Злоумышленники используют облачные сервисы Amazon для масштабных фишинговых атак

Основная проблема заключается в том, что фишинговые кампании, размещенные на доверенной инфраструктуре AWS, успешно обходят многие традиционные средства защиты электронной почты. Например, Secure Email Gateways (SEG) и другие технологии фильтрации часто пропускают письма, исходящие с легитимных на первый взгляд адресов Amazon. Следовательно, это значительно повышает риск для организаций в современном цифровом ландшафте.

Ключевой вектор атак - злоупотребление сервисом S3. Этот сервис хранения объектов позволяет размещать статические сайты. Однако из-за частых ошибок в конфигурации многие хранилища (buckets) становятся публично доступными. В результате злоумышленники размещают в них фишинговые страницы, которые идеально копируют интерфейсы популярных сервисов вроде Microsoft 365. Домен S3, содержащий "amazonaws.com", выглядит надежным для пользователей и систем безопасности.

Другой распространенный метод связан с использованием Amazon SES для рассылки вредоносных писем. Этот сервис электронной почты предоставляет функцию отслеживания кликов через домен "awstrack[.]me". Злоумышленники, получив доступ к скомпрометированным или слабо защищенным учетным записям SES, используют эту функцию для маскировки фишинговых ссылок. В итоге настоящий адрес сайта для сбора данных скрывается за доверенным доменом AWS, что усложняет его обнаружение.

Платформа для разработки AWS Amplify также стала инструментом в руках киберпреступников. Ее бесплатный тариф и простота развертывания позволяют даже неопытным злоумышленникам быстро размещать фишинговые страницы. Например, создавать поддельные формы входа для Zoom или других сервисов на субдоменах "amplifyapp[.]com". Безусловно, это придает атакам видимость легитимности.

Эластичная природа облака AWS дает преступникам значительные операционные преимущества. Они могут быстро разворачивать и масштабировать фишинговую инфраструктуру под нужды конкретной кампинии с минимальными затратами. Кроме того, использование автоматических скриптов и временных ресурсов позволяет так же быстро ликвидировать следы после завершения атаки, что серьезно затрудняет последующий forensic-анализ.

Несмотря на усилия Amazon по предотвращению злоупотреблений, отчет показывает сохраняющиеся пробелы в безопасности. В частности, остаются уязвимыми слабые настройки Identity and Access Management (IAM), недостаточный мониторинг активности и упрощенные процедуры регистрации. Таким образом, даже злоумышленники с низким уровнем навыков продолжают успешно эксплуатировать эти сервисы.

В заключение, исследование подчеркивает необходимость для компаний пересмотреть подход к безопасности. Защита не должна ограничиваться проверкой входящей почты. Важно внедрять комплексные меры, включая обучение пользователей, строгий контроль конфигураций облачных сервисов и мониторинг подозрительной активности внутри собственных AWS-сред. В противном случае доверенная облачная инфраструктура будет и дальше служить удобной платформой для масштабного кибермошенничества.

• *.awstrack.me
• main.d3hhbrxwf4lu41.amplifyapp.com
• *.amplifyapp.com