Tehdit aktörlerinin, Amazon’un Basit E-posta Hizmetini (SES) ele geçirmek için tehlikeye atılmış AWS kimlik bilgilerini kullandığı ve günde 50.000’den fazla kötü niyetli e-posta gönderebilen büyük ölçekli kimlik avı işlemlerini başlattığı gelişmiş bir siber saldırı kampanyası.
Wiz araştırma ekibi, Mayıs 2025’te bu endişe verici SES istismarı kampanyasını belirledi ve siber suçluların, eşi görülmemiş ölçekte sahtekarlık operasyonlarını yürütmek için meşru bulut hizmetlerini silahlandırdığı bir eğilimi vurguladı.
Saldırı, tehlikeye atılan AWS erişim anahtarlarının nasıl güçlü kimlik avı altyapısına dönüştürülebileceğini ve masum kurbanlara maliyetleri ve itibar hasarını değiştirirken geleneksel e -posta güvenlik savunmalarını atlayabileceğini gösteriyor.
Sofistike kampanya, saldırganların bilinmeyen vektörler aracılığıyla tehlikeye atılmış AWS erişim anahtarları elde etmesiyle başladı, muhtemelen kod depolarında kazara halka maruz kalma veya geliştirici iş istasyonlarından hırsızlık da dahil.
Bu kimlik bilgileriyle donatıldıktan sonra, tehdit aktörleri, yeteneklerini değerlendirmek için hemen keşif yaptılar.
İlk hamleleri, tehlikeye atılan erişim anahtarının adına “SES-” içerdiğini ortaya koyan ve başlangıçta SES izinleriyle sağlandığını gösteren basit bir GetCalleridentity isteği içeriyordu. Bu keşif tüm operasyonlarının temeli oldu.
Saldırganlar daha sonra, mevcut yapılandırma durumunu ortaya çıkarmak ve hesabın kum havuzu sınırlarıyla sınırlı olup olmadığını belirlemek için tasarlanan, SES’i doğrudan GetSendQuota ve GetAccount Calls aracılığıyla araştırarak keşiflerini artırdılar.
Bu ilk değerlendirme aşaması saniyeler içinde meydana geldi ve yaklaşımlarının otomatik doğasını gösterdi.
Güvenlik kısıtlamalarından kurtulmak
Amazon SES, varsayılan olarak “Sandbox” modu altında çalışır ve hesapları, saniyede maksimum bir mesaj oranında doğrulanmış adreslere günde yalnızca 200 mesaj gönderme ile sınırlar.
Hizmetin meşru işletmeler için tam potansiyelinin kilidini açmak için, hesaplar kotayı günde tipik olarak 50.000 e -postaya yükselten ve keyfi alıcılara göndermeye izin veren “Üretim” moduna geçmelidir.
Güvenlik araştırmalarında daha önce belgelenmemiş olan yeni bir teknikte, saldırganlar sadece on saniye içinde tüm AWS bölgelerindeki PutaccountDetails taleplerinin koordineli bir patlaması başlattı.
Bu çok bölgeli yaklaşım, bölgeye özgü gönderme kotalarını en üst düzeye çıkarmak, potansiyel kısıtlamalardan kaçınmak veya farklı coğrafi konumlarda fazlalık oluşturmak için tasarlanmıştır.
Geçiş taleplerini haklı çıkarmak için, saldırganlar, kurbanla veya daha sonra kimlik avı için kullanılan kimliklerle bağlantısı olmayan bir inşaat şirketi web sitesine atıfta bulunan özenle hazırlanmış ancak genel bir açıklama sundular.
Kazer plakası doğasına rağmen, talep AWS’nin inceleme sürecini geçecek ve üretim modu erişimi için onay kazanacak kadar cilalandı.
Standart 50.000 e-posta kotasından memnun olmayan tehdit aktörleri, birden fazla yolla yeteneklerini daha da genişletmeye çalıştılar.
Meşru kullanıcılar genellikle AWS konsolunu kullandıkları için şüpheli etkinliğin güçlü bir göstergesi olarak hizmet veren nadir bir yaklaşım olan daha yüksek sınırlar istemek için CreateCase API’sını kullanarak programlı bir destek bileti açmayı denediler.
Bu girişim yetersiz izinler nedeniyle başarısız olduğunda, saldırganlar “SES-destek-politika” adlı bir IAM politikası oluşturarak ve bunu tehlikeye atılan kullanıcıya eklemeye çalışarak ayrıcalıklarını artırmaya çalıştılar.
Bu çaba da başarısız oldu ve onları kampanya hedefleri için yeterli olduğunu kanıtlayan standart üretim kotasını bıraktı.
Üretim modu etkinken, saldırganlar CreateMailidentity API’sı aracılığıyla doğrulanmış kimlikler olarak birden fazla alan ekleyerek kimlik avı altyapılarını oluşturmaya başladılar.
Etki alanı stratejileri, hem saldırganın sahip olduğu alanları hem de zayıf DMARC korumalarına sahip meşru alanları içeriyordu, bu da güvenlik kontrolleri tarafından engellenmeden e-postaları taklit etmeyi veya göndermeyi kolaylaştırdı.
