Các tác nhân đe dọa đang nhắm mục tiêu vào các môi trường Amazon Web Services (AWS) để triển khai các chiến dịch lừa đảo tới các mục tiêu không nghi ngờ. Hoạt động này được phát hiện bởi Unit 42 của Palo Alto Networks.

Công ty an ninh mạng này đang theo dõi cụm hoạt động dưới tên TGR-UNK-0011 (viết tắt của một nhóm đe dọa có động cơ không rõ), mà họ cho biết trùng lặp với một nhóm được gọi là JavaGhost. TGR-UNK-0011 đã hoạt động từ năm 2019.

Theo nhà nghiên cứu bảo mật Margaret Kelley, nhóm này trước đây tập trung vào việc phá hoại các trang web. Đến năm 2022, họ chuyển sang gửi email lừa đảo vì lợi nhuận tài chính.

Điều đáng chú ý là các cuộc tấn công này không khai thác bất kỳ lỗ hổng nào trong AWS. Thay vào đó, các tác nhân đe dọa lợi dụng các cấu hình sai trong môi trường của nạn nhân làm lộ khóa truy cập AWS của họ để gửi tin nhắn lừa đảo bằng cách lạm dụng các dịch vụ Amazon Simple Email Service (SES) và WorkMail.

Bằng cách này, phương thức hoạt động này mang lại lợi ích là không phải lưu trữ hoặc trả tiền cho cơ sở hạ tầng riêng của chúng để thực hiện hành vi độc hại. Hơn nữa, nó cho phép các tin nhắn lừa đảo của tác nhân đe dọa né tránh các biện pháp bảo vệ email vì các thư này xuất phát từ một thực thể đã biết mà tổ chức mục tiêu trước đó đã nhận email.

Kelley giải thích rằng JavaGhost đã có được các khóa truy cập dài hạn bị lộ liên quan đến người dùng Identity and Access Management (IAM), cho phép chúng truy cập ban đầu vào môi trường AWS thông qua giao diện dòng lệnh (CLI).

Trong khoảng thời gian 2022-2024, nhóm này đã phát triển các chiến thuật của chúng thành các kỹ thuật tránh né phòng thủ nâng cao hơn nhằm che giấu danh tính trong nhật ký CloudTrail. Kỹ thuật này trước đây đã bị Scattered Spider khai thác.

Sau khi xác nhận quyền truy cập vào tài khoản AWS của tổ chức, những kẻ tấn công được biết là tạo ra thông tin đăng nhập tạm thời và URL đăng nhập để cho phép truy cập vào bảng điều khiển. Unit 42 lưu ý rằng điều này cho phép chúng che giấu danh tính và có được khả năng hiển thị các tài nguyên trong tài khoản AWS.

Sau đó, nhóm này đã được quan sát thấy sử dụng SES và WorkMail để thiết lập cơ sở hạ tầng lừa đảo, tạo người dùng SES và WorkMail mới, và thiết lập thông tin đăng nhập SMTP mới để gửi tin nhắn email.

Kelley cho biết, trong suốt thời gian diễn ra các cuộc tấn công, JavaGhost tạo ra nhiều người dùng IAM khác nhau, một số chúng sử dụng trong các cuộc tấn công của mình và một số khác thì không bao giờ sử dụng. Những người dùng IAM không được sử dụng dường như đóng vai trò như các cơ chế duy trì lâu dài.

Một khía cạnh đáng chú ý khác trong phương thức hoạt động của tác nhân đe dọa liên quan đến việc tạo một vai trò IAM mới với chính sách tin cậy được đính kèm, do đó cho phép chúng truy cập vào tài khoản AWS của tổ chức từ một tài khoản AWS khác do chúng kiểm soát.

Unit 42 kết luận rằng nhóm này tiếp tục để lại dấu hiệu nhận dạng tương tự ở giữa cuộc tấn công của họ bằng cách tạo các nhóm bảo mật Amazon Elastic Cloud Compute (EC2) mới có tên là Java_Ghost, với mô tả nhóm là “Chúng tôi ở đó nhưng không hiển thị”. Các nhóm bảo mật này không chứa bất kỳ quy tắc bảo mật nào và nhóm thường không cố gắng gắn các nhóm bảo mật này vào bất kỳ tài nguyên nào. Việc tạo các nhóm bảo mật xuất hiện trong nhật ký CloudTrail trong các sự kiện CreateSecurityGroup.