủ C2 dễ bị chặn, mà thay vào đó, ngụy trang hoạt động của chúng bên trong các dịch vụ AWS hợp pháp.
Nghiên cứu của Qualys, được chia sẻ với Cyber Security News, cho biết chiến dịch này ban đầu được Palo Alto Networks Unit 42 ghi nhận vào tháng 7 năm 2025. Phân tích của Qualys đi sâu vào cơ chế kỹ thuật và đề xuất cách thức phòng thủ để phát hiện và ngăn chặn mối đe dọa đám mây này. Chi tiết về phân tích kỹ thuật của Qualys có thể được tìm thấy tại đây.
Cách thức hoạt động của HazyBeacon
Khi HazyBeacon được cài đặt trên máy tính Windows của nạn nhân, nó hoạt động như một backdoor nhẹ. Mục tiêu chính của nó là thu thập thông tin hệ thống cơ bản, bao gồm tên máy chủ (hostname), địa chỉ IP, và các đặc quyền người dùng (user privileges).
Mã độc này có khả năng nhận các lệnh mã hóa để thực thi các chỉ thị shell hoặc tải về các payload bổ sung. HazyBeacon sẽ bí mật tải lên các tài liệu bị đánh cắp và dữ liệu ghi lại từ bàn phím (keystrokes) về phía máy chủ của kẻ tấn công. Đây là một rủi ro bảo mật nghiêm trọng đối với dữ liệu nhạy cảm.
Kỹ thuật C2 ẩn mình qua AWS Lambda Function URLs
Tận dụng tính năng AWS Lambda Function URLs
Điểm độc đáo của chiến dịch này nằm ở cách nó giao tiếp với các máy bị nhiễm. Kẻ tấn công lợi dụng AWS Lambda Function URLs, một tính năng được giới thiệu vào tháng 4 năm 2022. Các URL này cho phép truy cập trực tiếp vào một hàm serverless từ internet mà không cần thông qua các dịch vụ như API Gateway.
Sự đơn giản này rất hữu ích cho các nhà phát triển, nhưng cũng dễ dàng bị vũ khí hóa. AWS Lambda Function URLs cung cấp hai chế độ xác thực: một yêu cầu người gọi ký bằng thông tin đăng nhập IAM hợp lệ, và một chế độ khác, được gọi là AuthType: NONE, cho phép bất kỳ ai gửi yêu cầu mà không cần xác thực.
Kẻ tấn công chọn tùy chọn AuthType: NONE để tạo ra một điểm chuyển tiếp HTTPS công khai bên trong hạ tầng AWS chỉ trong vài giây. Vì tên miền của điểm cuối kết thúc bằng .on.aws, lưu lượng truy cập này dễ dàng hòa lẫn với các dịch vụ Amazon đáng tin cậy, gây khó khăn cho việc phát hiện.
Cơ chế chuyển tiếp (Relay Mechanism)
Điểm chuyển tiếp này hoạt động như một trung gian im lặng. Mã độc gửi một yêu cầu HTTP POST được mã hóa đến một Lambda URL nằm trong một tài khoản AWS khác đã bị chiếm đoạt. Hàm Lambda đó sẽ loại bỏ các tiêu đề và chuyển tiếp payload đến máy chủ backend thực sự của kẻ tấn công, sau đó phản hồi được gửi lại qua cùng một đường dẫn.
Cả nạn nhân của mã độc lẫn chủ sở hữu tài khoản AWS bị lợi dụng thường không nhận ra sự bất thường cho đến khi nhận được thông báo lạm dụng hoặc một hóa đơn không mong muốn. Đây là một ví dụ rõ ràng về việc làm thế nào các dịch vụ đám mây hợp pháp có thể bị lạm dụng trong các cuộc tấn công mạng.
Chiếm đoạt thông tin đăng nhập IAM
Chiến dịch này không khai thác lỗ hổng trong bản thân AWS. Thay vào đó, kẻ tấn công đánh cắp các khóa truy cập IAM (Identity and Access Management) tĩnh từ các kho lưu trữ GitHub bị lộ hoặc thông qua các chiến dịch lừa đảo (phishing). Sau đó, chúng sử dụng các khóa này để xây dựng một điểm chuyển tiếp bên trong một tài khoản đám mây đã bị xâm nhập. Đây là một rủi ro bảo mật bắt nguồn từ việc quản lý danh tính kém hiệu quả.
Tác động và mục tiêu của mã độc
Thu thập thông tin hệ thống
Khi được triển khai, HazyBeacon thu thập một loạt thông tin cơ bản nhưng quan trọng từ hệ thống bị nhiễm. Các thông tin này bao gồm tên máy chủ, địa chỉ IP, và đặc quyền của người dùng hiện tại trên máy.
Việc thu thập các chi tiết này là bước đầu tiên để kẻ tấn công hiểu rõ hơn về môi trường nạn nhân và lên kế hoạch cho các bước tiếp theo trong chuỗi tấn công mạng.
Rò rỉ dữ liệu nhạy cảm
Bên cạnh việc thu thập thông tin hệ thống, khả năng đáng lo ngại nhất của HazyBeacon là bí mật tải lên các tài liệu bị đánh cắp và dữ liệu ghi lại từ bàn phím. Điều này có thể dẫn đến rò rỉ dữ liệu nhạy cảm, bao gồm thông tin cá nhân, tài liệu công ty bí mật, và các thông tin độc quyền khác.
