كشفت شركة Rapid7 أن جهات تهديد سيبرانية تستغل بيانات اعتماد مسروقة من Amazon Web Services (AWS) لنشر بنية تحتية للتصيد والرسائل المزعجة عبر خدمة AWS WorkMail، متجاوزة بذلك ضوابط مكافحة إساءة الاستخدام المطبقة عادة في خدمة Simple Email Service (SES).
هذا الأسلوب يمنح المهاجمين القدرة على الاستفادة من السمعة العالية لمُرسلي البريد عبر أمازون، ما يسمح لهم بالتنكر ككيانات تجارية شرعية وإرسال رسائل مباشرة من البنية التحتية الخاصة بالضحايا.
صعوبة التمييز عن النشاط الطبيعي
أوضحت التقارير أن النشاط الخبيث يولد حدًا أدنى من البيانات المرتبطة بالخدمة، ما يجعل من الصعب التمييز بينه وبين النشاط الروتيني للمؤسسات. هذا يزيد من خطورة الهجمات، إذ يمكن أن تمر دون ملاحظة لفترات طويلة، خاصة في المؤسسات التي لا تمتلك آليات مراقبة دقيقة.
المؤسسات الأكثر عرضة للخطر
أي منظمة لديها بيانات اعتماد AWS مكشوفة وسياسات IAM متساهلة تُعتبر معرضة للخطر، خصوصًا تلك التي لا تضع ضوابط أو مراقبة صارمة على إعدادات WorkMail وSES. هذا يفتح الباب أمام المهاجمين لاستغلال البنية التحتية الشرعية للضحايا في تنفيذ حملات تصيد واسعة النطاق، ما يضاعف من احتمالية نجاح الهجمات.
دلالات أمنية
هذا النوع من الاستغلال يسلط الضوء على أهمية تأمين بيانات الاعتماد ومراجعة سياسات الوصول بشكل دوري، إضافة إلى ضرورة مراقبة تكوينات خدمات البريد الإلكتروني السحابية. فالمهاجمون لم يعودوا بحاجة إلى إنشاء بنية تحتية خارجية، بل أصبح بإمكانهم استخدام موارد الضحايا أنفسهم لتنفيذ الهجمات، ما يجعل الكشف المبكر أكثر تعقيدًا.
