Критическая угроза для облачной инфраструктуры: компрометация учетных данных в AWS приводит к масштабным фишинговым атакам

Недавно обнаруженная кампания, получившая название TruffleNet, демонстрирует новые тактики атакующих. Злоумышленники использовали похищенные учетные данные для целевых атак на SES, создавая масштабную инфраструктуру для проведения фишинговых операций. Основу этой инфраструктуры составил инструмент с открытым исходным кодом TruffleHog, систематически проверяющий скомпрометированные учетные данные и проводящий разведку в средах AWS.

Особенностью инфратейсруктуры TruffleNet стало использование более 800 уникальных хостов, распределенных по 57 различным сетям класса C. Примечательно, что подавляющее большинство IP-адресов этой сети не имели негативной репутации в системах антивирусного обнаружения, что указывает на целенаправленно созданную инфраструктуру для конкретных задач. В отличие от типичных облачных атак, где исходные IP-адреса часто связаны с VPN, TOR-узлами или другой подозрительной активностью, TruffleNet демонстрировал признаки специализированной инфраструктуры.

Анализ хостов TruffleNet выявил согласованные конфигурации, включая открытые порты 5432 и 3389, которые не использовались для своих стандартных назначений. Также на многих хостах был обнаружен Portainer - инструмент управления контейнерами Docker и Kubernetes. Хотя этот инструмент легитимно используется администраторами для DevOps-процессов, злоумышленники приспособили его в качестве легковесной панели управления для координации масштабной вредоносной инфраструктуры.

Особую озабоченность вызывает связь активности TruffleNet с кампаниями Business Email Compromise (BEC), когда мошенники выдают себя за доверенных лиц для совершения финансовых мошенничеств. В данном случае злоумышленники использовали скомпрометированные среды AWS для создания отправляющих идентичностей через Amazon SES, используя DomainKeys Identified Mail (DKIM) с ранее скомпрометированных сайтов WordPress.

Перед проведением BEC-кампании атакующие проводили агрессивную облачную разведку и пытались повысить привилегии путем создания новой учетной записи. Хотя эта попытка эскалации привилегий не увенчалась успехом, одна из учетных записей обладала достаточными правами для взаимодействия с сервисом SES.

В ходе атаки наблюдалась последовательность вызовов API, начиная с ListIdentities для перечисления проверенных отправляющих идентичностей и заканчивая CreateEmailIdentity для создания новых email-идентичностей. Злоумышленники создали шесть email-идентичностей, используя скомпрометированные домены, некоторые из которых уже были связаны с другой вредоносной активностью, включая криптоджекинг XMrig и троян Coroxy.

Сразу после атаки домен cfp-impactaction[.]com был использован в мошеннической схеме с поддельными счетами-фактурами, нацеленной на нефтегазовый сектор. Атакующие рассылали инвойсы, выдавая себя за компанию ZoomInfo, с требованием платежа в размере 50 000 долларов. В прикрепленной форме W-9 использовался публично доступный идентификационный номер работодателя реальной компании для придания видимости легитимности. Для обработки платежных запросов использовался адрес электронной почты с опечаткой в домене.

Оборона от угроз, связанных с компрометацией идентичности в облаке, требует комплексного подхода. Непрерывный мониторинг, принцип минимальных привилегий и поведенческая аналитика становятся критически важными элементами защиты. Интегрированные платформы безопасности, объединяющие решения для облачной безопасности, сетевой защиты, защиты почтовых серверов и обнаружения угроз, обеспечивают необходимую видимость и защиту для противодействия развивающимся тактикам злоумышленников.

Случай с TruffleNet наглядно демонстрирует, насколько быстро угрозы эволюционируют, используя легитимные облачные сервисы для проведения масштабных мошеннических операций. Организациям необходимо пересматривать свои подходы к безопасности облачной инфраструктуры, уделяя особое внимание защите учетных данных и мониторингу подозрительной активности в сервисах отправки электронной почты.

IPv4

• 175.103.36.74
• 43.252.9.253

Domains

• cdnbenin.com
• cfp-impactaction.com
• majoor.co
• novainways.com
• restaurantalhes.com

User-Agents

• aws-cli/1.42.4 md/Botocore#1.40.4 ua/2.1 os/linux#5.15.0-151-generic md/arch#x86_64 lang/python#3.10.12 md/pyimpl#CPython m/b,D,Z cfg/retry-mode#legacy botocore/1.40.4
• aws-cli/1.42.4 md/Botocore#1.40.4 ua/2.1 os/linux#5.15.0-151-generic md/arch#x86_64 lang/python#3.10.12 md/pyimpl#CPython m/b,Z,D cfg/retry-mode#legacy botocore/1.40.4
• aws-cli/1.42.4 md/Botocore#1.40.4 ua/2.1 os/linux#5.15.0-151-generic md/arch#x86_64 lang/python#3.10.12 md/pyimpl#CPython m/D,b,Z cfg/retry-mode#legacy botocore/1.40.4
• aws-cli/1.42.4 md/Botocore#1.40.4 ua/2.1 os/linux#5.15.0-151-generic md/arch#x86_64 lang/python#3.10.12 md/pyimpl#CPython m/D,Z,b cfg/retry-mode#legacy botocore/1.40.4
• aws-cli/1.42.4 md/Botocore#1.40.4 ua/2.1 os/linux#5.15.0-151-generic md/arch#x86_64 lang/python#3.10.12 md/pyimpl#CPython m/Z,b,D cfg/retry-mode#legacy botocore/1.40.4
• aws-cli/1.42.4 md/Botocore#1.40.4 ua/2.1 os/linux#5.15.0-151-generic md/arch#x86_64 lang/python#3.10.12 md/pyimpl#CPython m/Z,D,b cfg/retry-mode#legacy botocore/1.40.4
• aws-cli/2.27.57 md/awscrt#0.26.1 ua/2.1 os/linux#6.6.87.2-microsoft-standard-WSL2 md/arch#x86_64 lang/python#3.13.4 md/pyimpl#CPython m/E,b,Z cfg/retry-mode#standard md/installer#exe md/distrib#ubuntu.24 sid/f8b68673fee3 md/prompt#off md/command#sesv2.create-email-identity
• aws-cli/2.27.57 md/awscrt#0.26.1 ua/2.1 os/linux#6.6.87.2-microsoft-standard-WSL2 md/arch#x86_64 lang/python#3.13.4 md/pyimpl#CPython m/Z,b,E cfg/retry-mode#standard md/installer#exe md/distrib#ubuntu.24 sid/2aa4051c3d17 md/prompt#off md/command#sesv2.create-email-identity
• Boto3/1.36.3 md/Botocore#1.36.3 ua/2.0 os/linux#6.6.87.2-microsoft-standard-WSL2 md/arch#x86_64 lang/python#3.12.3 md/pyimpl#CPython cfg/retry-mode#legacy Botocore/1.36.3