Palo Alto Networks Birimi 42’nin bulgularına göre, tehdit aktörleri Amazon Web Services (AWS) ortamlarını, kimlik avı kampanyalarını şüphesiz hedeflere zorlamayı hedefliyor.
Siber güvenlik şirketi, aktivite kümesini adı altında izliyor TGR-SUNC-0011 (Bir Bilinmeyen motivasyona sahip tehdit grubu), JavaGhost olarak bilinen bir grupla örtüştüğünü söyledi. TGR-SUNC-0011’in 2019’dan beri aktif olduğu bilinmektedir.
Güvenlik araştırmacısı Margaret Kelley, “Grup tarihsel olarak web sitelerini tahrif etmeye odakladı.” söz konusu. “2022’de finansal kazanç için kimlik avı e -postaları göndermeye döndüler.”
Bu saldırıların AWS’de herhangi bir güvenlik açığından yararlanmadığını belirtmek gerekir. Daha ziyade, tehdit aktörleri, Amazon Basit E -posta Hizmetini (SES) ve Workmail hizmetlerini kötüye kullanarak kimlik avı mesajları göndermek için mağdurların ortamlarındaki AWS erişim anahtarlarını ortaya çıkaran yanlış yakınlaştırmalardan yararlanır.
Bunu yaparken, Modus operandi, kötü niyetli faaliyeti gerçekleştirmek için kendi altyapılarını barındırmak veya ödemek zorunda kalmama avantajını sunar.
Dahası, Dijital Medices, hedef kuruluşun daha önce e -posta aldığı bilinen bir varlıktan kaynaklandığından, tehdit oyuncunun kimlik avı mesajlarının e -posta korumalarını ortadan kaldırmasını sağlar.
Kelley, “JavaGhost, komut satırı arabirimi (CLI) aracılığıyla bir AWS ortamına ilk erişim elde etmelerine izin veren Kimlik ve Erişim Yönetimi (IAM) kullanıcılarıyla ilişkili açık uzun vadeli erişim anahtarları aldı.”
“2022-24 yılları arasında grup, taktiklerini, kimlikleri gizlemeye çalışan daha ileri savunma kaçakçılığı tekniklerine geliştirdi. Cloudtrail günlükleri. Bu taktik tarihsel olarak dağınık örümcek tarafından sömürüldü. “
Kuruluşun AWS hesabına erişim onaylandığında, saldırganların ürettiği bilinmektedir Geçici kimlik bilgileri ve bir giriş url Konsol erişimine izin ver. Birim 42, bu, onlara kimliklerini gizleme ve AWS hesabındaki kaynaklara görünürlük kazanma yeteneği verdiğini belirtti.
Daha sonra grup, kimlik avı altyapısını kurmak, yeni SES ve işleme kullanıcıları oluşturmak ve e -posta mesajları göndermek için yeni SMTP kimlik bilgileri ayarlamak için SES ve Workmail kullanılarak gözlemlenmiştir.
Kelley, “Saldırıların zaman çerçevesi boyunca, Javaghost çeşitli IAM kullanıcıları yaratıyor, bazıları saldırıları sırasında kullanıyorlar ve diğerleri asla kullanmadıkları.” Dedi. “Kullanılmayan IAM kullanıcıları uzun vadeli kalıcılık mekanizmaları olarak hizmet ediyor gibi görünüyor.”
Tehdit oyuncusu modus operandi’nin bir başka dikkate değer yönü, Ekli Güven Politikasıböylece, kontrolleri altındaki başka bir AWS hesabından kuruluşun AWS hesabına erişmelerine izin verir.
Ünite 42, “Grup, Java_ghost adlı yeni Amazon Elastik Cloud Compute (EC2) güvenlik grupları oluşturarak saldırılarının ortasında aynı arama kartını bırakmaya devam ediyor.
“Bu güvenlik grupları herhangi bir güvenlik kuralı içermez ve grup genellikle bu güvenlik gruplarını herhangi bir kaynağa ekleme girişiminde bulunmaz. Güvenlik gruplarının oluşturulması, CreateSecurityGroup olaylarında CloudTrail günlüklerinde görünür.”
