Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Los hackers explotan las configuraciones erróneas de AWS para lanzar ataques de phishing a través de SES y Workmail
  • Tecnología

Los hackers explotan las configuraciones erróneas de AWS para lanzar ataques de phishing a través de SES y Workmail

teknomers 3 de Mart de 2025 (Last updated: 3 de Mart de 2025) 4 minutes read
Los hackers explotan las configuraciones erróneas de AWS para lanzar


03 de marzo de 2025Ravie LakshmananSeguridad de seguridad en la nube / correo electrónico

Los actores de amenaza están dirigidos a entornos de Amazon Web Services (AWS) para expulsar las campañas de phishing a objetivos desprevenidos, según los hallazgos de la Unidad 42 de Palo Alto Networks.

La compañía de ciberseguridad está rastreando el clúster de actividad bajo el nombre TGR-UNCH-0011 (abreviatura de un Grupo de amenazas con motivación desconocida), que dijo se superpone con un grupo conocido como Javaghost. Se sabe que TGR-UNCH-0011 está activo desde 2019.

“El grupo se centró históricamente en desfigurar sitios web”, la investigadora de seguridad Margaret Kelley dicho. “En 2022, giraron para enviar correos electrónicos de phishing para obtener ganancias financieras”.

Ciberseguridad

Vale la pena señalar que estos ataques no explotan ninguna vulnerabilidad en AWS. Más bien, los actores de amenaza aprovechan las configuraciones erróneas en los entornos de las víctimas que exponen sus claves de acceso AWS para enviar mensajes de phishing al abusar del Servicio de correo electrónico simple (SES) de Amazon y los servicios de Workmail.

Al hacerlo, el modus operandi ofrece el beneficio de no tener que alojar o pagar su propia infraestructura para llevar a cabo la actividad maliciosa.

Además, permite que los mensajes de phishing del actor de amenaza reduzcan las protecciones por correo electrónico ya que las misivas digitales se originan en una entidad conocida de la cual la organización objetivo ha recibido correos electrónicos previamente.

“Javaghost obtuvo claves de acceso a largo plazo expuestas asociadas con usuarios de gestión de identidad y acceso (IAM) que les permitieron obtener acceso inicial a un entorno AWS a través de la interfaz de línea de comandos (CLI)”, explicó Kelley.

Los piratas informáticos explotan las configuraciones erróneas de AWS

“Entre 2022-24, el grupo evolucionó sus tácticas a técnicas de evasión de defensa más avanzadas que intentan ofuscar identidades en el Logs de CloudTrail. Esta táctica ha sido históricamente explotado por araña dispersa“

Una vez que se confirma el acceso a la cuenta AWS de la organización, se sabe que los atacantes generan credenciales temporales y una url de inicio de sesión para Permitir acceso a la consola. Esto, señaló la Unidad 42, les otorga la capacidad de ofuscar su identidad y obtener visibilidad de los recursos dentro de la cuenta de AWS.

Posteriormente, el grupo se ha observado utilizando SES y Workmail para establecer la infraestructura de phishing, crear nuevos usuarios de SES y Workmail, y configurar nuevas credenciales SMTP para enviar mensajes de correo electrónico.

Ciberseguridad

“A lo largo del período de los ataques, Javaghost crea varios usuarios de IAM, algunos que usan durante sus ataques y otros que nunca usan”, dijo Kelley. “Los usuarios no utilizados de IAM parecen servir como mecanismos de persistencia a largo plazo”.

Otro aspecto notable del modus operandi del actor de la amenaza se refiere a la creación de un nuevo papel de IAM con un Política de confianza adjuntapermitiéndoles acceder a la cuenta AWS de la organización desde otra cuenta de AWS bajo su control.

“El grupo continúa dejando la misma tarjeta de llamadas en el medio de su ataque mediante la creación de nuevos grupos de seguridad de Amazon Elastic Cloud Compute (EC2) llamados Java_Ghost, con la descripción del grupo ‘Estamos allí pero no visibles'”, concluyó la Unidad 42.

“Estos grupos de seguridad no contienen ninguna regla de seguridad y el grupo generalmente no intenta adjuntar estos grupos de seguridad a ningún recurso. La creación de los grupos de seguridad aparece en los registros de CloudTrail en los eventos CreateSeCurityGroup”.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Ex presidente de Sardinia Solinas el 5 de junio
Next: Gracie Abrams todavía enfermo, cancela dos shows más

Related Stories

Proton VPN a 2,99 €/mes en lugar de 9,99 €/mes:
  • Tecnología

Proton VPN a 2,99 €/mes en lugar de 9,99 €/mes: la privacidad en línea a precio reducido

teknomers 12 de Temmuz de 2026
Almacenamiento en línea: últimas horas para aprovechar el almacenamiento pCloud
  • Tecnología

Almacenamiento en línea: últimas horas para aprovechar el almacenamiento pCloud de por vida por menos de 200€

teknomers 11 de Temmuz de 2026
Climatización en canícula: ¿coche eléctrico o térmico, cuál resiste mejor?
  • Tecnología

Climatización en canícula: ¿coche eléctrico o térmico, cuál resiste mejor?

teknomers 11 de Temmuz de 2026

You May Have Missed

  • General

La psicología dice que las personas que siempre encuentran fallas en todo no son necesariamente negativas, pueden estar esforzándose demasiado por hacer las cosas perfectas.

teknomers 12 de Temmuz de 2026
Noruega-Inglaterra (1-2 a.p): nuestros destacados y decepciones con un Bellingham
  • Deporte

Noruega-Inglaterra (1-2 a.p): nuestros destacados y decepciones con un Bellingham en tamaño gigante y un duelo Haaland-Kane decepcionante.

teknomers 12 de Temmuz de 2026
  • Deporte

Copa del Mundo 2026: El regreso a la indispensabilidad de Jude Bellingham en Inglaterra

teknomers 12 de Temmuz de 2026
Proton VPN a 2,99 €/mes en lugar de 9,99 €/mes:
  • Tecnología

Proton VPN a 2,99 €/mes en lugar de 9,99 €/mes: la privacidad en línea a precio reducido

teknomers 12 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.