AWS-Fehlkonfigurationen für Phishing-Angriffe ausgenutzt
Laut einer Analyse von Palo Alto Networks Unit 42 zielen Bedrohungsakteure auf Amazon-Web-Services-(AWS)-Umgebungen ab, um über SES und WorkMail Phishingmails an ahnungslose Opfer zu senden. Dreh- und Angelpunkt sind nicht Schwachstellen, sondern schlicht Fehlkonfigurationen, was den Angreifern lukrative Vorteile verschafft.
Palo Alto verfolgt diese Aktivitäten unter dem Namen TGR-UNK-0011 (Abkürzung für eine Bedrohungsgruppe mit unbekannter Motivation) und verbindet sie mit einer Gruppe namens JavaGhost. TGR-UNK-0011 ist seit 2019 aktiv. „Die Gruppe konzentrierte sich ursprünglich auf das Fälschen von Websites, ging jedoch 2022 zu Phishing-E-Mails über, um finanziellen Gewinn zu erzielen“, so Sicherheitsexpertin Margaret Kelley.
So nutzen Angreifer AWS für unbemerkte Phishing-Kampagnen
Wichtig ist, dass diese Angriffe keine Sicherheitslücken in AWS ausnutzen. Stattdessen nutzen die Angreifer Fehlkonfigurationen in den Systemen ihrer Opfer aus, die ihre AWS-Zugangsschlüssel freigeben. Dadurch können sie Phishing-Nachrichten über die Amazon Simple Email Service (SES)- und WorkMail-Dienste versenden, ohne eigene Infrastruktur hosten oder bezahlen zu müssen. Zudem können sie E-Mail-Schutzmaßnahmen umgehen, da die Phishing-Nachrichten ja von einer vermeintlich vertrauenswürdigen Quelle stammen, von der das Opfer bereits legitime E-Mails erhalten hat.
„JavaGhost gelangte an ausgespähte, langfristig gültige Zugangsschlüssel von Identitäts- und Zugriffsmanagement (IAM)-Benutzern, die ihnen über die Befehlszeile (CLI) den Zugriff auf AWS-Umgebungen ermöglichten“, so Kelley.
„Zwischen 2022 und 2024 verfeinerten die Angreifer ihre Methoden und entwickelten neue Techniken, um Sicherheitsmaßnahmen zu umgehen. Ihr Ziel war es, ihre Identität in den CloudTrail-Logs zu verstecken – eine Taktik, die bereits von der Gruppe Scattered Spider genutzt wurde.“
Sobald sie Zugriff auf das AWS-Konto einer Organisation erhalten, erstellen die Angreifer temporäre Anmeldedaten und eine Login-URL für die AWS-Konsole. Dadurch können sie unerkannt bleiben und sich einen Überblick über die vorhandenen Ressourcen verschaffen.
Die Gruppe wurde dabei beobachtet, wie sie SES und WorkMail nutzte, um eine Phishing-Infrastruktur aufzubauen. Dazu erstellten die Angreifer neue SES- und WorkMail-Benutzer sowie SMTP-Anmeldedaten, um betrügerische E-Mails zu versenden.
„Während der Angriffe legt JavaGhost mehrere IAM-Benutzer an – einige werden aktiv genutzt, andere bleiben unangetastet“, erklärt Kelley weiter. „Diese ungenutzten IAM-Benutzer dienen vermutlich dazu, langfristigen Zugriff auf das kompromittierte System zu sichern.“
Ebenfalls auffällig im Vorgehen der Gruppe ist das Anlegen einer neuen IAM-Rolle mit einer speziellen Vertrauensrichtlinie. Auf diese Weise können die Angreifer von einem anderen AWS-Konto, das sie selbst kontrollieren, auf das Zielsystem zugreifen.
„Während ihrer Angriffe hinterlässt die Gruppe stets eine Art Markenzeichen: So werden neue Amazon Elastic Cloud Compute (EC2)-Sicherheitsgruppen mit dem Namen Java_Ghost erstellt und die Beschreibung ‚We Are There But Not Visible‘ hinzufügt“, so Unit 42. „Diese Sicherheitsgruppen enthalten keine Sicherheitsregeln und es wird so gut wie nie versucht, sie mit anderen Ressourcen zu verbinden. Ihre Erstellung hinterlässt jedoch Spuren in den CloudTrail-Logs und erscheint dort unter den CreateSecurityGroup-Ereignissen.