Los actores de amenaza están dirigidos a entornos de Amazon Web Services (AWS) para expulsar las campañas de phishing a objetivos desprevenidos, según los hallazgos de la Pelotón 42 de Palo Parada Networks.
La compañía de ciberseguridad está rastreando el clúster de actividad bajo el nombre TGR-UNCH-0011 (iniciales de un asociación de amenazas con motivación desconocida), que dijo que se superpone con un asociación conocido como Javaghost. Se sabe que TGR-UNCH-0011 está activo desde 2019.
“El asociación se centró históricamente en desfigurar sitios web”, dijo la investigadora de seguridad Margaret Kelley. “En 2022, giraron para expedir correos electrónicos de phishing para obtener ganancias financieras”.
Vale la pena señalar que estos ataques no explotan ninguna vulnerabilidad en AWS. Más proporcionadamente, los actores de amenaza aprovechan las configuraciones erróneas en los entornos de las víctimas que exponen sus claves de ataque AWS para expedir mensajes de phishing al extralimitarse del Servicio de correo electrónico simple (SES) de Amazon y los servicios de Workmail.
Al hacerlo, el modus operandi ofrece el beneficio de no tener que meter o fertilizar su propia infraestructura para padecer a lado la actividad maliciosa.
Adicionalmente, permite que los mensajes de phishing del actor de amenaza reduzcan las protecciones por correo electrónico ya que las misivas digitales se originan en una entidad conocida de la cual la ordenamiento objetivo ha recibido correos electrónicos previamente.
“Javaghost obtuvo claves de ataque a extenso plazo expuestas asociadas con usuarios de gobierno de identidad y ataque (IAM) que les permitieron obtener ataque original a un entorno AWS a través de la interfaz de trayecto de comandos (CLI)”, explicó Kelley.
“Entre 2022-24, el asociación desarrolló sus tácticas a técnicas de distracción de defensa más avanzadas que intentan ofuscar identidades en los registros de CloudTrail. Esta táctica ha sido explotada históricamente por una araña dispersa”.
Una vez que se confirma el ataque a la cuenta AWS de la ordenamiento, se sabe que los atacantes generan credenciales temporales y una URL de inicio de sesión para permitir el ataque a la consola. Esto, señaló la Pelotón 42, les otorga la capacidad de ofuscar su identidad y obtener visibilidad de los posibles adentro de la cuenta de AWS.
Luego, el asociación se ha observado utilizando SES y Workmail para establecer la infraestructura de phishing, crear nuevos usuarios de SES y Workmail, y configurar nuevas credenciales SMTP para expedir mensajes de correo electrónico.
“A lo extenso del período de los ataques, Javaghost crea varios usuarios de IAM, algunos que usan durante sus ataques y otros que nunca usan”, dijo Kelley. “Los usuarios no utilizados de IAM parecen servir como mecanismos de persistencia a extenso plazo”.
Otro aspecto sobresaliente del modus operandi del actor de amenaza se refiere a la creación de un nuevo papel de IAM con una política de confianza adjunta, lo que les permite conseguir a la cuenta AWS de la ordenamiento desde otra cuenta de AWS bajo su control.
“El asociación continúa dejando la misma plástico de llamadas en el medio de su ataque mediante la creación de nuevos grupos de seguridad de Amazon Elastic Cloud Compute (EC2) llamados Java_Ghost, con la descripción del asociación ‘Estamos allí pero no visibles'”, concluyó la Pelotón 42.
“Estos grupos de seguridad no contienen ninguna regla de seguridad y el asociación generalmente no intenta adjuntar estos grupos de seguridad a ningún memorial. La creación de los grupos de seguridad aparece en los registros de CloudTrail en los eventos CreateSeCurityGroup”.