Kimlik avı kampanyası lansmanı
Altyapıları kurulduktan sonra, siber suçlular açık bir coğrafi veya endüstri odağı olmadan birden fazla kuruluşu hedefleyen geniş bir kimlik avı kampanyası başlattı.
2024 vergi formlarına “2024 vergi formlarınız (lar) görüntülenmeye ve yazdırmaya hazırdır” ve “Bilgi Uyarısı: Vergi Kayıtları Anomaliler içerir” ile atıfta bulunulan kötü niyetli e -postalar.
Bu e -postalar, alıcıları ticari trafik analiz hizmetleri tarafından sağlanan yönlendirmelerin arkasında gizlenen kimlik doğrulama sitelerine yönlendirdi.
Meşru pazarlama kampanyalarında yaygın olarak kullanılan bu teknik, saldırganlara mağdur tıklama oranlarına görünürlük sağlarken güvenlik tarayıcılarını atlamaya yeniden yerleştirildi.
Kampanyanın hafif ve fırsatçı doğası, öncelikle finansal kazanç için yürütüldüğünü göstermektedir, ancak araştırmacılar bunu halka açık bir tehdit grubuyla ilişkilendirmediler.
Kimlik bilgisi hırsızlığı operasyonları, iş e -posta uzlaşması ve ek dolandırıcılık planları da dahil olmak üzere çeşitli kötü amaçlı faaliyetleri kolaylaştırabilir.
Bu SES istismarı kampanyası, ihmal edilebilir maliyetlerle bir sıkıntıdan daha fazlasını temsil ediyor. Saldırı, bulut hizmetlerini kullanan kuruluşlar için birkaç kritik güvenlik endişesini vurgulamaktadır.
İtibar ve iş riskleri önemlidir, çünkü saldırganlar doğrulanmış alanlardan e -posta gönderebilir ve meşru kuruluşlardan kaynaklanan kimlik avı sağlar. Bu yetenek, iş süreçlerinde spearphing, sahtekarlık, veri hırsızlığı ve maskelenmeyi kolaylaştırarak potansiyel olarak önemli marka hasarına neden olur.
Uzlaşma riski, SES sömürüsü nadiren tek başına gerçekleştiğinden, e -posta istismarının ötesine uzanır. Rakiplerin, bulut altyapısında daha etkili eylemlere genişletilebilecek geçerli AWS kimlik bilgilerini zaten kontrol ettikleri açık bir gösterge görevi görür.
Operasyonel riskler, AWS’ye istismar şikayetlerini tetikleme ve mağdur hesaplarına karşı yapılan istismar davalarına neden olan spam veya kimlik avı faaliyetlerinin potansiyelini içerir. Bu tür olaylar iş operasyonlarını bozabilir ve çözülmesi için önemli kaynaklar gerektirebilir.
Önleme stratejileri
Güvenlik uzmanları, SES kötüye kullanımı riskini azaltmak için çeşitli önlemler önermektedir. Kuruluşlar, uzun vadeli uzlaşmayı önlemek için IAM anahtarlarını düzenli olarak denetlerken ve döndürürken, SES’i tamamen ihtiyaç duyulmadığı hesaplarda engellemek için AWS hizmet kontrol politikaları uygulamalıdır.
En az ayrıcalık ilkelerinin uygulanması, yalnızca belirlenmiş rollerin yeni gönderenleri doğrulayabilmesini veya üretim erişimini talep etmesini sağlar.
CloudTrail aracılığıyla SES etkinliğinde kapsamlı bir kayıt ve uyarma, şüpheli API çağrıları ve kullanım sivri uçlarını tespit etmeye yardımcı olabilir.
Bu kampanyada tanımlanan spesifik saldırı göstergelerinin izlenmesi, PutaccountDetails isteklerinin çok bölgeli patlamaları, CreateCase API’sının konsol dışı çağrılması ve alanların ve e-posta kimliklerinin hızlı bir şekilde oluşturulması dahil olmak üzere çok önemlidir.
Wiz Defend gibi güvenlik platformları, öldürme zincirinin başlarında bu saldırı modellerini tanımlamak için özel algılama kuralları geliştirmiştir.
Çok bölgeli SES Sandbox Modu’nu terk etme girişimleri, uzun süre hareketsizlik sonrası IAM erişim anahtarı kullanımı ve kısa süreler içinde birden fazla ülkeden API çağrıları gibi davranışları izleyerek, güvenlik ekipleri kampanyalar tam ölçeğe ulaşmadan yanıt verebilir.
Kampanya, ani sivri uçlar için bulut hizmet kullanımının izlenmesinin ve kimlik bilgisi güvenliği etrafında uyanıklığı korumanın kritik öneminin altını çiziyor.
Tehdit aktörleri meşru bulut hizmetlerinden yararlanmak için tekniklerini geliştirmeye devam ettikçe, kuruluşlar bu ortaya çıkan saldırı vektörlerini ele almak için savunma stratejilerini uyarlamalıdır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.