{"id":1605804,"date":"2025-03-03T19:30:16","date_gmt":"2025-03-03T19:30:16","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-hackers-explotan-las-configuraciones-erroneas-de-aws-para-lanzar-ataques-de-phishing-a-traves-de-ses-y-workmail\/"},"modified":"2025-03-03T19:30:22","modified_gmt":"2025-03-03T19:30:22","slug":"los-hackers-explotan-las-configuraciones-erroneas-de-aws-para-lanzar-ataques-de-phishing-a-traves-de-ses-y-workmail","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-hackers-explotan-las-configuraciones-erroneas-de-aws-para-lanzar-ataques-de-phishing-a-traves-de-ses-y-workmail\/","title":{"rendered":"Los hackers explotan las configuraciones err\u00f3neas de AWS para lanzar ataques de phishing a trav\u00e9s de SES y Workmail"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">03 de marzo de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Seguridad de seguridad en la nube \/ correo electr\u00f3nico<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Los-hackers-explotan-las-configuraciones-erroneas-de-AWS-para-lanzar.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Los actores de amenaza est\u00e1n dirigidos a entornos de Amazon Web Services (AWS) para expulsar las campa\u00f1as de phishing a objetivos desprevenidos, seg\u00fan los hallazgos de la Unidad 42 de Palo Alto Networks.<\/p>\n<p>La compa\u00f1\u00eda de ciberseguridad est\u00e1 rastreando el cl\u00faster de actividad bajo el nombre <strong>TGR-UNCH-0011<\/strong> (abreviatura de un <a rel=\"noopener nofollow\" href=\"https:\/\/unit42.paloaltonetworks.com\/from-activity-to-formal-naming\/\" target=\"_blank\">Grupo de amenazas con motivaci\u00f3n desconocida<\/a>), que dijo se superpone con un grupo conocido como Javaghost. Se sabe que TGR-UNCH-0011 est\u00e1 activo desde 2019.<\/p>\n<p>&#8220;El grupo se centr\u00f3 hist\u00f3ricamente en desfigurar sitios web&#8221;, la investigadora de seguridad Margaret Kelley <a rel=\"noopener nofollow\" href=\"https:\/\/unit42.paloaltonetworks.com\/javaghost-cloud-phishing\/\" target=\"_blank\">dicho<\/a>. &#8220;En 2022, giraron para enviar correos electr\u00f3nicos de phishing para obtener ganancias financieras&#8221;.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1740827649_433_Mozilla-actualiza-los-terminos-de-Firefox-nuevamente-despues-de-una.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Vale la pena se\u00f1alar que estos ataques no explotan ninguna vulnerabilidad en AWS. M\u00e1s bien, los actores de amenaza aprovechan las configuraciones err\u00f3neas en los entornos de las v\u00edctimas que exponen sus claves de acceso AWS para enviar mensajes de phishing al abusar del Servicio de correo electr\u00f3nico simple (SES) de Amazon y los servicios de Workmail.<\/p>\n<p>Al hacerlo, el modus operandi ofrece el beneficio de no tener que alojar o pagar su propia infraestructura para llevar a cabo la actividad maliciosa.<\/p>\n<p>Adem\u00e1s, permite que los mensajes de phishing del actor de amenaza reduzcan las protecciones por correo electr\u00f3nico ya que las misivas digitales se originan en una entidad conocida de la cual la organizaci\u00f3n objetivo ha recibido correos electr\u00f3nicos previamente.<\/p>\n<p>&#8220;Javaghost obtuvo claves de acceso a largo plazo expuestas asociadas con usuarios de gesti\u00f3n de identidad y acceso (IAM) que les permitieron obtener acceso inicial a un entorno AWS a trav\u00e9s de la interfaz de l\u00ednea de comandos (CLI)&#8221;, explic\u00f3 Kelley. <\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1741030215_945_Los-hackers-explotan-las-configuraciones-erroneas-de-AWS-para-lanzar.