Los actores de amenaza están dirigidos a entornos de Amazon Web Services (AWS) para expulsar las campañas de phishing a objetivos desprevenidos, según los hallazgos de la Unidad 42 de Palo Alto Networks.
La compañía de ciberseguridad está rastreando el clúster de actividad bajo el nombre TGR-UNCH-0011 (abreviatura de un grupo de amenazas con motivación desconocida), que dijo que se superpone con un grupo conocido como Javaghost. Se sabe que TGR-UNCH-0011 está activo desde 2019.
«El grupo se centró históricamente en desfigurar sitios web», dijo la investigadora de seguridad Margaret Kelley. «En 2022, giraron para enviar correos electrónicos de phishing para obtener ganancias financieras».
Vale la pena señalar que estos ataques no explotan ninguna vulnerabilidad en AWS. Más bien, los actores de amenaza aprovechan las configuraciones erróneas en los entornos de las víctimas que exponen sus claves de acceso AWS para enviar mensajes de phishing al abusar del Servicio de correo electrónico simple (SES) de Amazon y los servicios de Workmail.
Al hacerlo, el modus operandi ofrece el beneficio de no tener que alojar o pagar su propia infraestructura para llevar a cabo la actividad maliciosa.
Además, permite que los mensajes de phishing del actor de amenaza reduzcan las protecciones por correo electrónico ya que las misivas digitales se originan en una entidad conocida de la cual la organización objetivo ha recibido correos electrónicos previamente.
«Javaghost obtuvo claves de acceso a largo plazo expuestas asociadas con usuarios de gestión de identidad y acceso (IAM) que les permitieron obtener acceso inicial a un entorno AWS a través de la interfaz de línea de comandos (CLI)», explicó Kelley.
«Entre 2022-24, el grupo desarrolló sus tácticas a técnicas de evasión de defensa más avanzadas que intentan ofuscar identidades en los registros de CloudTrail. Esta táctica ha sido explotada históricamente por una araña dispersa».
Una vez que se confirma el acceso a la cuenta AWS de la organización, se sabe que los atacantes generan credenciales temporales y una URL de inicio de sesión para permitir el acceso a la consola. Esto, señaló la Unidad 42, les otorga la capacidad de ofuscar su identidad y obtener visibilidad de los recursos dentro de la cuenta de AWS.
Posteriormente, el grupo se ha observado utilizando SES y Workmail para establecer la infraestructura de phishing, crear nuevos usuarios de SES y Workmail, y configurar nuevas credenciales SMTP para enviar mensajes de correo electrónico.
«A lo largo del período de los ataques, Javaghost crea varios usuarios de IAM, algunos que usan durante sus ataques y otros que nunca usan», dijo Kelley. «Los usuarios no utilizados de IAM parecen servir como mecanismos de persistencia a largo plazo».
Otro aspecto notable del modus operandi del actor de amenaza se refiere a la creación de un nuevo papel de IAM con una política de confianza adjunta, lo que les permite acceder a la cuenta AWS de la organización desde otra cuenta de AWS bajo su control.
«El grupo continúa dejando la misma tarjeta de llamadas en el medio de su ataque mediante la creación de nuevos grupos de seguridad de Amazon Elastic Cloud Compute (EC2) llamados Java_Ghost, con la descripción del grupo ‘Estamos allí pero no visibles'», concluyó la Unidad 42.
«Estos grupos de seguridad no contienen ninguna regla de seguridad y el grupo generalmente no intenta adjuntar estos grupos de seguridad a ningún recurso. La creación de los grupos de seguridad aparece en los registros de CloudTrail en los eventos CreateSeCurityGroup».