Ünite 42 araştırmacıları, JavaGhost olarak bilinen bir tehdit aktör grubu, Amazon Web Services (AWS) ortamlarındaki yanlış yapılandırmaların gelişmiş kimlik avı kampanyaları yürütmesi için gözlemlediler.
Beş yılı aşkın bir süredir aktif olan JavaGhost, web sitesi defansından finansal kazanç için tehlikeye atılan bulut altyapısından yararlanmaya kadar döndü.
Grubun saldırıları, kurban ortamlarına ilk erişim elde etmek için kullandıkları maruz kalan uzun vadeli AWS erişim anahtarlarından kaynaklanmaktadır.
Javaghost, tipik olarak dağınık örümcek gibi daha kötü şöhretli tehdit aktörleriyle ilişkili ileri kaçaklama tekniklerini kullanarak artan sofistike olduğunu göstermiştir.


Kimlik avı altyapı kurulumu
Erişim kazandıktan sonra JavaGhost, Amazon Basit E -posta Servisi (SES) ve Workmail’i kullanarak kimlik avı altyapısı kurar.
Saldırganlar birden fazla e-posta kimliği oluşturur, DKIM ayarlarını yapılandırır ve Posta özelliklerini değiştirir.
Ayrıca, CloudTrail günlüklerinde çeşitli SES ve AWS dizin hizmeti etkinlikleri üreterek işleme organizasyonları ve kullanıcıları kurdular.


Kimlik avı e -postaları göndermek için JavaGhost, yeni SMTP kimlik bilgileri oluşturur ve bu da belirli izinlere sahip yeni IAM kullanıcılarının oluşturulmasına neden olur.
Önceden var olan SES altyapısı mevcut olduğunda, grup onu kullanır ve dataplane günlüğü etkinleştirilmedikçe CloudTrail günlüklerinde minimum izler bırakır.
Kimlik ve Erişim Yönetimi Sömürü
Javaghost, bazıları saldırılarda aktif olarak kullanılan çeşitli IAM kullanıcıları yaratır ve diğerleri uzun vadeli kalıcılık için görünüşte.
Ünite 42 raporuna göre, bu kullanıcılara genellikle YöneticiCess politikası ve konsol erişimi verilir.
Son saldırılarda, grup, saldırgan kontrolündeki AWS hesaplarından erişime izin veren güven politikalarına sahip IAM rollerini kullanmaya başladı.
Saldırganlar ayrıca AWS organizasyonlarını terk etmeye ve varsayılan olarak etkinleştirilmeyen tüm AWS bölgelerini potansiyel olarak güvenlik denetimlerinden kaçınmaya çalışırlar.
Bu eylemler, CloudTrail günlüklerinde tespit edilebilir olaylar üreterek tehdit algılama ve yanıt için fırsatlar sunar.
Javaghost taktiklerini geliştirmeye devam ettikçe, kuruluşlar uyanık kalmalıdır.
En az ayrıcalık erişimini uygulamak, IAM kimlik bilgilerini düzenli olarak döndürmek, kısa süreli erişim belirteçlerini kullanmak, çok faktörlü kimlik doğrulamasını sağlamak ve bulut güvenliği duruş yönetimi araçlarından yararlanmak, bu tür tehditlere karşı çok önemli bir azaltmadır.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.