Загрузка предыдущей публикации...
Загрузка предыдущих новостей...
Киберпреступники злоупотребляют ошибками в конфигурации AWS для получения доступа к инстансам. Затем они используют эти инстансы для создания новых служб SES и WorkMail, чтобы электронные письма могли обходить системы безопасности почты, оставаясь при этом скрытыми от внимания.
Эксперты утверждают, что недопустимые конфигурации в окружениях Amazon Web Services (AWS) используются для проведения фишинговых атак, способных обходить фильтры почты и достигать электронных ящиков пользователей. Исследователи из Palo Alto Networks’ Unit 42 недавно заметили группу под названием TGR-UNK-0011, которая проводит такие атаки. Эта группа значительно пересекается с другой группой — JavaGhost, активной с 2019 года. Начинала она с вандализма веб-сайтов и только в 2022 году перешла к фишингу в поисках финансовой выгоды.
Атаки начинаются с того, что злоумышленники получают AWS-ключи доступа пользователей. Это дает им доступ к Amazon Simple Email Service (SES) и WorkMail. Исследователи отметили: "JavaGhost получал долгосрочные ключи доступа, связанные с управлением удостоверениями и доступом (IAM), что позволяло им входить в AWS через командную строку (CLI)".
"С 2022 по 2024 год группа совершенствовала свои тактики до более продвинутых методов обхода защиты, пытаясь маскировать идентификации в логах CloudTrail. Этот прием ранее эксплуатировалась группой Scattered Spider."
После подтверждения доступа злоумышленники создают временные аккаунты и получают доступ к консоли. Затем они используют SES и WorkMail для установки фишинговой инфраструктуры, а также настройки SMTP-креденшалов для отправки фишинговых писем.
"В течение периода атак JavaGhost создает различные пользователей IAM. Некоторые из них используются во время атаки, другие остаются неиспользованными," — объясняют исследователи. "Неиспользуемые пользователи IAM кажутся долгосрочными механизмами устойчивости."
Так как электронные письма отправляются от известного и легитимного источника, они обходят защиты почты и достигают ящиков получателей. Эти сообщения также выглядят более достоверно, так как между двумя сторонами скорее всего были предыдущие коммуникации.
Важные детали о том, что тысячи сайтов WordPress были взломаны через плагин, направленный на кражу пользовательских данных, собраны в нашем обзоре лучших менеджеров паролей. Мы также подготовили руководство по лучшим приложениям для двухфакторной аутентификации.
Нет статей для отображения
Загрузка предыдущей публикации...
Загрузка следующей публикации...
Загрузка предыдущих новостей...
Загрузка следующих новостей...