Das hier ist ein vollständig KI generierter Artikel.

Bei Rapid7 verfolgen wir eine Vielzahl von Bedrohungen, die auf Cloud-Umgebungen abzielen. Ein häufiges Ziel ist die Übernahme von Infrastruktur, um Phishing- oder Spam-Kampagnen zu hosten. Dies ermöglicht es den Angreifern, die Betriebskosten auf das Zielunternehmen abzuwälzen, was oft zu unerwarteten Rechnungen für nicht beabsichtigte Dienste führt.

Hintergrund: AWS WorkMail und seine Hauptkomponenten

AWS WorkMail ist ein vollständig verwalteter E-Mail- und Kalenderdienst, der es Organisationen ermöglicht, Unternehmenspostfächer zu betreiben, ohne eigene Mailserver bereitzustellen. Es unterstützt Standard-E-Mail-Protokolle und ist eine kostengünstige Alternative für Teams, die bereits AWS nutzen.

Analyse des Angriffs

Der Angriff begann mit der Offenlegung von langfristigen AWS-Zugangsschlüsseln. Erste Anzeichen für bösartige Aktivitäten waren API-Aufrufe mit dem User-Agent „TruffleHog Firefox“, was auf die Nutzung von TruffleHog zur Entdeckung und Validierung von geleakten Anmeldedaten hindeutet. Diese Aktivität wurde von mehreren IP-Adressen durchgeführt, die hauptsächlich mit Cloud-Dienstanbietern wie Amazon und DigitalOcean verbunden waren.

Entdeckungsphase und Privilegieneskalation

Nach dem ersten Zugriff wurde der kompromittierte Benutzer verwendet, um grundlegende Umgebungsentdeckungen durchzuführen. Diese Versuche führten wiederholt zu AccessDenied-Fehlern, was darauf hinweist, dass die Berechtigungen der exponierten Anmeldedaten eingeschränkt waren. Der Angreifer wechselte dann zu einem zweiten Satz kompromittierter Anmeldedaten mit breiteren Berechtigungen, um die Identitätslandschaft zu verstehen und die Konfiguration von Amazon SES zu bewerten.

Fazit

Die Untersuchung zeigt, wie Bedrohungsakteure legitime Dienste nutzen können, um Erkennung zu umgehen und Phishing-Infrastrukturen in kompromittierten Cloud-Umgebungen aufzubauen. Organisationen sollten ihre AWS-Konfigurationen überwachen und Schutzmaßnahmen implementieren, um solche Angriffe zu verhindern.

Quelle: https://www.rapid7.com/blog/post/dr-threat-actors-aws-workmail-phishing-campaigns/