Khả năng này biến HazyBeacon thành một công cụ nguy hiểm cho các hoạt động gián điệp mạng và đánh cắp dữ liệu quy mô lớn.
Phân tích kỹ thuật và Chuỗi tấn công (Kill Chain)
Giai đoạn chuẩn bị và triển khai
Cuộc tấn công mạng này tuân theo một chuỗi khai thác có thể dự đoán được, bắt nguồn từ vấn đề vệ sinh danh tính kém. Kẻ tấn công xác thực các khóa bị đánh cắp bằng các lệnh gọi API lặng lẽ. Sau đó, chúng tải lên một payload Python hoặc Node.js đã được nén dưới dạng hàm Lambda với tên gọi bình thường như “UpdateWorker”.
Việc triển khai này thường diễn ra ở các khu vực AWS ít được giám sát để tránh bị phát hiện. Mục tiêu là tạo ra một điểm C2 có khả năng chống chịu và khó bị theo dõi.
Chỉ số phát hiện xâm nhập (Indicators of Compromise – IOCs)
Mặc dù không có danh sách IOC cụ thể như địa chỉ IP hoặc tên miền trong báo cáo gốc, các tổ chức có thể tìm kiếm các dấu hiệu bất thường để phát hiện xâm nhập. Các hoạt động đáng ngờ có thể bao gồm:
- Các lệnh gọi API không có chữ ký hoặc bất thường liên quan đến việc tạo, cập nhật hoặc gọi hàm Lambda.
- Triển khai các hàm Lambda (đặc biệt là với AuthType: NONE) ở các khu vực AWS ít được sử dụng hoặc không phải sản xuất.
- Lưu lượng mạng HTTPS đến các miền .on.aws từ các hệ thống nội bộ bị nghi ngờ.
- Mô hình lưu lượng vào-ra một-một bất thường trong nhật ký dòng VPC (Virtual Private Cloud) của các hàm Lambda, cho thấy hoạt động chuyển tiếp.
- Các tên hàm Lambda chung chung hoặc đáng ngờ như “UpdateWorker” không khớp với quy ước đặt tên thông thường của tổ chức.
Chiến lược phòng chống và phát hiện
Tăng cường bảo mật IAM
Bước đầu tiên và quan trọng nhất trong việc phòng chống là duy trì vệ sinh IAM mạnh mẽ. Các nhóm an ninh mạng cần vô hiệu hóa các khóa truy cập không sử dụng, thực thi quy trình xoay vòng khóa định kỳ, và yêu cầu xác thực đa yếu tố (MFA) trên tất cả các tài khoản đám mây.
Những biện pháp kiểm soát này sẽ cắt đứt điểm xâm nhập chính mà chiến dịch HazyBeacon dựa vào, giảm thiểu rủi ro bảo mật từ việc thông tin đăng nhập bị lộ.
Giám sát nhật ký AWS CloudTrail
Việc bật ghi nhật ký AWS CloudTrail trên tất cả các khu vực là vô cùng quan trọng. CloudTrail ghi lại mọi lệnh gọi API được sử dụng để tạo hàm Lambda và Function URLs, từ đó giúp phơi bày các triển khai trái phép ngay cả ở những khu vực ít được giám sát.
Việc phát hiện hoạt động bất thường trong giai đoạn trinh sát có thể giúp xác định các thông tin đăng nhập bị xâm phạm trước khi một điểm chuyển tiếp C2 được kích hoạt và gây ra tấn công mạng quy mô lớn.
Áp dụng Chính sách kiểm soát dịch vụ (SCP)
Các tổ chức cũng nên áp dụng Chính sách kiểm soát dịch vụ (Service Control Policies – SCP) ở cấp độ AWS Organization. Điều này cho phép chặn các Lambda Function URLs được cấu hình với AuthType: NONE trừ khi chúng được phê duyệt rõ ràng thông qua việc gắn thẻ.
Biện pháp này ngăn chặn việc triển khai một điểm chuyển tiếp công khai ngay cả khi kẻ tấn công có được thông tin đăng nhập hợp lệ nhưng đã bị đánh cắp.
Giám sát chi phí và dòng lưu lượng VPC
Định tuyến các workload Lambda thông qua một Virtual Private Cloud (VPC) sẽ bổ sung thêm một lớp phát hiện. Lưu lượng chuyển tiếp C2 sẽ tạo ra mô hình vào-ra một-một, có thể dễ dàng nhận thấy trong các nhật ký dòng (flow logs) của VPC. Điều này cung cấp thêm manh mối để phát hiện xâm nhập.
Việc giám sát các bất thường về chi phí Lambda cũng là một biện pháp phòng thủ hiệu quả. Một điểm chuyển tiếp phục vụ nhiều máy bị nhiễm sẽ tạo ra khối lượng lệnh gọi khổng lồ, dẫn đến hóa đơn tăng đột biến, đặc biệt là ở các khu vực không dành cho sản xuất. Các cảnh báo ngân sách AWS chi tiết có thể làm nổi bật sự lạm dụng này trước khi nó lan rộng.
Việc chủ động áp dụng các biện pháp bảo mật này sẽ củng cố an ninh mạng tổng thể của tổ chức trước các mối đe dọa tiên tiến như HazyBeacon, đồng thời giảm thiểu rủi ro bảo mật liên quan đến hạ tầng đám mây.
