حملات فیشینگ از طریق SES و WorkMail

آیا می‌دانستید هکرها از اشتباهات پیکربندی ساده در سرویس‌های ابری AWS برای ارسال ایمیل‌های فیشینگ استفاده می‌کنند؟ چگونه یک گروه هکری با استفاده از دسترسی‌های لو رفته، هویت خود را در گزارش‌های ابری مخفی می‌کند و ایمیل‌های مخرب را از طریق سرویس‌های معتبر ارسال می‌کند؟

هکرها با سوء استفاده از پیکربندی‌های نادرست AWS حملات فیشینگ را از طریق SES و WorkMail اجرا می‌کنند

به گزارش زوم تک از پالو آلتو نتورکس یونیت 42، بازیگران تهدید با هدف قرار دادن محیط‌های آمازون وب سرویس (AWS) کمپین‌های فیشینگ را به سوی اهداف ناآگاه سوق می‌دهند. شرکت امنیت سایبری این خوشه فعالیت را تحت نام TGR-UNK-0011 (مخفف گروه تهدید با انگیزه نامشخص) ردیابی می‌کند، که به گفته این شرکت، با گروهی به نام JavaGhost همپوشانی دارد. TGR-UNK-0011 از سال 2019 فعال بوده است.

تغییر تاکتیک هکرها از تخریب وب‌سایت‌ها به فیشینگ مالی

مارگارت کلی، محقق امنیتی، گفت: «این گروه به طور تاریخی بر تخریب وب‌سایت‌ها تمرکز داشت. در سال 2022، آن‌ها برای کسب سود مالی به ارسال ایمیل‌های فیشینگ روی آوردند.»

سوء استفاده از پیکربندی‌های نادرست AWS به جای آسیب‌پذیری‌ها

شایان ذکر است که این حملات از هیچ آسیب‌پذیری در AWS سوء استفاده نمی‌کنند. بلکه بازیگران تهدید از پیکربندی‌های نادرست در محیط‌های قربانیان که کلیدهای دسترسی AWS آن‌ها را در معرض دید قرار می‌دهد، برای ارسال پیام‌های فیشینگ با سوء استفاده از سرویس ایمیل ساده آمازون (SES) و سرویس WorkMail استفاده می‌کنند. با انجام این کار، روش عملیاتی از مزیت عدم نیاز به میزبانی یا پرداخت هزینه زیرساخت خود برای انجام فعالیت‌های مخرب برخوردار است.

عبور از محافظت‌های ایمیل با استفاده از هویت‌های معتبر

علاوه بر این، این امر پیام‌های فیشینگ بازیگر تهدید را قادر می‌سازد تا از محافظت‌های ایمیل عبور کنند، زیرا پیام‌های دیجیتال از یک نهاد شناخته شده که سازمان هدف قبلاً از آن ایمیل دریافت کرده است، منشا می‌گیرند. کلی توضیح داد: «JavaGhost کلیدهای دسترسی بلندمدت لو رفته مرتبط با کاربران مدیریت هویت و دسترسی (IAM) را به دست آورد که به آن‌ها اجازه دسترسی اولیه به محیط AWS از طریق رابط خط فرمان (CLI) را می‌داد.»

تکامل تاکتیک‌ها برای پنهان کردن هویت در گزارش‌های CloudTrail

کلی افزود: «بین سال‌های 2022 تا 2024، این گروه تاکتیک‌های خود را به تکنیک‌های پیشرفته‌تر فرار از دفاع تکامل دادند که تلاش می‌کنند هویت‌ها را در گزارش‌های CloudTrail مبهم کنند. این تاکتیک به طور تاریخی توسط Scattered Spider مورد سوء استفاده قرار گرفته است.»

ایجاد اعتبارنامه‌های موقت و دسترسی به کنسول برای پنهان کردن هویت

پس از تأیید دسترسی به حساب AWS سازمان، مهاجمان اعتبارنامه‌های موقت و یک URL ورود به سیستم برای اجازه دسترسی به کنسول ایجاد می‌کنند. یونیت 42 خاطرنشان کرد که این امر به آن‌ها توانایی مبهم کردن هویت خود و کسب دید به منابع درون حساب AWS را می‌دهد. متعاقباً، این گروه از SES و WorkMail برای ایجاد زیرساخت فیشینگ، ایجاد کاربران جدید SES و WorkMail و تنظیم اعتبارنامه‌های SMTP جدید برای ارسال پیام‌های ایمیل استفاده کرده است.

ایجاد کاربران IAM برای حفظ دسترسی بلندمدت

کلی گفت: «در طول بازه زمانی حملات، JavaGhost کاربران IAM مختلفی را ایجاد می‌کند، برخی از آن‌ها را در طول حملات خود استفاده می‌کنند و برخی دیگر را هرگز استفاده نمی‌کنند. به نظر می‌رسد کاربران IAM استفاده نشده به عنوان مکانیسم‌های پایداری بلندمدت عمل می‌کنند.»

ایجاد نقش IAM با سیاست اعتماد برای دسترسی از حساب AWS تحت کنترل مهاجم

یکی دیگر از جنبه‌های قابل توجه روش عملیاتی بازیگر تهدید، ایجاد یک نقش IAM جدید با یک سیاست اعتماد متصل است، که به آن‌ها اجازه می‌دهد از یک حساب AWS دیگر تحت کنترل خود به حساب AWS سازمان دسترسی پیدا کنند.

باقی گذاشتن ردپای مشخص در حملات

یونیت 42 نتیجه‌گیری کرد: «این گروه با ایجاد گروه‌های امنیتی Amazon Elastic Cloud Compute (EC2) جدید به نام Java_Ghost، با شرح گروه ‘ما آنجا هستیم اما قابل مشاهده نیستیم’، به باقی گذاشتن همان کارت تماس در وسط حمله خود ادامه می‌دهند. این گروه‌های امنیتی حاوی هیچ قانون امنیتی نیستند و گروه معمولاً تلاشی برای اتصال این گروه‌های امنیتی به هیچ منبعی نمی‌کند. ایجاد گروه‌های امنیتی در گزارش‌های CloudTrail در رویدادهای CreateSecurityGroup ظاهر می‌شود.»