一场复杂的网络犯罪活动已经出现,利用亚马逊的简单电子邮件服务 (SES) 精心策划大规模网络钓鱼行动,每天能够发送超过 50,000 封恶意电子邮件。
此次攻击代表了云服务滥用的重大演变,将 AWS 合法的批量电子邮件平台转变为凭据盗窃和金融欺诈的武器。
该活动首先是通过常见攻击媒介获得的 AWS 访问密钥泄露,包括代码存储库中的意外公开暴露、云资产配置错误或开发人员工作站被盗。
一旦攻击者保护了这些凭据,他们就会立即使用 GetCallerIdentity 请求来探测环境,以评估可用权限,特别是针对具有指示电子邮件服务访问权限的 SES 相关命名约定的帐户。
Wiz.io 研究人员在检测到跨多个区域的 AWS API 活动异常模式后,发现了 2025 年 5 月的这一活动。
攻击者通过实施多区域方法表现出了非凡的复杂性,在几秒钟内在所有 AWS 区域同时发出 PutAccountDetails 请求,以逃避 SES 的默认“沙盒”限制。
这种技术以前在安全文献中没有记录,它允许威胁行为者绕过标准的每日 200 封电子邮件限制并解锁生产模式功能。
网络钓鱼基础设施以受害者为目标,提供令人信服的税务相关内容,使用“您的 2024 年税表现在可以查看和打印”等主题行,以最大限度地提高参与率。
这些消息将用户重定向到托管在 irss.securesusa.com 等域的凭据收集站点,利用商业流量分析服务来混淆恶意基础设施并逃避传统的安全扫描程序。
技术基础设施和规避机制
攻击者使用 CreateEmailIdentity API 通过系统域验证来建立他们的电子邮件基础设施。
它们注册攻击者控制的域,包括 managed7.com、street7news.org 和 docfilessa.com,以及具有弱 DMARC 配置的合法域,这些域有助于电子邮件欺骗。
每个经过验证的域都支持使用标准前缀(如 admin@、billing@ 和 noreply@)的多个电子邮件地址,以便在收件人收件箱中显示合法。
该活动的技术复杂性延伸到自动权限升级尝试。
当标准生产配额被证明不足时,攻击者通过 CreateCase API 以编程方式创建支持票证,并尝试建立名为“ses-support-policy”的 IAM 策略以获得增强的权限。
尽管这些提升尝试由于权限不足而失败,但每日 50,000 封电子邮件配额仍然足以满足其作要求。
此次 SES 滥用活动展示了如何大规模武器化为合法商业目的而设计的云服务,凸显了加强对云环境中休眠访问密钥和异常跨区域 API 活动模式的监控的迫切需求。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
