СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
03.03.2025
#ИБ#Облака

Фишинговые атаки JavaGhost: эволюция угроз в AWS

Фишинговые атаки JavaGhost: эволюция угроз в AWS

Источник: unit42.paloaltonetworks.com

Недавние исследования компании Unit 42 выявили новый кластер фишинговой активности, известный как TGR-UNK-0011, который связан с хакерской группой JavaGhost. С момента своего появления более пяти лет назад, JavaGhost наметила серьезные изменения в своих методах атаки, перейдя от взлома веб-сайтов к запуску фишинговых кампаний, в частности, нацеленных на пользователей Amazon Web Services (AWS).

Эволюция методов атак

С 2022 года JavaGhost активно использует новые тактики, чтобы обойти традиционные механизмы защиты электронной почты. Основные аспекты их новой стратегии включают:

  • Использование IAM (Identity and Access Management) с чрезмерно широкими разрешениями для отправки фишинговых электронных писем через SES (Simple Email Service) и WorkMail.
  • Применение методов уклонения, таких как обфускация в журналах AWS CloudTrail.
  • Создание новых учетных записей SES с манипуляциями над настройками DKIM (DomainKeys Identified Mail).

Тактика получения доступа

Основной доступ к средам AWS JavaGhost получает благодаря скомпрометированным ключам долгосрочного доступа пользователей IAM, которые стали доступны из-за уязвимостей в системах безопасности:

  • Использование интерфейса командной строки AWS CLI для выполнения операций.
  • Постоянное генерация страниц входа в консоль AWS с помощью специализированных сценариев.

Обход механизмов безопасности

Группа JavaGhost демонстрирует высокий уровень мастерства в манипулировании системами безопасности AWS. Они создают различные административные роли и пользователей IAM с широкими правами доступа, такими как AdministratorAccess, что позволяет им получать доступ к критически важным ресурсам, оставаясь незамеченными.

«JavaGhost использовал свое понимание облачной инфраструктуры и разрешений, чтобы превратиться из злоумышленника, уничтожающего веб-сайты, в изощренного фишингового агента», — отмечают исследователи Unit 42.

Заключение

Данная активность свидетельствует о важности тщательного мониторинга и анализа со стороны организаций, использующих облачные платформы. Сложность и скрытность тактики JavaGhost позволяют им действовать эффективно, отводя внимание от своих действий, что создает серьезные угрозы для пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: