Sahte gönderici adresini kullanarak tehlikeye atılmış bir AWS hesabından yalnızca PNG görüntüsü içeren bir kimlik avı e-postası gönderildi [email protected].
Resme tıklamak, kurbanları kötü amaçlı bir Squarespace etki alanına, giraffe-viola-p262.squarespace, yönlendirdi[.]com, daha sonra bir PDF görüntüleyicisinin ortaya çıkmasına yol açtı.
Açık kaynaklı tehdit istihbaratına göre, gönderici etki alanı bilinen bir kötü amaçlı yazılım dağıtıcısı olarak tanınıyor ve bu durum AWS hesaplarını hedef alıyor.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Saldırı, bir dosya paylaşım sitesinde barındırılan kötü amaçlı bir PDF ile başlıyor ve PDF içindeki “Fatura Özeti” bağlantısına tıklandığında bir yönlendirme zinciri tetikleniyor.
Öncelikle bir bağlantı kısaltma servisinden geçiyor ve ardından saldırganın kontrolündeki bir AWS konsol sayfası gibi görünen bir etki alanına gidiyor.
Son olarak, kullanıcı kimlik bilgilerini çalmak için tasarlanmış sahte bir oturum açma sayfasına ulaşır. Google Chrome bunu kimlik avı olarak işaretlerken, diğer tarayıcıların kullanıcıları veya uyarıları görmezden gelenler risk altındadır.
Kimlik bilgilerini çalan sahte bir AWS giriş sayfası, örneğin signin.aws.consoleportal.tech, gerçeğine çok benzer ve hatta benzer bir URL yapısı kullanır.
Sahte sayfa, daha fazla bilgi toplamak için şüpheli bir konumdan JavaScript yüklüyor. (https://d35uxhjf90umnp.cloudfront.net/index.js) Ancak bu betiğin doğrudan saldırgan tarafından kontrol edilip edilmediği veya bir şekilde AWS kaynaklarına bağlı olup olmadığı belirsiz.
Bir çalışanın AWS oturum açma bilgilerini taklit etmek üzere tasarlanan bal tuzağı, yalnızca başlangıçta hedeflenen kurbanın e-posta adresini kabul eden gelişmiş bir kimlik avı sayfasıyla karşılaştı ve bu da olası kişiselleştirme veya filtreleme mekanizmalarına işaret etti.
Çalışanın gerçek hesabını kullanmayı düşünürken saldırganın altyapısı kullanılamaz hale geldi.
Nedeni henüz net değil ancak rapordan kaynaklanıyor olabilir [email protected] veya saldırganların değişen taktiklerini ve katmanlı güvenlik önlemlerinin önemini vurgulayan Chrome’un yerleşik kimlik avı tespiti.
Kimlik avı risklerini azaltmak için AWS müşterileri, Hizmet Kontrol Politikaları aracılığıyla kök oturum açmayı devre dışı bırakarak, Kuruluş Yönetimi hesapları için FIDO güvenlik anahtarlarını kullanarak kimlik avına dayanıklı MFA uygulayarak ve kullanıcı kimlik doğrulaması için SSO gibi ek önlemleri göz önünde bulundurarak güçlü hesap güvenliği sağlamalıdır.
Bu katmanlı yaklaşım, başarılı bir kimlik avı saldırısının olasılığını önemli ölçüde azaltarak, kuruluşu insan hatası durumunda bile korur.
Kimlik doğrulama yönetimini kolaylaştırmak ve ek kimlik doğrulama önlemleriyle güvenliği artırmak için IAM kullanıcıları veya kök oturum açma işlemleri yerine tüm bulut ortamı erişimleri için SSO’yu zorunlu kılın.
Kritik kaynaklara erişimi kısıtlayarak ve AWS Kuruluş Yönetimi hesaplarına kök erişimi gibi yükseltilmiş izinlere sahip kullanıcı sayısını en aza indirerek, tehlikeye atılmış kullanıcı hesaplarıyla ilişkili riskleri azaltmak için en az ayrıcalık ilkelerini uygulayın.
Amazon CloudTrail gibi bulut günlük kaydı hizmetleri, güvenlik olaylarına etkili müdahale için kritik öneme sahiptir.
Bu hizmetler, bulut faaliyetlerini sürekli olarak kaydederek güvenlik ekiplerinin tehlikeye atılan kaynakları tespit etmesini, ihlalin kapsamını belirlemesini ve hedefli düzeltme eylemleri uygulamasını sağlar.
Wiz’deki araştırmacılar, CloudFlare’e dönüşen consoleportal.tech adlı kimlik avı alan adını tespit etti.
Tarihsel DNS verileri, AWS hizmetlerini taklit eden alt alan adlarına sahip diğer potansiyel kimlik avı alan adlarını barındıran Namecheap ve Hostinger’dan daha önce kullanılmış IP adreslerini ortaya çıkardı (örneğin, signin.aws. {domain}).
Benzer bir arama, Amazon’un giriş sayfasını kopyalayan çok sayıda alan adını ortaya çıkardı. Sahipliği aynı saldırgana ait olmasa da, alt alan adı biçimi ve bilinen kimlik avı IP’leriyle ilişki kötü niyetli niyeti gösteriyor.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Acces