E-poruka za krađu identiteta koja sadrži samo PNG sliku poslana je sa narušenog AWS naloga koristeći lažnu adresu pošiljaoca [email protected] .
Klikom na sliku žrtve su preusmjerene na zlonamjerni Squarespace domen, giraffe-viola-p262.squarespace[.]com, što je kasnije dovelo do PDF preglednika.
Domen pošiljaoca je prepoznat kao poznati distributer zlonamjernog softvera, prema obavještavanju prijetnji otvorenog koda, koji cilja AWS račune.
Napad počinje sa zlonamjernim PDF-om koji se nalazi na web-mjestu za razmjenu datoteka, dok klik na vezu “Sažetak računa” unutar PDF-a pokreće lanac preusmjeravanja.
Prvo, prolazi kroz uslugu skraćivanja linkova, a zatim na domen pod kontrolom napadača koji je prerušen u stranicu AWS konzole .
Konačno, dolazi na lažnu stranicu za prijavu dizajniranu da ukrade korisničke kredencijale. Dok Google Chrome ovo označava kao phishing, korisnici drugih pretraživača ili oni koji ignorišu upozorenja su u opasnosti.
Lažna AWS stranica za prijavu koja krade kredencijale, tj. signin.aws.consoleportal.tech, vrlo liči na pravu i čak koristi sličnu URL strukturu.
Kako bi potencijalno prikupila još više informacija, lažna stranica učitava JavaScript sa sumnjive lokacije. (https://d35uxhjf90umnp.cloudfront.net/index.js), dok je nejasno da li ovu skriptu direktno kontroliše napadač ili je na neki način povezana sa njihovim AWS resursima.
Honeypot, dizajniran da oponaša AWS prijavu zaposlenika, naišao je na sofisticiranu phishing stranicu koja je prihvatila samo adresu e-pošte prvobitno ciljane žrtve, što ukazuje na potencijalne mehanizme personalizacije ili filtriranja.
Dok se razmišljalo o korištenju stvarnog računa zaposlenika, infrastruktura napadača postala je nedostupna.
Uzrok ostaje nejasan, ali može biti zbog izvještaja na [email protected] ili Chrome-ovog ugrađenog otkrivanja krađe identiteta, koji naglašava evoluirajuću taktiku napadača i važnost slojevitih sigurnosnih mjera.
Da bi ublažili rizike od krađe identiteta, AWS korisnici bi trebali nametnuti snažnu sigurnost računa tako što će onemogućiti root prijavu putem Pravila kontrole usluga, implementirati MFA otporan na phishing koristeći FIDO sigurnosne ključeve za naloge za upravljanje organizacijom i razmotriti dodatne mjere kao što je SSO za autentifikaciju korisnika.
Ovaj slojeviti pristup značajno smanjuje vjerovatnoću uspješnog phishing napada, štiteći organizaciju čak i pred ljudskom greškom.
Nametnite SSO za sve pristupe okruženju oblaka umjesto IAM korisnika ili root prijava kako biste pojednostavili upravljanje autentifikacijom i pojačali sigurnost kroz dodatne mjere provjere autentičnosti.
Implementirajte principe najmanje privilegija da biste ublažili rizike povezane sa narušenim korisničkim nalozima ograničavanjem pristupa kritičnim resursima i minimizacijom broja korisnika sa povišenim dozvolama, kao što je root pristup nalozima za upravljanje AWS organizacijama.
Usluge Cloud logginga kao što je Amazon CloudTrail su kritične za efikasan odgovor na sigurnosne incidente.
Kontinuiranim snimanjem aktivnosti u oblaku, ove usluge omogućavaju sigurnosnim timovima da preciziraju narušene resurse, utvrde obim kršenja i implementiraju ciljane akcije sanacije.
Istražitelji u Wiz-u su identifikovali phishing domen consoleportal.tech, koji je riješen na CloudFlare.
Istorijski podaci o DNS-u otkrili su ranije korištene IP adrese od Namecheap-a i Hostinger-a, koji su ugostili druge potencijalne phishing domene sa poddomenama koje oponašaju AWS usluge (npr. signin.aws.{domain}).
Slično pretraživanje otkrilo je brojne domene koji repliciraju Amazonovu stranicu za prijavu. Iako je vlasništvo istog napadača nejasno, format poddomena i povezanost s poznatim phishing IP adresama ukazuju na zlonamjernu namjeru.
Izvor: CyberSecurityNews