黑客利用 AWS 配置错误通过 SES 和 WorkMail 发起网络钓鱼攻击

据 Palo Alto Networks Unit 42 的调查发现，网络犯罪分子正将目标对准亚马逊网络服务（AWS）环境，向毫无戒心的目标推送网络钓鱼活动。

这家网络安全公司正在追踪一个名为 TGR-UNK-0011（代表动机不明的威胁组织）的活动集群，该公司表示，该集群与一个名为 JavaGhost 的组织有重叠。据悉，TGR-UNK-0011 自 2019 年以来一直活跃。

“该组织历史上一直专注于网站篡改，”安全研究员玛格丽特・凯利（Margaret Kelley）表示。“2022 年，他们转向发送网络钓鱼电子邮件以谋取经济利益。”

值得注意的是，这些攻击并未利用 AWS 的任何漏洞。相反，威胁行为者利用受害者环境中暴露的 AWS 访问密钥的配置错误，通过滥用亚马逊简单电子邮件服务（SES）和 WorkMail 服务发送网络钓鱼消息。

这样一来，其作案手法的好处是无需托管或支付自己的基础设施来开展恶意活动。

更重要的是，这使得威胁行为者的网络钓鱼消息能够绕过电子邮件保护，因为这些数字信件源自目标组织之前接收过电子邮件的已知实体。

“JavaGhost 获得了与身份和访问管理（IAM）用户相关的暴露的长期访问密钥，这使他们能够通过命令行界面（CLI）获得对 AWS 环境的初始访问权限，”凯利解释道。

“在 2022 年至 2024 年期间，该组织演变了他们的战术，采用了更高级的防御规避技术，试图在 CloudTrail 日志中隐藏身份。这种战术历史上曾被 Scattered Spider 利用。”

一旦确认获得对组织 AWS 账户的访问权限，攻击者就会生成临时凭证和登录 URL 以允许控制台访问。Unit 42 指出，这使他们能够隐藏自己的身份并查看 AWS 账户内的资源。

随后，该组织被观察到利用 SES 和 WorkMail 建立网络钓鱼基础设施，创建新的 SES 和 WorkMail 用户，并设置新的 SMTP 凭证以发送电子邮件消息。

“在攻击的时间范围内，JavaGhost 创建了各种 IAM 用户，其中一些他们在攻击期间使用，而另一些他们从未使用，”凯利说道。“未使用的 IAM 用户似乎充当长期持久性机制。”

威胁行为者作案手法的另一个显著特点是创建了一个带有信任策略的新 IAM 角色，从而允许他们从其控制的另一个 AWS 账户访问组织的 AWS 账户。

“该组织继续在攻击过程中留下相同的标记，通过创建名为 Java_Ghost 的新亚马逊弹性云计算（EC2）安全组，其组描述为‘我们存在但不可见’，”Unit 42 总结道。“这些安全组不包含任何安全规则，该组织通常不会尝试将这些安全组附加到任何资源。安全组的创建出现在 CloudTrail 日志的 CreateSecurityGroup 事件中。”

消息来源：The Hacker News； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；