Geçen yılın sonlarında, dünyanın farklı uçlarındaki iki siber suçlu grubu, spam filtrelerinden etkilenmeyen binlerce kimlik avı e-postasını patlatmak için bir Fransız taşımacılık şirketinin AWS hesaplarını kullandı.
Planda, yüksek hacimli e-posta kampanyaları oluşturmaya ve yönetmeye yönelik seçkin bir kurumsal e-posta aracı olan Amazon Web Services’in Basit E-posta Hizmeti’nden (SES) yararlanıldı. Saldırganlar, büyük Paris bölgesindeki ulaşım şirketlerini yöneten kuruluş olan Île-de-France Mobilités’e ait doğrulanmış, üretim düzeyinde SES özellikli hesapları kullanarak, yalnızca beş dakika içinde 2.700 alıcıya ulaşmayı başardılar. .
Bu, tehdit aktörlerinin giderek artan bir eğilime dayanan bir stratejidir. bulut hizmetlerini kötü amaçları için kullanmak.
Sysdig tehdit araştırması direktörü Michael Clark, “Birçoğu dışarı çıkıp bu kaynakları kendileri için geliştirmek zorunda olmadıklarının farkına varıyor” diyor. “Sıradan şirketlerin bulutu satın almasının tam nedeni de bu; tüm bu hizmetleri oluşturmak zorunda değiller, sadece bir hesap alıp bunları kullanmaya başlayabilirler. Bunu yapmak çok hızlı, tüm API’ler tanımlı, dolayısıyla muhtemelen komut dosyalarını ayarlamalarına bile gerek yok; yalnızca yeni bir API anahtarı takmaları yeterli ve kullanıma hazırlar.”
SES: Mükemmel Kimlik Avı Makinesi
Île-de-France Mobilités’i ilk kez açık kaynak PHP çerçevesi Laravel’in eski bir sürümünü çalıştıran bir Linux sistemi aracılığıyla ihlal eden Endonezyalı bir tehdit aktörü gibi görünüyor. Spesifik hata – 9.8 kritik CVE-2021-3129keyfi kod yürütmeye olanak tanıyan – ilk olarak üç yıl önce yayınlandı.
Zamanın bir işareti olarak saldırgan, erişimini doğrudan şirketin AWS hesaplarını, özellikle de SES’in siber saldırı gruplarına yönelik özel hizmet programını hedeflemek için kullandı.
SES toplu e-posta dağıtımına izin verir, ancak bu yalnızca herkes için geçerli değildir. Kötüye kullanımı önlemek için hesaplar, kullanıcıların yalnızca doğrulanmış adreslere erişebildiği ve hacim konusunda katı bir sınıra sahip olduğu bir korumalı alan modunda başlar. Hesap sahiplerinin, eski kısıtlamayı kaldıran ve kişinin günlük gönderme limitini 50.000 e-postaya (veya daha fazla onayla daha fazlasına) yükselten üretim erişimi için başvuruda bulunması gerekiyor. Tüm hesaplara bu durum verilmemektedir.
Potansiyel kimlik avcıları için kurumsal bir hesaptan günde 50.000 e-posta gönderme yeteneği zaten oldukça iyi. Ancak SES, gönderenin itibarını izleme ve artırma yeteneği gibi daha fazla avantaj sunuyor. Ve hepsinden önemlisi, e-postaların spam filtrelerinden geçip gelen kutularına geçeceğini garanti etmek için Etki Alanı Anahtarları Tanımlanmış Posta (DKIM) ile kimlik doğrulamayı kullanır.
O halde, üretim düzeyindeki SES hesapları etrafında genellikle tanesi 600-700 dolar civarında el değiştiren bir karaborsanın oluşması şaşırtıcı değil.
Kaynak: Sysdig
Île saldırganının aklındaki de tam olarak buydu; şirketin SES hesaplarının kimlik bilgilerini, durdurulmadan önce dakikada 550 e-posta göndererek bundan yararlanan bir Fransız aktöre satıyordu.
Bulutun Kötüye Kullanımını Önlemek Gerçekçi Değil mi?
Teorik olarak üç seviye vardır: bulut e-posta saldırısı bodur olabilir.
Öncelikle satıcı var. Clark, AWS için üretim erişim kontrollerinin yanı sıra “bazı basit kontroller de sağlıyorlar – standart analiz, güvenlik – ancak bunların hepsi kullanıcılar tarafından görülemiyor, dolayısıyla bu noktada ne yaptıklarını söylemek zor” diyor.
Dünyanın en büyük beşinci şirketi saldırıyı önleyemezse, bir sonraki savunma hattını kurumsal müşterileri oluşturuyor. Clark, “E-posta hizmetlerini kullanıyorsanız şüpheli davranışlara karşı dikkatli olmanız gerekir, çünkü bu yalnızca kimlik avından daha fazlasıdır; günlük kotanızı tüketebilir ve iş süreçlerinizi durdurabilirler” diye uyarıyor. Kurumsal e-postanın ele geçirilmesi, hem platformun sıralama sisteminde hem de alıcılar arasında itibar kaybına da neden olabilir.
Sysdig’in kıdemli tehdit araştırma mühendisi Alessandro Brucato, hesap sahiplerinin SES’in izleme özelliklerinden iyi bir şekilde yararlandığını öne sürüyor. “Bir saldırgan çok fazla kimlik avı e-postası gönderirse, bu kontrol panelleri bu anormal etkinliği yansıtmaya başlayabilir” diyor ancak şu uyarıda bulunuyor: “Gönderilen e-posta miktarının bir uyarıyı tetikleyeceğini söylemek zor; saldırgan çok sayıda e-postaya ulaşabilir. Ölçümler bir şeylerin ters gittiğine dair ipucu vermeye başlamadan önce binlerce kurban var.”
E-postalar gelen kutularına ulaşırsa, şüphecilik ve ayrıntılara dikkat etmek muhatabın en iyi seçeneğidir. Brucato, bu durumda, örneğin, “saldırganların ‘Navigo ile Bağlantı Kurun’ veya ‘Navigo’yu Destekleyin’ gibi takma adlar seçtiğini belirtiyor. Ancak gönderen adreslerinin gerçek alan adının Navigo ile ilişkili olmadığını belirtiyor.
Ortalama bir günde ortalama bir kişinin herhangi bir ortalama kurumsal e-postaya kartal gözüyle bakması pek olası değildir; tıpkı herhangi bir şirketin bulut hizmetlerinin olası kötüye kullanımını rahatça önleme ihtimali gibi.
Clark şöyle yakınıyor: “Bu, herkesin bir süredir çözmeye çalıştığı bir sorun ve insanlar hâlâ kimlik avı e-postaları alıyor ve hâlâ onların kurbanı oluyor.”