AWS-Misskonfigurationen ermöglichen Phishing-Angriffe durch JavaGhost

MÜNCHEN (IT BOLTWISE) – Sicherheitsforscher haben eine neue Bedrohung für Amazon Web Services (AWS) Umgebungen identifiziert, die von der Gruppe JavaGhost ausgeht. Diese nutzt Misskonfigurationen, um Phishing-Angriffe zu starten.

In der sich ständig weiterentwickelnden Welt der Cybersicherheit haben Bedrohungsakteure eine neue Methode entwickelt, um Amazon Web Services (AWS) Umgebungen auszunutzen. Laut den Erkenntnissen von Palo Alto Networks Unit 42 zielen diese Akteure darauf ab, Phishing-Kampagnen gegen ahnungslose Ziele durchzuführen. Die Aktivitätsgruppe, die unter dem Namen TGR-UNK-0011 verfolgt wird, überschneidet sich mit der bekannten Gruppe JavaGhost, die seit 2019 aktiv ist.

Historisch gesehen konzentrierte sich JavaGhost auf das Verunstalten von Websites, doch im Jahr 2022 änderte die Gruppe ihre Taktik und begann, Phishing-E-Mails zu versenden, um finanziellen Gewinn zu erzielen. Diese Angriffe nutzen keine Schwachstellen in AWS selbst aus, sondern profitieren von Misskonfigurationen in den Umgebungen der Opfer, die ihre AWS-Zugangsschlüssel preisgeben. Dadurch können die Angreifer Amazon Simple Email Service (SES) und WorkMail missbrauchen, um Phishing-Nachrichten zu versenden.

Ein wesentlicher Vorteil dieser Methode besteht darin, dass die Angreifer keine eigene Infrastruktur hosten oder bezahlen müssen, um ihre bösartigen Aktivitäten durchzuführen. Da die Phishing-Nachrichten von einer bekannten Entität stammen, die der Zielorganisation bereits E-Mails gesendet hat, können sie zudem E-Mail-Schutzmaßnahmen umgehen. JavaGhost erlangte Zugang zu langfristigen Zugangsschlüsseln, die mit Identitäts- und Zugriffsmanagement (IAM) Benutzern verbunden sind, und verschaffte sich so initialen Zugang zu einer AWS-Umgebung über die Befehlszeilenschnittstelle (CLI).

Zwischen 2022 und 2024 entwickelte die Gruppe ihre Taktiken weiter und nutzte fortschrittliche Verteidigungsevasionstechniken, um Identitäten in den CloudTrail-Protokollen zu verschleiern. Diese Taktik wurde historisch auch von der Gruppe Scattered Spider ausgenutzt. Sobald der Zugriff auf das AWS-Konto einer Organisation bestätigt ist, generieren die Angreifer temporäre Anmeldeinformationen und eine Anmelde-URL, um den Konsolenzugang zu ermöglichen.

Die Angreifer sind dafür bekannt, SES und WorkMail zu nutzen, um die Phishing-Infrastruktur aufzubauen, neue SES- und WorkMail-Benutzer zu erstellen und neue SMTP-Anmeldeinformationen einzurichten, um E-Mail-Nachrichten zu senden. Während der Angriffe erstellt JavaGhost verschiedene IAM-Benutzer, von denen einige während der Angriffe verwendet werden und andere nicht. Die ungenutzten IAM-Benutzer scheinen als langfristige Persistenzmechanismen zu dienen.

Ein weiteres bemerkenswertes Merkmal der Vorgehensweise der Bedrohungsakteure ist die Erstellung einer neuen IAM-Rolle mit einer Vertrauensrichtlinie, die es ihnen ermöglicht, von einem anderen AWS-Konto aus auf das AWS-Konto der Organisation zuzugreifen. Die Gruppe hinterlässt während ihrer Angriffe eine Art Visitenkarte, indem sie neue Amazon Elastic Cloud Compute (EC2) Sicherheitsgruppen mit dem Namen Java_Ghost erstellt, die die Gruppenbeschreibung ‘We Are There But Not Visible’ tragen.

Diese Sicherheitsgruppen enthalten keine Sicherheitsregeln, und die Gruppe unternimmt in der Regel keinen Versuch, diese Sicherheitsgruppen an Ressourcen anzuhängen. Die Erstellung der Sicherheitsgruppen erscheint in den CloudTrail-Protokollen in den CreateSecurityGroup-Ereignissen. Diese Taktik zeigt, wie geschickt JavaGhost bei der Verschleierung ihrer Aktivitäten vorgeht und wie wichtig es ist, AWS-Umgebungen korrekt zu konfigurieren, um solche Angriffe zu verhindern.

Bestseller Nr. 1 - «KI Gadgets»

Apple AirTag - Finde und behalte Deine Sachen im Blick: Schlüssel, Geldbörsen, Gepäck, Rucksäcke und mehr. Einfaches Einrichten mit iPhone oder iPad. Austauschbare Batterie

29,99 EUR

Bestseller Nr. 2 - «KI Gadgets»

Mobvoi TicNote KI Digitales Diktiergerät, 64 GB Speicher, Notizrekorder mit Hülle, App-Steuerung, über 100 Sprachen, Transkribieren, Zusammenfassen mit AI Shadow,digitaler Audiorekorder Sprachrekorder

169,99 EUR

Bestseller Nr. 3 - «KI Gadgets»

PLAUD Note KI Digitales Diktiergerät mit Hülle - 64 GB Aufnahmegerät mit KI-Technologie zum Transkribieren und Zusammenfassen, One-Touch-Aufnahme, Rauschunterdrückung, Unterstützt 112 Sprachen

169,90 EUR

Bestseller Nr. 4 - «KI Gadgets»

KI-Sprachrekorder, PLAUD NotePin Sprachrekorder, App-Steuerung, KI-Notizgerät, KI-Transkription & Zusammenfassung, 112 Sprachen, 64GB Speicher, Audiorekorder für Vorlesungen, Meetings, Kosmisches Grau

169,90 EUR

Bestseller Nr. 5 - «KI Gadgets»

SOXOI KI Digitales Diktiergerät, 64GB Magnet Mini Aufnahmegerä mit ChatGPT 4o vom Transkribieren und Zusammenfassen für 102 Sprachen,One Touch Aufnahme, Voice Recorder Sprachrecorder (Schwarz)

79,99 EUR

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!