- Aktor ancaman terlihat menyalahgunakan salah konfigurasi AWS untuk mendapatkan akses ke contoh
- Mereka akan menggunakan instance untuk membuat SES baru dan layanan workmail
- Email akan mem -bypass keamanan email, sambil menyembunyikan penyerang
Lingkungan Amazon Web Services (AWS) yang salah konfigurasi dilecehkan untuk menjalankan kampanye phishing yang dapat memotong filter email dan mendarat langsung ke kotak masuk orang, para ahli mengklaim.
Peneliti Cybersecurity dari Palo Alto Networks ‘Unit 42 baru -baru ini terlihat Sebuah grup dilacak sebagai TGR-UKK-0011 yang terlibat dalam jenis serangan ini.
Kelompok itu, yang dikatakan Unit 42 tumpang tindih secara signifikan dengan kelompok terpisah yang disebut Javaghost, telah aktif sejak 2019. Namun, kelompok ini awalnya berfokus pada pengurangan situs web, dan hanya berputar ke phishing pada tahun 2022, ketika mereka mulai mencari keuntungan finansial.
Javaghost
Serangan dimulai dengan kelompok mendapatkan kunci akses AWS orang. Ini memberi mereka akses ke Amazon Simple Email Services (SES) dan layanan workmail.
“Javaghost memperoleh kunci akses jangka panjang yang diekspos yang terkait dengan pengguna Identity and Access Management (IAM) yang memungkinkan mereka untuk mendapatkan akses awal ke lingkungan AWS melalui antarmuka baris perintah (CLI),” kata para peneliti. “Antara tahun 2022-24, kelompok ini mengembangkan taktik mereka menjadi teknik penghindaran pertahanan yang lebih maju yang berupaya mengaburkan identitas dalam log cloudtrail. Taktik ini secara historis dieksploitasi oleh laba-laba yang tersebar.”
Setelah mengkonfirmasi akses, para penyerang akan membuat akun sementara dan mengakses konsol. Kemudian, mereka akan menggunakan SES dan Workmail untuk mengatur infrastruktur phishing mereka, dan akan mengatur kredensial SMTP untuk mengirim email phishing.
“Sepanjang jangka waktu serangan, Javaghost menciptakan berbagai pengguna IAM, beberapa yang mereka gunakan selama serangan mereka dan yang lain yang tidak pernah mereka gunakan,” jelas para peneliti. “Pengguna IAM yang tidak terpakai tampaknya berfungsi sebagai mekanisme kegigihan jangka panjang.”
Karena email akan datang dari entitas yang dikenal dan sah, mereka akan mem -bypass perlindungan email dan mencapai kotak masuk target mereka. Mereka juga akan terdengar lebih kredibel, karena kedua pihak yang paling mungkin berkomunikasi di masa lalu juga.
