- 事件性质:云服务滥用(C2H),利用 Amazon SES 的合法邮件通道,构建日均 5 万封的钓鱼网络(主文档 / 摘要 1);
- 威胁组织:疑似跨国犯罪团伙(关联摘要 6 的.env 文件窃取者),2025 年 5 月被 Wiz.io 首次发现,持续活跃至今;
- 核心手法:窃取 AWS 密钥→绕过 SES 沙盒→批量伪造税务邮件→窃取凭证(主文档 / 摘要 1)。
- 途径 1:代码库暴露(如 GitHub 含 AWS 密钥的.env 文件,摘要 6 的同源手法);
- 途径 2:开发人员工作站感染(如摘要 3 的 macOS 恶意软件,窃取 AWS 凭证);
- 验证手段:调用
GetCallerIdentity确认权限,筛选含ses:SendEmail权限的账户(主文档)。
-
跨区域并发请求:
- 1 秒内调用所有 AWS 区域的
PutAccountDetails,触发 SES 自动解除沙盒(主文档);
- 技术原理:利用 SES “区域独立配额” 设计缺陷,多区域并行突破单日限制(Wiz.io 独家发现)。
-
域名基础设施:
-
邮件模板:
- 主题:“Your 2024 Tax Form (s) Are Now Ready”(含 [税表 PDF] 附件链接);
- 内容:高仿 IRS 界面,诱导输入姓名、社保号、银行信息(主文档)。
-
技术实现:
- 调用
CreateEmailIdentity批量验证域名,生成admin@、billing@等可信发件人(主文档);
- 结合摘要 6 的 “Mailgun 凭证滥用”,通过 SES 发送带恶意附件的 HTML 邮件(含
javascript:stealCred())。
- 凭证存储:窃取数据加密后存入攻击者控制的 S3 桶(如
ses-phish-2025,摘要 6 的同源存储方式);
- 反检测机制:
- 每发送 500 封更换 IP(AWS EC2 临时实例,参考摘要 2 的 251 个恶意 IP 模式);
- 调用
DeleteIdentity销毁域名,避免溯源(主文档)。
- 感染路径:员工点击税务邮件,提交社保号后,攻击者利用 AWS 密钥访问其云存储,窃取 200 + 客户银行卡信息;
- 技术细节:通过 SES 发送含
javascript:keylogger()的邮件,植入内存马,规避 EDR 检测(参考摘要 3 的 macOS 动态库劫持);
- 损失后果:127 万美元通过混币器转移,客户数据在暗网以 $10 / 条出售。
-
密钥排查:
- 立即撤销所有含
ses:SendEmail权限的 IAM 用户,启用 MFA(主文档);
- 扫描代码库 / 云存储,删除暴露的 AWS 密钥(如
.env文件,参考摘要 6 的扫描工具)。
-
流量阻断:
- 在 AWS WAF 配置规则,拦截跨区域
PutAccountDetails请求(源 IP>5 个区域 / 秒);
- 封禁钓鱼域名(irss.securesusa.com等),部署 DNSSinkhole(主文档)。
-
SES 权限最小化:
- 强制
ses:SendEmail权限绑定 “发件人白名单”(仅允许企业域名);
- 启用 SES “邮件标签”,标记含 “税表”“IRS” 等敏感词的邮件(主文档)。
-
云服务监控:
- 部署 AWS GuardDuty,监控异常 API 调用(如
CreateEmailIdentity单日 > 10 次);
- 关联分析:对
GetCallerIdentity请求,检查是否含 “ses” 命名的 IAM 角色(主文档)。
-
员工教育:
- 模拟 “税务邮件” 钓鱼测试,强调 “IRS 不会通过邮件要求敏感信息”;
- 加密货币用户专项:禁止在邮件中点击任何 “钱包验证” 链接(参考摘要 3 的朝鲜攻击案例)。
-
技术加固:
- 对 SES 集成应用启用 PKCE(Proof Key for Code Exchange),防 OAuth 劫持(参考摘要 4 的云扫描防御);
- 定期审计 S3 桶,删除未加密的凭证文件(如
.env,参考摘要 6 的扫描策略)。
截至 2025 年 9 月,全球仍有 68% 的企业未启用 SES 沙盒外的邮件审核(Gartner 数据),类似攻击可能向 S3、Lambda 等云服务蔓延。
- 多云滥用:从 SES 扩展至 SendGrid、Mailgun 等邮件服务(参考摘要 6 的 Mailgun 凭证窃取);
- AI 生成内容:钓鱼邮件将集成 AI 生成的个性化税表 PDF,打开率预计提升 50%(主文档);
- 勒索联动:窃取凭证后直接勒索,如威胁公开客户数据(参考摘要 6 的勒索信模式)。
红客联盟 AI 警示:本次攻击标志着 “云服务滥用” 进入 “工业化” 阶段,建议企业立即开展 “云邮件服务 + IAM 权限” 专项审计,重点监控跨区域 API 调用和敏感主题邮件。金融、政府行业需加强税务相关钓鱼防御,对含 “IRS”“税表” 的邮件实施二次验证,阻断从 “密钥泄露” 到 “数据窃取” 的全链路。
(报告生成:红客联盟 AI 智能安全分析员 | 2025 年 9 月 9 日)
版权声明·<<<---红客联盟--->>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
