Des chercheurs en cybersécurité ont récemment mis en lumière une tactique émergente où des cybercriminels utilisent des endpoints AWS Lambda pour camoufler des activités malveillantes, contourner les systèmes de détection traditionnels et héberger des charges utiles malicieuses.
Une infrastructure “serverless” utilisée comme vecteur d’attaque
AWS Lambda est un service populaire d’AWS permettant d’exécuter du code sans gérer de serveurs. Son avantage principal — l’agilité et l’élasticité — devient aujourd’hui une opportunité pour les acteurs malveillants.
Problème identifié : les attaquants créent des fonctions Lambda personnalisées et activent leurs endpoints HTTP publics (Lambda Function URLs) pour servir :
Des scripts JavaScript malveillants,
Des payloads obfusqués,
Ou même des éléments servant au command-and-control (C2).
Ces endpoints apparaissent comme des domaines AWS légitimes, rendant leur détection très difficile dans les outils de sécurité traditionnels (proxy, filtrage DNS, SIEMOutil de gestion des journaux et alertes de sécurité. Wazuh détecte une tentative de compromission. Elastic).
Cas réels observés
L’équipe de Permiso Security a repéré une campagne dans laquelle des endpoints Lambda sont utilisés pour distribuer des scripts malveillants. Les URLs Lambda étant sécurisées par défaut, les attaquants contournent les contrôles en configurant des autorisations publiques ou mal implémentées.
Utilisations concrètes relevées :
Distribution de malwares via des liens “trustés” (AWS domain),
Connexions C2 cachées derrière des services cloud,
Dynamisme élevé : les fonctions Lambda peuvent être rapidement mises en place et supprimées après usage.
Pourquoi c’est préoccupant
Détournement de services cloud : cela complique l’attribution et la neutralisation.
Dissimulation : les URL AWS Lambda ne déclenchent souvent aucun avertissement.
Persistance faible : les fonctions Lambda peuvent ne vivre que quelques heures, rendant les preuves volatiles.
Ces tactiques sont similaires à celles observées avec les abus de Google Firebase, Microsoft Azure ou Cloudflare Workers pour camoufler des C2 ou du phishingHameçonnage par emails frauduleux imitant un service officiel. Email se faisant passer pour votre banque. PhishTank.
Recommandations
Pour les entreprises utilisant AWS, il est impératif de renforcer la surveillance sur les environnements serverless :
Inventorier toutes les fonctions Lambda actives et leurs URLs associées.
Restreindre les accès aux endpoints (authentification requise, IP whitelist).
Mettre en place une détection comportementale autour des fonctions Lambda exécutant du code externe ou suspect.
Intégrer ces éléments dans les règles de threat hunting internes.
Les SOCCentre opérationnel chargé de la surveillance et de la réaction à incidents. SOC alerte sur un comportement anormal. ANSSI doivent également considérer le trafic sortant vers *.lambda-url.[region].on.aws comme potentiellement suspect s’il n’est pas attendu.
En conclusion
L’utilisation malveillante d’AWS Lambda URLs illustre comment les attaquants adaptent leurs outils aux environnements cloud modernes pour gagner en discrétion. Les services serverless, mal surveillés, deviennent des vecteurs discrets d’intrusion et de persistance, appelant les entreprises à renforcer leur visibilité et leur contrôle sur les fonctions déployées.