Группа TGR-UNK-0011, также известная под псевдонимом JavaGhost, действует с 2019 года, изначально занимаясь порчей веб-сайтов, а с 2022 года переходя к массовой рассылке фишинговых писем с целью финансовой выгоды. Исследователь безопасности Маргарет Келли отмечала: «Группа исторически занималась изменением сайтов, а в 2022 году перешла к рассылке фишинговых писем с целью финансовой выгоды».
Злоумышленники эксплуатируют неверно сконфигурированные окружения в AWS, где долгосрочные ключи доступа пользователей IAM оказываются открытыми. Полученный доступ через командную строку позволяет обходить традиционные меры защиты, что делает атаки менее заметными для мониторинга.
В своих кампаниях атаки используются легитимные сервисы AWS, такие как Amazon Simple Email Service и AWS WorkMail. Создание новых пользователей и SMTP-учетных данных позволяет отправлять фишинговые сообщения от доверенных источников, что снижает вероятность блокировки почтовых серверов получателей.
В период с 2022 по 2024 год тактики злоумышленников стали гораздо сложнее: используются методы сокрытия активности, включая обфускацию записей в CloudTrail. Подобные приемы, ранее применявшиеся группой Scattered Spider, направлены на маскировку реальных действий в целях затруднения последующего анализа и расследования.
После получения начального доступа атакующие генерируют временные учетные данные и ссылки для входа в консоль AWS, что расширяет их возможности по управлению ресурсами. Создание новых IAM-пользователей и ролей с установленными доверительными политиками обеспечивает долгосрочное присутствие в системе и возможность повторных проникновений.
Для организации фишинговой инфраструктуры злоумышленники создают дополнительные учетные записи в сервисах SES и WorkMail. Некоторые из вновь созданных учетных записей используются непосредственно в атаках, в то время как другие, оставаясь неактивными, служат механизмами постоянного доступа к скомпрометированным ресурсам.
Особое внимание привлекает создание групп безопасности Amazon EC2 с названием «Java_Ghost» и описанием «Мы есть, но невидимы». Отсутствие правил безопасности и редкое прикрепление к активным ресурсам делают их главным «визитной карточкой» злоумышленников, фиксируемой посредством событий CreateSecurityGroup в логах CloudTrail.
Использование легитимных сервисов AWS для отправки фишинговых сообщений позволяет обходить многие системы защиты, подтверждая, что неуязвимость не достигается лишь совершенством программного обеспечения. Неверные настройки и ненадежное управление ключами доступа превращают AWS-окружения в эффективное орудие для киберпреступников, что подчеркивает необходимость тщательного аудита и строгих мер безопасности.
Изображение носит иллюстративный характер
Злоумышленники эксплуатируют неверно сконфигурированные окружения в AWS, где долгосрочные ключи доступа пользователей IAM оказываются открытыми. Полученный доступ через командную строку позволяет обходить традиционные меры защиты, что делает атаки менее заметными для мониторинга.
В своих кампаниях атаки используются легитимные сервисы AWS, такие как Amazon Simple Email Service и AWS WorkMail. Создание новых пользователей и SMTP-учетных данных позволяет отправлять фишинговые сообщения от доверенных источников, что снижает вероятность блокировки почтовых серверов получателей.
В период с 2022 по 2024 год тактики злоумышленников стали гораздо сложнее: используются методы сокрытия активности, включая обфускацию записей в CloudTrail. Подобные приемы, ранее применявшиеся группой Scattered Spider, направлены на маскировку реальных действий в целях затруднения последующего анализа и расследования.
После получения начального доступа атакующие генерируют временные учетные данные и ссылки для входа в консоль AWS, что расширяет их возможности по управлению ресурсами. Создание новых IAM-пользователей и ролей с установленными доверительными политиками обеспечивает долгосрочное присутствие в системе и возможность повторных проникновений.
Для организации фишинговой инфраструктуры злоумышленники создают дополнительные учетные записи в сервисах SES и WorkMail. Некоторые из вновь созданных учетных записей используются непосредственно в атаках, в то время как другие, оставаясь неактивными, служат механизмами постоянного доступа к скомпрометированным ресурсам.
Особое внимание привлекает создание групп безопасности Amazon EC2 с названием «Java_Ghost» и описанием «Мы есть, но невидимы». Отсутствие правил безопасности и редкое прикрепление к активным ресурсам делают их главным «визитной карточкой» злоумышленников, фиксируемой посредством событий CreateSecurityGroup в логах CloudTrail.
Использование легитимных сервисов AWS для отправки фишинговых сообщений позволяет обходить многие системы защиты, подтверждая, что неуязвимость не достигается лишь совершенством программного обеспечения. Неверные настройки и ненадежное управление ключами доступа превращают AWS-окружения в эффективное орудие для киберпреступников, что подчеркивает необходимость тщательного аудита и строгих мер безопасности.
