🔥 この記事の詳細
2026-06-25 更新
B
今週中

東南アジアの政府機関を標的とするWindowsバックドア「HazyBeacon」が、AWS LambdaのFunction URLをC2中継サーバーとして悪用し…

脆弱性🌐 英語ソース
📅 2026-06-25📰 ithome_tw
📌 一言でいうと
東南アジアの政府機関を標的とするWindowsバックドア「HazyBeacon」が、AWS LambdaのFunction URLをC2中継サーバーとして悪用していることが判明しました。攻撃者は盗み出したIAM認証情報を用いて、認証不要(AuthType: NONE)のHTTPSエンドポイントを構築し、通信を正規のAWSトラフィックに偽装しています。これにより、ホスト情報の収集や機密ファイルの窃取、リモートコマンドの実行が行われます。
🔍該当判定
  • AWS(Amazon Web Services)を利用している
  • AWS Lambda を利用してプログラムを動かしている
  • AWSの管理画面(IAM)で、アクセスキーを長期間変更せずに使い続けている
  • AWS Lambda の『関数URL』を、認証なし(AuthType: NONE)で外部公開している
上記いずれにも該当しない → 静観でOK
該当時の対応
未使用のIAMアクセスキーの削除、定期的なキー更新、MFAの有効化、AWS CloudTrailの全リージョン有効化、およびSCP(サービス制御ポリシー)によるAuthType: NONEのLambda Function URL作成制限を推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】AWS Lambdaを悪用したC2通信(HazyBeacon)への対応について

お疲れさまです。AWS Lambdaの悪用に関する情報共有です。

■ 概要
Windowsバックドア「HazyBeacon」が、盗まれたIAM権限を用いてAWS Lambda Function URL(AuthType: NONE)をC2中継点として利用し、通信を正規のAWSトラフィック(on.awsドメイン)に偽装する手法が確認されました。

■ 影響範囲
- AWSを利用している環境(特にIAM権限設定が不十分なアカウント)

■ 対応手順
1. 未使用のIAMアクセスキーの削除および定期的なローテーションの実施
2. 全ユーザーへの多要素認証(MFA)の強制適用
3. 全リージョンでのAWS CloudTrailログ記録の有効化
4. SCP(サービス制御ポリシー)を用いて、AuthType: NONE の公開Lambda Function URLの作成を制限する
5. Lambdaの呼び出し回数やコストの異常値モニタリングの強化

■ 参考情報
- Qualys 分析レポート

対応優先度: 中
対応期限: 速やかに確認
Subject: [Security Advisory] Abuse of AWS Lambda for C2 Traffic (HazyBeacon)

Dear IT/Security Team,

We are sharing information regarding a technique used by the HazyBeacon backdoor to evade detection.

■ Overview
Attackers are leveraging stolen IAM credentials to deploy AWS Lambda functions with 'AuthType: NONE' Function URLs. This allows them to use the 'on.aws' domain as a C2 relay, blending malicious traffic with legitimate AWS cloud communications.

■ Scope
- AWS environments with overly permissive IAM roles or leaked credentials.

■ Mitigation Steps
1. Delete unused IAM access keys and implement regular key rotation.
2. Enforce Multi-Factor Authentication (MFA) for all IAM users.
3. Enable AWS CloudTrail logging across all regions.
4. Implement Service Control Policies (SCPs) to restrict the creation of public Lambda Function URLs with AuthType: NONE.
5. Monitor Lambda invocation metrics and costs for anomalies.

■ Reference
- Qualys Analysis

Priority: Medium
Deadline: Immediate review
🔗 元の記事を読む
← トップへ戻る🗓 2026-06-25 のまとめ🔍 記事を検索