Daha önce görülmemiş bir siber saldırı tekniği sergileyen tehdit aktörleri, Amazon Web Services Basit Bildirim Hizmeti’ni (AWS SNS) ve SNS Sender adlı özel bir toplu mesaj spam komut dosyasını kullanarak, devam eden bir “smishing” kampanyasını körüklüyor. ABD Posta Hizmetini taklit ediyor.
Bulut tabanlı bir mesajlaşma platformu olan AWS SNS’nin kötüye kullanılması yeni olsa da, kampanya giderek daha yaygın hale gelen bir temanın örneği: İşletmeler ve tehdit aktörleri, kendi iş yüklerini geleneksel yöntemlerle ele almak yerine buluta taşıyor. SentinelOne’dan bugün yayınlanan bir rapora göre web sunucuları. Bu da meşru bulut örneklerinin, AWS yeteneklerinden yararlanmak isteyen saldırganlar tarafından ele geçirildiği kuruluşlar için ciddi iş riski teşkil ediyor.
Smishing Enfeksiyon Rutini
2020’den 2023’e kadar “ARDUINO_DAS” takma adını kullanan SNS Sender komut dosyası yazarı veya yazarlarının kimlik avı kiti sahnesinde üretken olduğu biliniyordu, ancak bu tanıtıcı, operatörlerin kimlik avı kiti alıcılarını dolandırmakla suçlanmasının ardından terk edilmiş gibi görünüyor SentinelOne’a göre Dark Web’de. Ancak eski takma ad, geçen ayki son kampanya da dahil olmak üzere, halen kullanılan ve aktif olarak dağıtılan tüm tehdit aktörlerinin araçlarında hâlâ bulunuyor.
SenitelOne’da kıdemli tehdit araştırmacısı ve raporun yazarı Alex Delamotte’ye göre, SNS Sender saldırısı, “kaçırılan paket” bildirim tuzağının bir versiyonunu kullanıyor ve bu hilenin, USPS.
Delamotte, “Bunlardan çok sayıda aldım ve başka birçok kişinin de aldığını biliyorum. Bir paketi kaçırdığınızı ve onu postaneden almanız gerektiğini söylüyorlar” diyor ve ekliyor: Kampanya geniş ve spesifik olmayan bir ağ oluşturduğundan, yaşlı vatandaşların bu ağlara kapılma olasılıkları yüksektir. “Size oturum açmanızı söylüyor ve gerçek USPS sayfasına çok benziyor ancak kişinin adını, adresini ve kredi kartı numarasını topluyor.”
Metin mesajları bireylerden kişisel olarak tanımlanabilir bilgilerini (PII) ve ödeme kartı ayrıntılarını girmelerini isteyen kimlik avı sayfalarına yönlendiren URL’ler içerir. Bunlar daha sonra saldırganın sunucusunun yanı sıra bir Telegram kanalına gönderilir. Delamotte, “Bu kimlik avı kitlerinden toplanan günlükleri görmek için merkezi bir yer gibi bir şey” diyor. “Aslında bunun kayıtlarını gördük. Ayrıca hangi kimlik avı kitlerinin kullanıldığını da kaydediyor.”
İş Riski: Bulut Kimlik Avının Sorunu
SentinelOne’a göre kampanyanın öne çıkan özelliği AWS SNS’nin kullanılması.
“Bulutta SMS mesajları gönderebilmek için çok fazla bürokrasi var. Federal düzenlemeler ve A2P 10DLC olarak bilinen bir SMS kayıt çerçevesi var. Bu çerçeve, bulut veya hizmet olarak yazılım (SaaS) için federal yönergeleri uyguluyor. sağlayıcıların müşterilerini etkili bir şekilde tanımalarını sağlıyor” diye vurguluyor Delamotte.
Bu, saldırganların kampanyayı sürdürebilmeleri için meşru, güvenilir kimlik bilgilerine sahip olmaları gerektiği anlamına geliyor. Esasen olan şey, tehdit aktörlerinin bir mevcut işletmelerin bulut kimlik bilgileri, muhtemelen kendi başlarına kaydolmak için inceleme sürecini geçemedikleri için. Tehdit aktörü daha sonra bu kimlik bilgilerini, meşru işletme alanını kullanarak kimlik avı metin mesajlarını çeşitli kullanıcılara göndermek için kullanacaktır.
Ancak başka engeller de var: Herhangi bir eski AWS örneğinin güvenliğini ihlal etmek yeterli değil; saldırganların hedeflenen ortamın SNS yeteneklerini de doğrulaması gerekiyor.
SentinelOne’un raporuna göre “SNS Sender, aktörün düzgün yapılandırılmış bir AWS SNS kiracısına erişimine dayanan daha dar bir yaklaşımı temsil ediyor.” “AWS’yi kullanmak bu aktör için bir zorluk teşkil ediyor. AWS, varsayılan olarak SNS yoluyla SMS bildirimlerine izin vermiyor. Bu özelliğin çalışması için kiracının SNS korumalı alan ortamından kaldırılması gerekiyor.”
Bütün bunlar işletmeler için önemli riskler taşıyor. Her şeyden önce, alan adının ele geçirilmesi, işletme açısından kötü bir imaj yaratır çünkü onlar, dolandırıcılığın kullanıcı açısından görünen yüzüdür. Ayrıca ele geçirilme, bir işletmenin müşterileriyle iletişim kurması gereken SMS yeteneklerini tehlikeye atabilir: Delamotte’ye göre, etkilenen bir kuruluşun SMS yeteneklerini aktif tutmak için büyük olasılıkla mücadele etmesi gerekecektir.
Bu özellikle kötü bir haber yüksek hacimli SMS iletişimlerini sürdüren kuruluşlar e-ticaret sağlayıcıları veya sadakat programları yürütenler gibi tüketicilerle.
İşletmeler için, SNS Sender’a kapılmaktan kaçınmak, Delamotte’nin temel güvenlik hijyeni olarak gördüğü şeye indirgeniyor: Kuruluşların, GitHub’daki kod aracılığıyla veya “uygun olmayan şekilde” bulutta kendi kimlik bilgilerini ifşa etmediklerinden emin olmaları gerekiyor. Güvenli hizmetler.”