كشفت شركة Palo Alto Networks Unit 42 عن أن جهات تهديد تستهدف بيئات Amazon Web Services (AWS) لإطلاق حملات تصيد احتيالي ضد أهداف غير متوقعة. يتم تتبع هذه الأنشطة تحت اسم TGR-UNK-0011 (اختصار لمجموعة تهديد ذات دوافع غير معروفة)، والتي تتداخل مع مجموعة تعرف باسم JavaGhost. وقد كانت TGR-UNK-0011 نشطة منذ عام 2019.
وقالت الباحثة الأمنية مارغريت كيلي: “ركزت المجموعة تاريخيًا على تشويه مواقع الويب. وفي عام 2022، تحولت إلى إرسال رسائل التصيد لتحقيق مكاسب مالية.”
أمان السحابة
من الجدير بالذكر أن هذه الهجمات لا تستغل أي ثغرة في AWS، بل تعتمد على سوء التكوين في بيئات الضحايا الذي يعرض مفاتيح الوصول إلى AWS، مما يسمح للمهاجمين بإرسال رسائل التصيد عبر إساءة استخدام خدمات Amazon Simple Email Service (SES) وWorkMail).
وبهذه الطريقة، يتمكن المهاجمون من تجنب استضافة أو دفع تكاليف البنية التحتية الخاصة بهم لتنفيذ الأنشطة الخبيثة. بالإضافة إلى ذلك، تمكن هذه الطريقة رسائل التصيد من تجاوز إجراءات الحماية في البريد الإلكتروني، حيث تأتي الرسائل من جهة معروفة سبق أن تلقتها المنظمة المستهدفة.
وأوضحت كيلي: “حصلت JavaGhost على مفاتيح وصول طويلة الأمد معروضة للعامة مرتبطة بمستخدمي إدارة الهوية والوصول (IAM)، مما سمح لهم بالوصول الأولي إلى بيئة AWS عبر واجهة سطر الأوامر (CLI).”
تطور تكتيكات القراصنة
“بين عامي 2022 و2024، طورت المجموعة تكتيكاتها لتشمل تقنيات أكثر تقدمًا لتجنب الكشف، مثل محاولة إخفاء الهويات في سجلات CloudTrail. وقد استُخدم هذا التكتيك سابقًا من قبل مجموعة Scattered Spider.”
بمجرد تأكيد الوصول إلى حساب AWS الخاص بالمنظمة، يُعرف عن المهاجمين أنهم يقومون بإنشاء بيانات اعتماد مؤقتة وروابط تسجيل دخول للوصول إلى وحدة التحكم. وهذا يمنحهم القدرة على إخفاء هوياتهم والحصول على رؤية للموارد داخل حساب AWS.
استخدام SES وWorkMail
لاحقًا، لوحظ أن المجموعة تستخدم SES وWorkMail لإنشاء بنية تحتية للتصيد، وإنشاء مستخدمين جدد في SES وWorkMail، وإعداد بيانات اعتماد SMTP جديدة لإرسال رسائل البريد الإلكتروني.
وقالت كيلي: “خلال فترة الهجمات، تقوم JavaGhost بإنشاء مستخدمين مختلفين في IAM، بعضهم يستخدمونه أثناء الهجمات والبعض الآخر لا يستخدمونه أبدًا. ويبدو أن المستخدمين غير المستخدمين يعملون كآليات استمرارية طويلة الأمد.”
تكتيكات متقدمة
أحد الجوانب البارزة في أسلوب عمل جهات التهديد هو إنشاء دور IAM جديد مع سياسة ثقة مرفقة، مما يسمح لهم بالوصول إلى حساب AWS الخاص بالمنظمة من حساب AWS آخر تحت سيطرتهم.
واختتمت Unit 42: “تواصل المجموعة ترك نفس البصمة خلال هجماتها عن طريق إنشاء مجموعات أمان جديدة في Amazon Elastic Cloud Compute (EC2) تحمل اسم Java_Ghost، مع وصف المجموعة ‘نحن هنا ولكننا غير مرئيين’. ولا تحتوي هذه المجموعات على أي قواعد أمان، وعادةً لا تحاول المجموعة إرفاقها بأي موارد. ويظهر إنشاء مجموعات الأمان هذه في سجلات CloudTrail ضمن أحداث CreateSecurityGroup.”
