AWS錯誤配置成漏洞：駭客借企業郵件服務發動釣魚攻擊

Palo Alto Networks第42安全研究單位（Unit 42）近期發現一個名為TGR-UNK-0011的威脅團體正在利用亞馬遜雲端服務（AWS）環境的錯誤配置，發動精密的網路釣魚攻擊。該威脅團體被認為與另一個名為JavaGhost的駭客組織有重疊，且自2019年以來一直活躍，其攻擊策略近年來發生了顯著變化。

安全研究員Margaret Kelley表示，這個威脅團體最初專注於網站入侵，但在2022年開始轉向通過發送釣魚郵件進行金融詐騙。值得注意的是，這些攻擊並未利用AWS的任何系統漏洞，而是巧妙地利用了受害者環境中的錯誤配置。

駭客的主要攻擊手法是獲取暴露的長期存取金鑰，特別是與身份和存取管理（IAM）用戶相關的金鑰。通過命令列介面（CLI），他們能夠進入目標組織的AWS環境。從2022年到2024年，該團體不斷演進其戰術，發展出更先進的防禦規避技術，試圖混淆CloudTrail日誌中的身份識別。

攻擊者成功進入組織的AWS帳戶後，會立即生成臨時憑證和登入URL，取得控制台存取權限。接著，他們巧妙地利用Amazon Simple Email Service（SES）和WorkMail建立釣魚基礎設施，藉由新的郵件服務用戶和設置SMTP憑證，精心策劃釣魚郵件投遞。這種攻擊方法最大的優勢在於可以輕鬆繞過傳統電子郵件防護機制，因為郵件來源看似來自目標組織內部已知的可信任實體，使收件人更容易放下警戒。

更令人不安的是，這個駭客團體會大量創建IAM用戶，其策略極其複雜：部分用戶直接用於發動攻擊，另一些則看似毫無用途，實則是為了在目標系統中建立長期潛伏的後門。與此同時，他們還會精心設計新的IAM角色，巧妙附加信任策略，從而能夠利用另一個受控的AWS帳戶，悄然無息地滲透目標組織的核心系統。

在攻擊過程中，這個團體留下了獨特的「簽名」：建立名為Java_Ghost的Amazon彈性雲端運算（EC2）安全群組，描述為「我們在那裡但不可見」。這些安全群組通常不包含任何安全規則，也不會附加到任何資源，但會在CloudTrail日誌的CreateSecurityGroup事件中留下痕跡。

對於企業和組織而言，妥善管理AWS存取金鑰、定期檢查環境配置、啟用多重驗證，以及持續監控可疑活動，已成為維護雲端安全的關鍵策略。在日益複雜的網路威脅環境中，保持警惕和主動防禦比以往任何時候都更為重要。

本文轉載自thehackernews。