Hackers exploraram configurações incorretas da AWS para lançar ataques de Phishing via SES e WorkMail

Hackers estão explorando ambientes da Amazon Web Services (AWS) para disseminar campanhas de phishing contra vítimas desavisadas, conforme descobertas da Unidade 42 da Palo Alto Networks.

A empresa de cibersegurança acompanha essas atividades sob o nome TGR-UNK-0011, um grupo com motivação desconhecida, mas que apresenta semelhanças com um coletivo chamado JavaGhost. Ativo desde 2019, esse grupo inicialmente se concentrava em desfigurar sites, mas, a partir de 2022, passou a utilizar e-mails de phishing para obter ganhos financeiros.

Vale destacar que esses ataques não exploram vulnerabilidades da AWS. Em vez disso, os hackers se aproveitam de configurações incorretas nos ambientes das vítimas, que expõem suas chaves de acesso da AWS. Com isso, conseguem enviar mensagens de phishing utilizando os serviços Amazon Simple Email Service (SES) e WorkMail, sem precisar investir em infraestrutura própria para disseminar os ataques.

Esse método não apenas reduz custos, mas também permite que os e-mails maliciosos evitem filtros de segurança, pois são enviados a partir de entidades legítimas com as quais os alvos já tiveram comunicação anteriormente.

Segundo a pesquisadora de segurança Margaret Kelley, o JavaGhost obteve chaves de acesso expostas associadas a usuários IAM, o que lhes permitiu acessar ambientes AWS por meio da interface de linha de comando (CLI). Entre 2022 e 2024, o grupo aprimorou suas táticas de evasão, dificultando a identificação de suas ações nos registros do CloudTrail — uma técnica anteriormente usada por outro grupo hacker, o Scattered Spider.

Após obter acesso às contas da AWS das vítimas, os hackers geram credenciais temporárias e criam URLs de login, permitindo acesso ao console da AWS sem levantar suspeitas. A partir disso, configuram a infraestrutura de phishing ao criar novos usuários no SES e WorkMail e definir credenciais SMTP para envio de e-mails maliciosos.

Durante os ataques, o JavaGhost também cria diversos usuários IAM, alguns para uso imediato e outros como mecanismos de persistência a longo prazo. Além disso, eles implementam novas funções IAM com políticas de confiança que permitem acesso às contas AWS invadidas a partir de outras contas AWS sob seu controle.

Curiosamente, o grupo deixa um tipo de "assinatura" em seus ataques: a criação de grupos de segurança na Amazon EC2 chamados Java_Ghost, com a descrição "Estamos aqui, mas não somos visíveis". Esses grupos de segurança não possuem regras associadas, nem são vinculados a recursos específicos, mas aparecem nos registros do CloudTrail, nos eventos de CreateSecurityGroup.

Via - THN