Günlük 50.000’den fazla kötü amaçlı e-posta sunabilen büyük ölçekli kimlik avı operasyonlarını düzenlemek için Amazon’un Basit E-posta Hizmetinden (SES) sömürülen gelişmiş bir siber suç kampanyası ortaya çıktı.
Saldırı, bulut hizmeti istismarında önemli bir evrimi temsil ederek AWS’nin meşru toplu e -posta platformunu kimlik hırsızlığı ve finansal sahtekarlık için bir silah haline getiriyor.
Kampanya, kod depolarına kazara kamuya maruz kalma, yanlış yapılandırılmış bulut varlıkları veya geliştirici iş istasyonlarından hırsızlık da dahil olmak üzere ortak saldırı vektörleri aracılığıyla elde edilen tehlikeye atılmış AWS erişim anahtarlarıyla başlar.
Düşmanlar bu kimlik bilgilerini güvence altına aldıktan sonra, mevcut izinleri değerlendirmek için GetCalleridentity isteklerini kullanarak çevreyi derhal araştırırlar, özellikle e-posta hizmeti erişimini gösteren SES ile ilgili adlandırma kurallarına sahip hesapları hedefler.
Wiz.io araştırmacıları, birden fazla bölgede AWS API etkinliğindeki olağandışı kalıpları tespit ettikten sonra bu Mayıs 2025 kampanyasını belirlediler.
Saldırganlar, SES’in varsayılan “sanal alan” kısıtlamalarından kaçmak için saniyeler içinde tüm AWS bölgeleri arasında PutaCcountDetails taleplerini eşzamanlı olarak çok bölgesel bir yaklaşım uygulayarak dikkate değer bir gelişmişlik gösterdiler.
Daha önce güvenlik literatüründe belgelenmemiş olan bu teknik, tehdit aktörlerinin standart 200 e-posta günlük sınırını atlamasına ve üretim modu yeteneklerinin kilidini açmasına izin verir.
Kimlik avı altyapısı, vergi ile ilgili içeriğe sahip kurbanları hedefler, “2024 vergi formlarınız (lar) gibi konu satırlarını kullanan, katılım oranlarını en üst düzeye çıkarmak için artık görüntülemeye ve yazdırmaya hazırdır”.
.webp)
Bu mesajlar kullanıcıları, kötü niyetli altyapıyı gizlemek ve geleneksel güvenlik tarayıcılarından kaçmak için ticari trafik analiz hizmetlerini kullanan IRS.securesusa.com gibi alanlarda barındırılan kimlik bilgisi hasat sitelerine yönlendirir.
Teknik Altyapı ve Kaçınma Mekanizmaları
Saldırganlar, CreateMailidentity API’sını kullanarak sistematik alan doğrulaması yoluyla e -posta altyapılarını oluştururlar.
E-posta taklitini kolaylaştıran zayıf DMARC konfigürasyonlarına sahip meşru alanların yanı sıra, Managed7.com, Street7News.org ve Docfilessa.com dahil olmak üzere saldırgan kontrollü alan adlarını kaydederler.
Doğrulanan her etki alanı, alıcı gelen kutularında meşru görünmek için admin@, faturalandırma@ve noreply@gibi standart önekleri kullanarak birden fazla e -posta adresini destekler.
Kampanyanın teknik karmaşıklığı otomatik ayrıcalık yükseltme girişimlerine kadar uzanıyor.
Standart üretim kotaları yetersiz kaldığında, saldırganlar CreateCase API’sı aracılığıyla programlı olarak destek biletleri oluşturdu ve gelişmiş izinler elde etmek için “SES-destek-politikası” adlı IAM politikaları oluşturmaya çalıştılar.
Her ne kadar bu yükseklik girişimleri yetersiz ayrıcalıklar nedeniyle başarısız olmasına rağmen, 50.000 e-posta günlük kotası operasyonel gereksinimleri için yeterli kaldı.
Bu SES istismarı kampanyası, meşru iş amaçları için tasarlanan bulut hizmetlerinin ölçekte nasıl silahlandırılabileceğini ve bulut ortamlarında olağandışı erişim anahtarlarının ve olağandışı olmayan bölge arası API etkinlik modellerinin arttırılmasına yönelik kritik ihtiyacı vurgulamaktadır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.