Обнаружены ошибки конфигурации AWS, используемые для запуска фишинговых атак

Киберпреступники злоупотребляют ошибками в конфигурации AWS для получения доступа к инстансам. Затем они используют эти инстансы для создания новых служб SES и WorkMail, чтобы электронные письма могли обходить системы безопасности почты, оставаясь при этом скрытыми от внимания.

Эксперты утверждают, что недопустимые конфигурации в окружениях Amazon Web Services (AWS) используются для проведения фишинговых атак, способных обходить фильтры почты и достигать электронных ящиков пользователей. Исследователи из Palo Alto Networks’ Unit 42 недавно заметили группу под названием TGR-UNK-0011, которая проводит такие атаки. Эта группа значительно пересекается с другой группой — JavaGhost, активной с 2019 года. Начинала она с вандализма веб-сайтов и только в 2022 году перешла к фишингу в поисках финансовой выгоды.

Атаки начинаются с того, что злоумышленники получают AWS-ключи доступа пользователей. Это дает им доступ к Amazon Simple Email Service (SES) и WorkMail. Исследователи отметили: "JavaGhost получал долгосрочные ключи доступа, связанные с управлением удостоверениями и доступом (IAM), что позволяло им входить в AWS через командную строку (CLI)".

"С 2022 по 2024 год группа совершенствовала свои тактики до более продвинутых методов обхода защиты, пытаясь маскировать идентификации в логах CloudTrail. Этот прием ранее эксплуатировалась группой Scattered Spider."

После подтверждения доступа злоумышленники создают временные аккаунты и получают доступ к консоли. Затем они используют SES и WorkMail для установки фишинговой инфраструктуры, а также настройки SMTP-креденшалов для отправки фишинговых писем.

"В течение периода атак JavaGhost создает различные пользователей IAM. Некоторые из них используются во время атаки, другие остаются неиспользованными," — объясняют исследователи. "Неиспользуемые пользователи IAM кажутся долгосрочными механизмами устойчивости."

Так как электронные письма отправляются от известного и легитимного источника, они обходят защиты почты и достигают ящиков получателей. Эти сообщения также выглядят более достоверно, так как между двумя сторонами скорее всего были предыдущие коммуникации.

Важные детали о том, что тысячи сайтов WordPress были взломаны через плагин, направленный на кражу пользовательских данных, собраны в нашем обзоре лучших менеджеров паролей. Мы также подготовили руководство по лучшим приложениям для двухфакторной аутентификации.