Palo Alto Networks Birimi 42’nin bulgularına göre, tehdit aktörleri Amazon Web Services (AWS) ortamlarını, kimlik avı kampanyalarını şüphesiz hedeflere zorlamayı hedefliyor.
Siber güvenlik şirketi, aktivite kümesini adı altında izliyor TGR-SUNC-0011 (bilinmeyen motivasyona sahip bir tehdit grubunun kısaltması), Javaghost olarak bilinen bir grupla örtüştüğünü söyledi. TGR-SUNC-0011’in 2019’dan beri aktif olduğu bilinmektedir.
Güvenlik araştırmacısı Margaret Kelley, “Grup tarihsel olarak web sitelerini tahrif etmeye odaklandı.” Dedi. “2022’de finansal kazanç için kimlik avı e -postaları göndermeye döndüler.”
Bu saldırıların AWS’de herhangi bir güvenlik açığından yararlanmadığını belirtmek gerekir. Daha ziyade, tehdit aktörleri, Amazon Basit E -posta Hizmetini (SES) ve Workmail hizmetlerini kötüye kullanarak kimlik avı mesajları göndermek için mağdurların ortamlarındaki AWS erişim anahtarlarını ortaya çıkaran yanlış yakınlaştırmalardan yararlanır.
Bunu yaparken, Modus operandi, kötü niyetli faaliyeti gerçekleştirmek için kendi altyapılarını barındırmak veya ödemek zorunda kalmama avantajını sunar.
Dahası, Dijital Medices, hedef kuruluşun daha önce e -posta aldığı bilinen bir varlıktan kaynaklandığından, tehdit oyuncunun kimlik avı mesajlarının e -posta korumalarını ortadan kaldırmasını sağlar.
Kelley, “JavaGhost, komut satırı arabirimi (CLI) aracılığıyla bir AWS ortamına ilk erişim elde etmelerine izin veren Kimlik ve Erişim Yönetimi (IAM) kullanıcılarıyla ilişkili açık uzun vadeli erişim anahtarları aldı.”
“2022-24 arasında grup, taktiklerini Cloudtrail günlüklerinde kimlikleri gizlemeye çalışan daha ileri savunma kaçakçılığı tekniklerine geliştirdi. Bu taktik tarihsel olarak dağınık örümcek tarafından sömürüldü.”
Kuruluşun AWS hesabına erişim onaylandıktan sonra, saldırganların konsol erişimine izin vermek için geçici kimlik bilgileri ve bir giriş URL’si oluşturdukları bilinmektedir. Birim 42, bu, onlara kimliklerini gizleme ve AWS hesabındaki kaynaklara görünürlük kazanma yeteneği verdiğini belirtti.
Daha sonra grup, kimlik avı altyapısını kurmak, yeni SES ve işleme kullanıcıları oluşturmak ve e -posta mesajları göndermek için yeni SMTP kimlik bilgileri ayarlamak için SES ve Workmail kullanılarak gözlemlenmiştir.
Kelley, “Saldırıların zaman çerçevesi boyunca, Javaghost çeşitli IAM kullanıcıları yaratıyor, bazıları saldırıları sırasında kullanıyorlar ve diğerleri asla kullanmadıkları.” Dedi. “Kullanılmayan IAM kullanıcıları uzun vadeli kalıcılık mekanizmaları olarak hizmet ediyor gibi görünüyor.”
Tehdit oyuncusunun Modus operandi’nin bir diğer önemli yönü, bir güven politikası ile yeni bir IAM rolünün oluşturulmasıyla ilgilidir, böylece kuruluşun AWS hesabına kontrolleri altındaki başka bir AWS hesabından erişmelerine izin verir.
Ünite 42, “Grup, Java_ghost adlı yeni Amazon Elastik Cloud Compute (EC2) güvenlik grupları oluşturarak saldırılarının ortasında aynı arama kartını bırakmaya devam ediyor.
“Bu güvenlik grupları herhangi bir güvenlik kuralı içermez ve grup genellikle bu güvenlik gruplarını herhangi bir kaynağa ekleme girişiminde bulunmaz. Güvenlik gruplarının oluşturulması, CreateSecurityGroup olaylarında CloudTrail günlüklerinde görünür.”