Gli attori delle minacce stanno prendendo di mira Amazon Net Providers (AWS) ambienti per spingere le campagne di phishing a obiettivi ignari, secondo i risultati della Palo Alto Networks Unit 42.
La società di sicurezza informatica sta monitorando il cluster di attività sotto il nome TGR-UNK-0011 (abbreviazione per a Gruppo di minacce con motivazione sconosciuta), che diceva si sovrappone a un gruppo noto come Javaghost. TGR-UNK-0011 è noto per essere attivo dal 2019.
“Il gruppo si è concentrato storicamente sui siti Net defacenti”, la ricercatrice di sicurezza Margaret Kelley disse. “Nel 2022, hanno ruotato per inviare e -mail di phishing per guadagno finanziario.”
Vale la pena notare che questi attacchi non sfruttano alcuna vulnerabilità in AWS. Piuttosto, gli attori delle minacce sfruttano le errate configurazioni negli ambienti delle vittime che espongono le loro chiavi di accesso AWS al fantastic di inviare messaggi di phishing abusando di Amazon Easy E mail Service (SES) e servizi di lavoro.
In tal modo, il modus operandi offre il vantaggio di non dover ospitare o pagare la propria infrastruttura per svolgere l’attività dannosa.
Inoltre, consente ai messaggi di phishing dell’attore di minaccia di eludere le protezioni e -mail da quando le missive digitali provengono da un’entità nota da cui l’organizzazione goal ha precedentemente ricevuto e -mail.
“Javaghost ha ottenuto le chiavi di accesso a lungo termine esposte affiliate agli utenti di Id and Entry Administration (IAM) che hanno permesso loro di ottenere l’accesso iniziale a un ambiente AWS tramite l’interfaccia della linea di comando (CLI)”, ha spiegato Kelley.
“Tra il 2022-24, il gruppo evolve le loro tattiche in tecniche di evasione di difesa più avanzate che tentano di offuscare le identità nel Registri cloudtrail. Questa tattica è stata storicamente Sfruttato da Spider sparso. “
Una volta confermato l’accesso all’account AWS dell’organizzazione, è noto che gli aggressori generano credenziali temporanee e un URL di accesso a Consenti l’accesso alla console. Questo, ha osservato unità 42, garantisce loro la capacità di offuscare la loro identità e ottenere visibilità nelle risorse all’interno del conto AWS.
Successivamente, il gruppo è stato osservato utilizzando SES e workmail per stabilire l’infrastruttura di phishing, creazione di nuovi utenti SES e di lavoro e creazione di nuove credenziali SMTP per inviare messaggi di posta elettronica.
“Durante tutto il lasso di tempo degli attacchi, Javaghost crea vari utenti IAM, alcuni che usano durante i loro attacchi e altri che non usano mai”, ha detto Kelley. “Gli utenti IAM inutilizzati sembrano servire come meccanismi di persistenza a lungo termine.”
Un altro aspetto notevole del modus operandi dell’attore della minaccia riguarda la creazione di un nuovo ruolo IAM con a Politica di fiducia allegataconsentendo così loro di accedere all’account AWS dell’organizzazione da un altro account AWS sotto il loro controllo.
“Il gruppo continua a lasciare lo stesso biglietto da visita nel mezzo del loro attacco creando nuovi gruppi di sicurezza di Amazon Elastic Cloud Compute (EC2) di nome Java_Ghost, con la descrizione del gruppo” Siamo lì ma non visibili “, ha concluso l’unità 42.
“Questi gruppi di sicurezza non contengono regole di sicurezza e il gruppo in genere non tenta di allegare questi gruppi di sicurezza a alcuna risorsa. La creazione dei gruppi di sicurezza viene visualizzata nei registri di CloudTrail negli eventi di CreaSecurityGroup.”
