Aktor ancaman menargetkan lingkungan Amazon Web Services (AWS) untuk mendorong kampanye phishing ke target yang tidak curiga, menurut temuan dari Palo Alto Networks Unit 42.
Perusahaan Cybersecurity melacak cluster aktivitas dengan nama TGR-UKK-0011 (Kependekan dari kelompok ancaman dengan motivasi yang tidak diketahui), yang dikatakan tumpang tindih dengan kelompok yang dikenal sebagai Javaghost. TGR-UKK-0011 dikenal aktif sejak 2019.
“Kelompok ini berfokus secara historis pada situs web yang merusak,” kata peneliti keamanan Margaret Kelley. “Pada tahun 2022, mereka berputar untuk mengirimkan email phishing untuk keuntungan finansial.”
Perlu dicatat bahwa serangan ini tidak mengeksploitasi kerentanan dalam AWS. Sebaliknya, para aktor ancaman memanfaatkan kesalahan konfigurasi di lingkungan korban yang mengekspos kunci akses AWS mereka untuk mengirim pesan phishing dengan menyalahgunakan Amazon Simple Email Services (SES) dan layanan workmail.
Dengan melakukan hal itu, modus operandi menawarkan manfaat dari tidak harus menjadi tuan rumah atau membayar infrastruktur mereka sendiri untuk melakukan aktivitas jahat.
Terlebih lagi, ini memungkinkan pesan phishing aktor ancaman untuk menghindari perlindungan email karena missives digital berasal dari entitas yang diketahui dari mana organisasi target sebelumnya menerima email.
“Javaghost memperoleh kunci akses jangka panjang yang diekspos yang terkait dengan pengguna Identity and Access Management (IAM) yang memungkinkan mereka untuk mendapatkan akses awal ke lingkungan AWS melalui antarmuka baris perintah (CLI),” Kelley menjelaskan.
“Antara tahun 2022-24, kelompok ini mengembangkan taktik mereka menjadi teknik penghindaran pertahanan yang lebih maju yang berupaya mengaburkan identitas dalam log cloudtrail. Taktik ini secara historis dieksploitasi oleh laba-laba yang tersebar.”
Setelah akses ke akun AWS organisasi dikonfirmasi, para penyerang diketahui menghasilkan kredensial sementara dan URL login untuk memungkinkan akses konsol. Ini, Unit 42 mencatat, memberi mereka kemampuan untuk mengaburkan identitas mereka dan mendapatkan visibilitas ke dalam sumber daya dalam akun AWS.
Selanjutnya, grup telah diamati menggunakan SES dan workmail untuk menetapkan infrastruktur phishing, membuat SES baru dan pengguna workmail, dan menyiapkan kredensial SMTP baru untuk mengirim pesan email.
“Sepanjang jangka waktu serangan, Javaghost menciptakan berbagai pengguna IAM, beberapa yang mereka gunakan selama serangan mereka dan yang lain yang tidak pernah mereka gunakan,” kata Kelley. “Pengguna IAM yang tidak terpakai tampaknya berfungsi sebagai mekanisme kegigihan jangka panjang.”
Aspek penting lain dari Modus Operandi aktor ancaman menyangkut penciptaan peran IAM baru dengan kebijakan kepercayaan yang terlampir, sehingga memungkinkan mereka untuk mengakses akun AWS organisasi dari akun AWS lain di bawah kendali mereka.
“Kelompok ini terus meninggalkan kartu panggilan yang sama di tengah serangan mereka dengan membuat grup keamanan Amazon Elastic Cloud (EC2) baru bernama Java_Ghost, dengan deskripsi grup 'Kami ada di sana tetapi tidak terlihat,'” Unit 42 menyimpulkan.
“Grup keamanan ini tidak mengandung aturan keamanan apa pun dan grup biasanya tidak berusaha untuk melampirkan grup keamanan ini ke sumber daya apa pun. Penciptaan grup keamanan muncul di log cloudtrail dalam acara CreateCurityGroup.”
