Ssylka

Могут ли неверные настройки AWS стать инструментом фишинга?

Группа TGR-UNK-0011, также известная под псевдонимом JavaGhost, действует с 2019 года, изначально занимаясь порчей веб-сайтов, а с 2022 года переходя к массовой рассылке фишинговых писем с целью финансовой выгоды. Исследователь безопасности Маргарет Келли отмечала: «Группа исторически занималась изменением сайтов, а в 2022 году перешла к рассылке фишинговых писем с целью финансовой выгоды».
Могут ли неверные настройки AWS стать инструментом фишинга?
Изображение носит иллюстративный характер

Злоумышленники эксплуатируют неверно сконфигурированные окружения в AWS, где долгосрочные ключи доступа пользователей IAM оказываются открытыми. Полученный доступ через командную строку позволяет обходить традиционные меры защиты, что делает атаки менее заметными для мониторинга.

В своих кампаниях атаки используются легитимные сервисы AWS, такие как Amazon Simple Email Service и AWS WorkMail. Создание новых пользователей и SMTP-учетных данных позволяет отправлять фишинговые сообщения от доверенных источников, что снижает вероятность блокировки почтовых серверов получателей.

В период с 2022 по 2024 год тактики злоумышленников стали гораздо сложнее: используются методы сокрытия активности, включая обфускацию записей в CloudTrail. Подобные приемы, ранее применявшиеся группой Scattered Spider, направлены на маскировку реальных действий в целях затруднения последующего анализа и расследования.

После получения начального доступа атакующие генерируют временные учетные данные и ссылки для входа в консоль AWS, что расширяет их возможности по управлению ресурсами. Создание новых IAM-пользователей и ролей с установленными доверительными политиками обеспечивает долгосрочное присутствие в системе и возможность повторных проникновений.

Для организации фишинговой инфраструктуры злоумышленники создают дополнительные учетные записи в сервисах SES и WorkMail. Некоторые из вновь созданных учетных записей используются непосредственно в атаках, в то время как другие, оставаясь неактивными, служат механизмами постоянного доступа к скомпрометированным ресурсам.

Особое внимание привлекает создание групп безопасности Amazon EC2 с названием «Java_Ghost» и описанием «Мы есть, но невидимы». Отсутствие правил безопасности и редкое прикрепление к активным ресурсам делают их главным «визитной карточкой» злоумышленников, фиксируемой посредством событий CreateSecurityGroup в логах CloudTrail.

Использование легитимных сервисов AWS для отправки фишинговых сообщений позволяет обходить многие системы защиты, подтверждая, что неуязвимость не достигается лишь совершенством программного обеспечения. Неверные настройки и ненадежное управление ключами доступа превращают AWS-окружения в эффективное орудие для киберпреступников, что подчеркивает необходимость тщательного аудита и строгих мер безопасности.


Новое на сайте

15287Жидкость, восстанавливающая форму: нарушение законов термодинамики 15286Аркадия ведьм: загадка Чарльза годфри Леланда и её влияние на современную магию 15285Кто станет новым героем Звёздных войн в 2027 году? 15283Ануше Ансари | Почему космические исследования важны для Земли 15282Гизем Гумбуская | Синтетический морфогенез: самоконструирующиеся живые архитектуры по... 15281Как предпринимателю остаться хозяином своей судьбы? 15280Люси: путешествие к древним обломкам солнечной системы 15279Роберт Лиллис: извлеченные уроки для экономически эффективных исследований дальнего... 15278Почему супермен до сих пор остаётся символом надежды и морали? 15277Райан Гослинг в роли нового героя «Звёздных войн»: что известно о фильме Star Wars:... 15276Почему экваториальная Гвинея остаётся одной из самых закрытых и жестоких диктатур мира? 15275Почему морские слизни становятся ярче под солнцем? 15274Глен Вейль | Можем ли мы использовать ИИ для построения более справедливого общества? 15273Лириды: где и как увидеть древний звездопад в этом апреле? 15272Сдержит ли налог на однодневных туристов в Венеции наплыв гостей?