СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
11 марта
#ИБ

AiTM-фишинг против AWS: прокси-киты похищают учетные данные

Недавнее расследование Datadog Security Research выявило сложную и активную фишинговую кампанию с атакой типа «средний человек» (AiTM), целью которой является кража учетных данных от AWS Console. Нападающие применяют высококачественные подделки страниц входа и проксируют аутентификацию в реальном времени к легитимному конечному пункту AWS, что позволяет перехватывать введённые логины, пароли и даже одноразовые пароли (OTP).

Как устроена атака

  • Злоумышленники используют домены с опечатками (typosquatting), имитирующие официальные наименования AWS, чтобы повысить доверие жертв.
  • Фишинговая цепочка включает многоступенчатые редиректы: письмо, стилизованное под AWS Organization Security Alert, приводит через несколько URL к странице сбора учетных данных.
  • Для отслеживания кликов используется AWS Simple Email Service (SES), что помогает злоумышленникам оценивать эффективность кампании.
  • Phishing kit действует как прозрачный обратный прокси: он пересылает запросы аутентификации на легитимный AWS, одновременно захватывая введённые данные и потенциально перехватывая коды MFA/OTP.
  • На фишинговом домене размещены дополнительные посадочные страницы продуктов, усиливающие правдоподобие подделки.
  • Обнаружена административная панель phishing kit, доступная по TCP порт 3000, что указывает на возможность совместного использования инструмента несколькими операторами.

«Фишинг-кит действует как прозрачный обратный прокси, эффективно захватывая учетные данные пользователей в реальном времени»

Инфраструктура и временные рамки компрометации

Аналитики Datadog отметили наличие двух активных кластеров фишинговой инфраструктуры и третьего домена, объединённого общими метаданными регистратора. В одном из зафиксированных инцидентов злоумышленник получил доступ к скомпрометированной учётной записи AWS в течение 20 минут после ввода пользователем своих данных. Действия, ведущие к использованию украденных учётных данных, были прослежены до инфраструктуры, связанной с Mullvad VPN, что подчёркивает быстрое и автоматизированное использование похищенных учётных данных.

Ключевые технические индикаторы

  • Использование AiTM/phishing kit как прозрачного reverse proxy.
  • Domain typosquatting, имитирующие AWS-именования.
  • Применение AWS SES для трекинга кликов в фишинговых рассылках.
  • Административная панель на TCP 3000.
  • Быстрая эксплуатация скомпрометированных учётных записей (примерно 20 минут).
  • Инфраструктура злоумышленников, частично связанная с Mullvad VPN.
  • Отдельные кластеры фишинговой инфраструктуры и домен с общими метаданными регистратора.

Рекомендации для организаций

В свете данной кампании Datadog и эксперты по безопасности рекомендуют приоритетно внедрять и усиливать следующие меры:

  • Мониторинг аутентификационных событий в AWS CloudTrail и настройка оповещений на необычные входы и попытки аутентификации.
  • Отслеживание аномалий в механизмах многофакторной аутентификации (MFA) и попыток обхода MFA/OTP.
  • Мониторинг признаков повышения привилегий и необычной активности внутри учётных записей (создание ролей, изменение политик, запуск инстансов и т.д.).
  • Внедрение phishing-resistant MFA (например, аппаратные токены/FIDO2) где возможно.
  • Снижение времени жизни долгосрочных учётных данных и использование принципа наименьших привилегий.
  • Настройка защиты электронной почты и обучение сотрудников распознавать письма с подозрительными URL и внешними трекерами.
  • Анализ и блокировка подозрительных исходящих подключений/узлов выхода VPN, использование механизмов контроля доступа по геолокации или доверенным сетям.

Вывод

Эта кампания демонстрирует, насколько изощрёнными становятся методы фишинга, нацеленные на облачные сервисы. Комбинация высококачественных подделок, реального проксирования аутентификации и быстрой эксплуатации украденных учётных данных делает угрозу критичной для организаций, использующих AWS. Комплексный подход — логирование и мониторинг, усиленные методы MFA, своевременное реагирование на инциденты и обучение персонала — необходим, чтобы снизить риск успешных атак такого рода.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: