Palo Alto Networks’teki tehdit istihbarat ekibi olan birim 42, Javaghost adında web sitesi aşiktirilmesinden, uzlaşmış AWS ortamlarını kullanarak kalıcı kimlik avı kampanyaları yürütmeye kadar gelişmiş bir tehdit oyuncusu grubu belirledi.
En az 2022’den beri aktif olan grup, kurbanların basit e -posta hizmeti (SES) ve kimlik avı mesajları göndermek için Workmail Hizmetlerinden yararlanmak için aşırı izin veren Amazon Kimliği ve Erişim Yönetimi (IAM) izinlerini kullanıyor.
Javaghost’un yaklaşımı özellikle etkilidir, çünkü meşru kuruluşların AWS altyapısını kullanırlar ve kimlik avı e -postalarının daha önce güvenilir kaynaklardan kaynaklandıkça güvenlik korumalarını atlamalarına izin verirler.
Grup, taktiklerini 2024 yılına kadar sürekli olarak rafine etti ve daha önce dağınık örümcek tehdidi grubuyla ilişkili olarak yansıtma yöntemlerini yansıtmak için gelişmiş kaçırma teknikleri uyguladı.
İlk erişim tipik olarak tehdit aktörlerinin IAM kullanıcılarıyla ilişkili maruz kalan uzun vadeli erişim anahtarları elde etmesiyle başlar.
Diğer saldırganların aksine, JavaGhost, GetCalleridentity API çağrısını girişte kullanmaktan kasıtlı olarak kaçınır ve bu da ortak algılama yöntemlerinden kaçmasına yardımcı olur.
Bunun yerine, daha düşük bir profili korurken erişimlerini onaylamak için getservicequota, getSendQuota ve getAccount gibi alternatif ilk API çağrıları gerçekleştirirler.
Faaliyetlerini daha da gizlemek için, Palo Alto Networks’teki araştırmacılar, JavaGhost’un GetFederationToken ve Getignintoken API’lerini içeren çok aşamalı bir işlemle geçici kimlik bilgileri ve giriş URL’leri ürettiğini belirtti.
Bu sofistike teknik, kimliklerini gizlerken AWS konsoluna erişmelerini sağlar. Bu işlemlerde kullanılan satır içi politikanın bir örneği burada görülebilir, bu da izinleri en üst düzeye çıkaran bir “herkese izin ver” politikayı gösterir.
.webp)
Kimlik avı altyapı kurulumu
Konsol erişimini sağladıktan sonra JavaGhost, çeşitli SES e -posta kimlikleri oluşturarak ve Domainkeys Tanımlı Posta (DKIM) ayarlarını yapılandırarak kimlik avı altyapılarını oluşturmaya başlar.
İşgeme organizasyonlarını ve kullanıcılarını yapılandırmadan önce SES Sanal Dağıtım Yöneticisi özelliklerini ve posta ile ayarları değiştirirler.
Bir çalışma fıkra organizasyonunun oluşturulması, CloatTrail günlüklerinde CreateReCeiptrule, CreateReCeiptruleset ve PutidentityPolicy dahil olmak üzere çok sayıda SES ve AWS dizin hizmet etkinliğini tetikler.
Kimlik avı kampanyalarını başlatmadan önce JavaGhost, belirli izinlere sahip IAM kullanıcılarının üretilmesiyle sonuçlanan yeni SMTP kimlik bilgileri oluşturuyor.
Saldırı yaşam döngüsü boyunca, hedef ortamda tam izinler sağlayan AWS Yönetilen Yönetici İmparatorluğu Politikası ile ek IAM kullanıcıları oluştururlar.
.webp)
Grup, tarihi web sitelerinde bulunan sloganlarıyla eşleşen “Java_ghost” adlı bir EC2 güvenlik grubu oluşturarak sürekli olarak “Java_ghost” adlı bir EC2 güvenlik grubu oluşturarak “oradayız ama görünür değiliz” açıklamasıyla ayrılıyor.
.webp)
Teknikleri gelişmeye devam ederken, CloudTrail günlüklerinin dikkatle izlenmesi ile etkinlikleri tespit edilebilir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.