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1741030215_945_Los-hackers-explotan-las-configuraciones-erroneas-de-AWS-para-lanzar.png\" alt=\"Los piratas inform\u00e1ticos explotan las configuraciones err\u00f3neas de AWS\" border=\"0\" data-original-height=\"749\" data-original-width=\"1250\" title=\"Los piratas inform\u00e1ticos explotan las configuraciones err\u00f3neas de AWS\"\/><\/a><\/div>\n<p>&#8220;Entre 2022-24, el grupo evolucion\u00f3 sus t\u00e1cticas a t\u00e9cnicas de evasi\u00f3n de defensa m\u00e1s avanzadas que intentan ofuscar identidades en el <a rel=\"noopener nofollow\" href=\"https:\/\/securitylabs.datadoghq.com\/articles\/following-attackers-trail-in-aws-methodology-findings-in-the-wild\/\" target=\"_blank\">Logs de CloudTrail<\/a>. Esta t\u00e1ctica ha sido hist\u00f3ricamente <a rel=\"noopener nofollow\" href=\"https:\/\/www.crowdstrike.com\/en-us\/blog\/how-adversaries-persist-with-aws-user-federation\/\" target=\"_blank\">explotado por ara\u00f1a dispersa<\/a>&#8220;<\/p>\n<p>Una vez que se confirma el acceso a la cuenta AWS de la organizaci\u00f3n, se sabe que los atacantes generan <a rel=\"noopener nofollow\" href=\"https:\/\/docs.aws.amazon.com\/IAM\/latest\/UserGuide\/id_roles_providers_enable-console-custom-url.html\" target=\"_blank\">credenciales temporales<\/a> y una url de inicio de sesi\u00f3n para <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/NetSPI\/aws_consoler\/tree\/master\" target=\"_blank\">Permitir acceso a la consola<\/a>. Esto, se\u00f1al\u00f3 la Unidad 42, les otorga la capacidad de ofuscar su identidad y obtener visibilidad de los recursos dentro de la cuenta de AWS.<\/p>\n<p>Posteriormente, el grupo se ha observado utilizando SES y Workmail para establecer la infraestructura de phishing, crear nuevos usuarios de SES y Workmail, y configurar nuevas credenciales SMTP para enviar mensajes de correo electr\u00f3nico.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/El-pico-de-Botnet-de-Vo1d-supera-a-159-millones.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;A lo largo del per\u00edodo de los ataques, Javaghost crea varios usuarios de IAM, algunos que usan durante sus ataques y otros que nunca usan&#8221;, dijo Kelley. &#8220;Los usuarios no utilizados de IAM parecen servir como mecanismos de persistencia a largo plazo&#8221;.<\/p>\n<p>Otro aspecto notable del modus operandi del actor de la amenaza se refiere a la creaci\u00f3n de un nuevo papel de IAM con un <a rel=\"noopener nofollow\" href=\"https:\/\/docs.aws.amazon.com\/IAM\/latest\/UserGuide\/id_roles.html\" target=\"_blank\">Pol\u00edtica de confianza adjunta<\/a>permiti\u00e9ndoles acceder a la cuenta AWS de la organizaci\u00f3n desde otra cuenta de AWS bajo su control.<\/p>\n<p>&#8220;El grupo contin\u00faa dejando la misma tarjeta de llamadas en el medio de su ataque mediante la creaci\u00f3n de nuevos grupos de seguridad de Amazon Elastic Cloud Compute (EC2) llamados Java_Ghost, con la descripci\u00f3n del grupo &#8216;Estamos all\u00ed pero no visibles'&#8221;, concluy\u00f3 la Unidad 42.<\/p>\n<p>&#8220;Estos grupos de seguridad no contienen ninguna regla de seguridad y el grupo generalmente no intenta adjuntar estos grupos de seguridad a ning\u00fan recurso. La creaci\u00f3n de los grupos de seguridad aparece en los registros de CloudTrail en los eventos CreateSeCurityGroup&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/hackers-exploit-aws-misconfigurations.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80203 de marzo de 2025\ue804Ravie LakshmananSeguridad de seguridad en la nube \/ correo electr\u00f3nico Los actores de amenaza<\/p>\n","protected":false},"author":1,"featured_media":1605805,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2346,4661,26662,4664,64388,108793,8513,6369,20128,246,273784,36,273783,4654,273782,4659,4653,4655,18,8178,246983,4665,246984,13397,116,455,239484,283725],"class_list":["post-1605804","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques","tag-ataques-ciberneticos","tag-aws","tag-como-hackear","tag-configuraciones","tag-erroneas","tag-explotan","tag-hackers","tag-lanzar","tag-las","tag-las-noticias-del-hacker","tag-los","tag-malware-de-ransomware","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-phishing","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-ses","tag-traves","tag-violacion","tag-vulnerabilidad-del-software","tag-workmail"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1605804","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1605804"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1605804\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1605805"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1605804"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1605804"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1605804"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}