Утерянные ключи AWS как отправная точка для фишинга: злоумышленники захватывают облачные почтовые сервисы

Кампания началась с компрометации ключа доступа AWS - распространённого вектора атак, который ежедневно используется злоумышленниками по всему миру. Получив доступ к учётным данным, злоумышленник провёл разведку в облачной среде жертвы, используя вызовы GetCallerIdentity, GetSendQuota и GetAccount. Это позволило ему определить текущее состояние SES, который по умолчанию работает в песочнице с ограничением на отправку не более 200 писем в сутки.

Затем атакующий предпринял автоматизированную попытку перевести аккаунт в производственный режим, отправив множество запросов PutAccountDetails во всех регионах AWS в течение всего десяти секунд. Это ранее не документированная техника, которая может свидетельствовать о попытке обойти региональные ограничения или повысить квоты на отправку писем. В запросе на снятие ограничений злоумышленник указал вымышленные данные о строительной компании, не связанной с реальным владельцем аккаунта.

Несмотря на неудачные попытки дальнейшего увеличения ограничений с помощью CreateCase API и повышения привилегий, атакующему удалось получить стандартную производственную квоту в 50 000 писем в день. Этого оказалось достаточно для запуска фишинговой кампании. На следующем этапе злоумышленник верифицировал несколько доменов, включая управляемые им managed7[.]com, street7news[.]org, street7market[.]net и docfilessa[.]com, а также легитимные домены со слабыми настройками DMARC.

Создав поддельные адреса с типовыми префиксами (admin@, billing@, sales@), злоумышленник начал рассылку фишинговых писем, маскирующихся под уведомления о налоговых формах за 2024 год. Письма содержали ссылки на фальшивую страницу ввода учётных данных, замаскированную с помощью сервиса анализа трафика - техники, обычно используемой в маркетинговых кампаниях, но адаптированной для обхода систем безопасности.

Аналитики Wiz совместно со специалистами Proofpoint установили, что кампания носила беспорядочный характер без явной географической или отраслевой направленности. Основной мотив - финансовое обогащение, а не целевая атака на конкретные организации.

Злоупотребление SES представляет серьёзную угрозу по нескольким причинам. Во-первых, атаки от имени доверенных доменов наносят репутационный ущерб и могут использоваться для целевого фишинга и мошенничества. Во-вторых, компрометация SES редко происходит изолированно - она свидетельствует о наличии у злоумышленников действующих учётных данных AWS. В-третьих, подобная активность может привести к жалобам на злоупотребления и блокировке аккаунта AWS.

Для предотвращения подобных инцидентов организациям рекомендуется ограничить использование SES там, где это возможно, регулярно обновлять ключи доступа, применять принцип наименьших привилерий и вести мониторинг подозрительной активности через CloudTrail.

Обнаружение и анализ подобных кампаний позволяют улучшить системы защиты и расширить покрытие этапов кибератаки, что особенно важно в условиях растущей автоматизации действий злоумышленников в облачных средах.

Domains

• managed7.com
• street7news.org
• street7market.net
• docfilessa.com