Hackers explotan «Misconfigurations»en AWS para lanzar ataques de phishing a través de SES y WorkMail

Investigadores de Palo Alto Networks Unit 42 han identificado que actores maliciosos están aprovechando configuraciones incorrectas en entornos de Amazon Web Services (AWS) para distribuir campañas de phishing a víctimas desprevenidas.

Los actores de amenazas están apuntando a entornos de Amazon Web Services (AWS) para desplegar campañas de phishing dirigidas a víctimas desprevenidas, según hallazgos de Palo Alto Networks Unit 42. La compañía de ciberseguridad está rastreando el clúster de actividades bajo el nombre de TGR-UNK-0011 (corto para un grupo de amenaza con una motivación desconocida), que dijo se superpone con un grupo conocido como JavaGhost. TGR-UNK-0011 se sabe que está activo desde 2019.

«El grupo se centró históricamente en desfigurar sitios web», dijo Said la investigadora de seguridad Margaret Kelley. «En 2022, pivotaron para enviar correos electrónicos de phishing para obtener ganancias financieras».

Se señala que estos ataques no explotan ninguna vulnerabilidad en AWS. Más bien, los actores de la amenaza aprovechan las configuraciones erróneas en los entornos de las víctimas que exponen sus claves de acceso de AWS con el fin de enviar mensajes de phishing abusando de los servicios de Amazon Simple Email (SES) y WorkMail. De este modo, el modus operandi ofrece el beneficio de no tener que acoger o pagar su propia infraestructura para llevar a cabo la actividad maliciosa. Además, permite que los mensajes de phishing del actor de la amenaza dejen de proteger los correos electrónicos desde que las misivas digitales tienen su origen en una entidad conocida de la que la organización objetivo ha recibido previamente correos electrónicos.

«JavaGhost obtuvo claves de acceso expuestos a largo plazo asociadas con los usuarios de gestión de identidad y acceso (IAM) que les permitieron obtener acceso inicial a un entorno AWS a través de la interfaz de línea de comandos (CLI) «, explicó Kelley.

«Entre el 2022-24, el grupo evolucionó sus tácticas a técnicas de evasión de defensa más avanzadas que intentan ofuscar identidades en los registros de CloudTrail. Esta táctica ha sido históricamente explotada por Spider disperso».

Una vez que se confirma el acceso a la cuenta AWS de la organización, se sabe que los atacantes generan credenciales temporales y una URL de inicio de sesión para permitir el acceso a la consola. Esto, señaló la Unidad 42, les otorga la capacidad de ofuscar su identidad y ganar visibilidad en los recursos dentro de la cuenta de AWS. Posteriormente, se ha observado al grupo utilizando SES y WorkMail para establecer la infraestructura de phishing, creando nuevos usuarios de SES y WorkMail, y estableciendo nuevas credenciales SMTP para enviar mensajes de correo electrónico.

«A lo largo del marco temporal de los ataques, JavaGhost crea varios usuarios del IAM, algunos que usan durante sus ataques y otros que nunca usan», dijo Kelley. «Los usuarios no utilizados del IAM parecen servir como mecanismos de persistencia a largo plazo».

Otro aspecto notable del modus operandi del actor de amenaza se refiere a la creación de un nuevo rol de IAM con una política de confianza adjunta, permitiéndoles así acceder a la cuenta de AWS de la organización desde otra cuenta de AWS bajo su control.

«El grupo sigue dejando la misma tarjeta de presentación en medio de su ataque mediante la creación de nuevos grupos de seguridad Amazon Elastic Cloud Compute (EC2) llamados Java-Ghost, con la descripción del grupo ‘Estamos ahí pero no visibles'», concluyó la Unidad 42.

«Estos grupos de seguridad no contienen ninguna regla de seguridad y el grupo normalmente no hace ningún intento de vincular a estos grupos de seguridad a ningún recurso. La creación de los grupos de seguridad aparecen en los registros de CloudTrail en los eventos de CreateSecurityGroup».

Scroll al inicio