Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Los hackers explotan las configuraciones erróneas de AWS para lanzar ataques de phishing a través de SES y Workmail
  • Tecnología

Los hackers explotan las configuraciones erróneas de AWS para lanzar ataques de phishing a través de SES y Workmail

teknomers 3 de Mart de 2025 (Last updated: 3 de Mart de 2025) 4 minutes read
Los hackers explotan las configuraciones erróneas de AWS para lanzar


03 de marzo de 2025Ravie LakshmananSeguridad de seguridad en la nube / correo electrónico

Los actores de amenaza están dirigidos a entornos de Amazon Web Services (AWS) para expulsar las campañas de phishing a objetivos desprevenidos, según los hallazgos de la Unidad 42 de Palo Alto Networks.

La compañía de ciberseguridad está rastreando el clúster de actividad bajo el nombre TGR-UNCH-0011 (abreviatura de un Grupo de amenazas con motivación desconocida), que dijo se superpone con un grupo conocido como Javaghost. Se sabe que TGR-UNCH-0011 está activo desde 2019.

“El grupo se centró históricamente en desfigurar sitios web”, la investigadora de seguridad Margaret Kelley dicho. “En 2022, giraron para enviar correos electrónicos de phishing para obtener ganancias financieras”.

Ciberseguridad

Vale la pena señalar que estos ataques no explotan ninguna vulnerabilidad en AWS. Más bien, los actores de amenaza aprovechan las configuraciones erróneas en los entornos de las víctimas que exponen sus claves de acceso AWS para enviar mensajes de phishing al abusar del Servicio de correo electrónico simple (SES) de Amazon y los servicios de Workmail.

Al hacerlo, el modus operandi ofrece el beneficio de no tener que alojar o pagar su propia infraestructura para llevar a cabo la actividad maliciosa.

Además, permite que los mensajes de phishing del actor de amenaza reduzcan las protecciones por correo electrónico ya que las misivas digitales se originan en una entidad conocida de la cual la organización objetivo ha recibido correos electrónicos previamente.

“Javaghost obtuvo claves de acceso a largo plazo expuestas asociadas con usuarios de gestión de identidad y acceso (IAM) que les permitieron obtener acceso inicial a un entorno AWS a través de la interfaz de línea de comandos (CLI)”, explicó Kelley.

Los piratas informáticos explotan las configuraciones erróneas de AWS

“Entre 2022-24, el grupo evolucionó sus tácticas a técnicas de evasión de defensa más avanzadas que intentan ofuscar identidades en el Logs de CloudTrail. Esta táctica ha sido históricamente explotado por araña dispersa“

Una vez que se confirma el acceso a la cuenta AWS de la organización, se sabe que los atacantes generan credenciales temporales y una url de inicio de sesión para Permitir acceso a la consola. Esto, señaló la Unidad 42, les otorga la capacidad de ofuscar su identidad y obtener visibilidad de los recursos dentro de la cuenta de AWS.

Posteriormente, el grupo se ha observado utilizando SES y Workmail para establecer la infraestructura de phishing, crear nuevos usuarios de SES y Workmail, y configurar nuevas credenciales SMTP para enviar mensajes de correo electrónico.

Ciberseguridad

“A lo largo del período de los ataques, Javaghost crea varios usuarios de IAM, algunos que usan durante sus ataques y otros que nunca usan”, dijo Kelley. “Los usuarios no utilizados de IAM parecen servir como mecanismos de persistencia a largo plazo”.

Otro aspecto notable del modus operandi del actor de la amenaza se refiere a la creación de un nuevo papel de IAM con un Política de confianza adjuntapermitiéndoles acceder a la cuenta AWS de la organización desde otra cuenta de AWS bajo su control.

“El grupo continúa dejando la misma tarjeta de llamadas en el medio de su ataque mediante la creación de nuevos grupos de seguridad de Amazon Elastic Cloud Compute (EC2) llamados Java_Ghost, con la descripción del grupo ‘Estamos allí pero no visibles'”, concluyó la Unidad 42.

“Estos grupos de seguridad no contienen ninguna regla de seguridad y el grupo generalmente no intenta adjuntar estos grupos de seguridad a ningún recurso. La creación de los grupos de seguridad aparece en los registros de CloudTrail en los eventos CreateSeCurityGroup”.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Ex presidente de Sardinia Solinas el 5 de junio
Next: Gracie Abrams todavía enfermo, cancela dos shows más

Related Stories

Almacenamiento en línea: últimas horas para aprovechar el almacenamiento pCloud
  • Tecnología

Almacenamiento en línea: últimas horas para aprovechar el almacenamiento pCloud de por vida por menos de 200€

teknomers 11 de Temmuz de 2026
Climatización en canícula: ¿coche eléctrico o térmico, cuál resiste mejor?
  • Tecnología

Climatización en canícula: ¿coche eléctrico o térmico, cuál resiste mejor?

teknomers 11 de Temmuz de 2026
PlayStation y la muerte del disco: por qué el mejor
  • Tecnología

PlayStation y la muerte del disco: por qué el mejor golpe de marketing de Sony se vuelve en su contra

teknomers 11 de Temmuz de 2026

You May Have Missed

  • Deporte

Cuartos de final de la Copa del Mundo 2026: Una guía sobre los penaltis

teknomers 11 de Temmuz de 2026
  • General

La psicología de los correos electrónicos largos: La psicología dice que las personas que siempre escriben correos electrónicos extensos no intentan parecer inteligentes; pueden estar tratando de comunicarse con claridad y reducir malentendidos.

teknomers 11 de Temmuz de 2026
Un equipo de Francia « sin franceses »: los comentarios
  • Deporte

Un equipo de Francia « sin franceses »: los comentarios de tintes racistas del ex Primer Ministro español Mariano Rajoy

teknomers 11 de Temmuz de 2026
Almacenamiento en línea: últimas horas para aprovechar el almacenamiento pCloud
  • Tecnología

Almacenamiento en línea: últimas horas para aprovechar el almacenamiento pCloud de por vida por menos de 200€

teknomers 11 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.