Uma campanha de ciberespionagem furtiva, rastreada como HazyBeacon (CL-STA-1020), está explorando funcionalidades de nuvem da Amazon Web Services (AWS) para estabelecer comunicações de comando e controle (C2) indetectáveis. Pesquisadores de segurança da Qualys observaram que os atacantes estão abusando de URLs de funções Lambda da AWS configuradas com acesso público para mascarar tráfego malicioso como tráfego legítimo da nuvem.
Esta técnica representa uma evolução significativa nas táticas de ataque, onde os criminosos não dependem mais de servidores próprios, mas sim de infraestrutura legítima de terceiros para esconder suas atividades. O alvo principal da campanha são redes governamentais no Sudeste Asiático, mas a técnica pode ser aplicada contra qualquer organização que utilize serviços em nuvem.
HazyBeacon abusa de urls de lambda da aws
No centro do ataque está o uso indevido de URLs de funções Lambda da AWS configuradas com AuthType: NONE, o que permite acesso público e não autenticado. Esses endpoints fornecem uma interface HTTPS simples sem a necessidade de API Gateway ou balanceadores de carga, reduzindo a visibilidade e a sobrecarga operacional para os atacantes.
Os exploradores utilizam credenciais IAM roubadas para criar funções Lambda em contas AWS comprometidas e configuram URLs de função públicas. Essas funções são usadas como proxies para relays de comunicações criptografadas vindas de malware. Um endpoint malicioso típico se assemelha a https://.lambda-url..on.aws. Como utiliza o domínio confiável "on.aws", o tráfego parece legítimo, criando um problema de "semelhante" para os defensores.
Modelo de infraestrutura emprestada
O HazyBeacon segue um modelo de infraestrutura emprestada, no qual os atacantes armam ambientes de nuvem de terceiros. A cadeia de ataque inclui:
- Comprometimento de credenciais: Chaves IAM são roubadas de repositórios expostos ou campanhas de phishing.
- Implantação de infraestrutura: Os atacantes criam funções Lambda usando APIs legítimas da AWS.
- Configuração de relay: URLs de função públicas são habilitadas para transmissão de comandos.
- Comunicação C2: O malware envia solicitações criptografadas para o Lambda, que as encaminha para servidores controlados pelos atacantes e retransmite as respostas.
De acordo com a pesquisa da Qualys, os sistemas infectados se comunicam com a infraestrutura do atacante através de relays do AWS Lambda, mascarando o verdadeiro destino do comando e controle atrás de tráfego de nuvem legítimo.
Impacto e alcance da espionagem
O HazyBeacon é um backdoor leve que perfila sistemas, executa comandos remotos e exfiltra dados, incluindo documentos e digitações de teclado. Os atacantes usaram o AWS Lambda para esconder comunicações dentro do tráfego normal da nuvem, explorando práticas fracas de identidade e configuração em vez de vulnerabilidades da AWS.
Isso destaca uma tendência crescente onde os atacantes reaproveitam serviços legítimos de nuvem como infraestrutura operacional. Ao mudar o C2 para plataformas confiáveis como a AWS, os adversários ganham furtividade, escalabilidade e negação plausível.
Medidas de mitigação recomendadas
As defesas eficazes focam em visibilidade e controle de acesso. As organizações devem adotar as seguintes medidas para proteger seus ambientes contra o HazyBeacon e técnicas similares:
- Higiene de IAM: Reforçar a segurança de credenciais, incluindo rotação de chaves e autenticação multifator (MFA).
- Logging do CloudTrail: Habilitar o registro do AWS CloudTrail em todas as regiões para detectar atividade de API não autorizada.
- Monitoramento de VPC: Monitorar logs de fluxo de VPC para identificar padrões de tráfego incomuns que se assemelhem a proxies.
- Políticas de Controle de Serviço (SCPs): Aplicar SCPs para bloquear URLs de função Lambda com acesso público, a menos que explicitamente aprovadas.
- Rastreamento de custos: Monitorar anomalias de custos, pois relays C2 em grande escala geram altos volumes de invocações de Lambda.
O que os CISOs devem fazer imediatamente
Os executivos de segurança devem priorizar a segurança centrada em identidade, o monitoramento contínuo de configuração e a análise comportamental de cargas de trabalho de nuvem. Em ambientes de nuvem, cada chamada de API e alteração de configuração é registrada, aproveitando o fato de que a visibilidade é fundamental para detectar e interromper ameaças antes que transformem a infraestrutura em uma arma.
A adoção de uma postura de segurança proativa, incluindo a revisão de políticas de acesso e a implementação de controles de segurança em camadas, é fundamental para proteger a infraestrutura contra este tipo de campanha em larga escala.
Perguntas frequentes
Qual é o risco principal do HazyBeacon?
O risco principal é o uso de infraestrutura legítima para esconder comunicações maliciosas, dificultando a detecção por ferramentas de segurança tradicionais.
Como saber se meu ambiente foi afetado?
Verifique os logs do CloudTrail e monitore o tráfego de rede em busca de padrões incomuns de comunicação com URLs de Lambda.
É necessário desativar o Lambda?
Não necessariamente. A chave é aplicar políticas de segurança rigorosas e monitorar o uso de URLs públicas em funções Lambda.