AWS 钓鱼攻击新变种，JavaGhost 团伙精妙利用云服务特性与配置缺陷！

Palo Alto Networks Unit 42 近期发布报告，揭露了一起针对 Amazon Web Services (AWS) 环境的复杂且隐蔽的钓鱼攻击活动。攻击者（Unit 42 将其标记为 TGR-UNK-0011，并认为与 JavaGhost 组织高度相关）不仅利用了用户配置错误，还巧妙地运用 AWS 服务自身的特性，实现了对传统安全防御机制的绕过，将 AWS 变成了钓鱼攻击的“帮凶”。

攻击者画像：JavaGhost 与 TGR-UNK-0011

JavaGhost 并非等闲之辈，而是一个长期活跃的网络犯罪团伙。其早期以网站篡改（Web Defacement）为主要攻击手段，通过入侵网站并修改其内容来炫耀技术或传播特定信息。自 2022 年起，该组织将重心转向经济利益，开始大规模利用 AWS 环境的配置缺陷实施钓鱼攻击，以获取敏感数据或直接进行 আর্থিক诈骗。TGR-UNK-0011 是 Unit 42 专门为此次攻击活动分配的追踪代号，其攻击手法、技术细节与已知的 JavaGhost 组织高度吻合。

技术细节深度剖析：

1. 配置错误：IAM 访问密钥泄露与权限滥用

   攻击的根源在于 AWS 用户自身的配置错误，其中最关键的是 IAM（Identity and Access Management）访问密钥的泄露和权限的过度授权：

• IAM 访问密钥泄露：
  
   IAM 是 AWS 的核心安全服务，用于管理用户身份和访问权限。用户通常会创建 IAM 用户，并为其分配访问密钥（Access Key ID 和 Secret Access Key）。这些密钥相当于用户的“数字身份证”，允许通过 API、CLI（命令行界面）或 SDK（软件开发工具包）访问 AWS 资源。然而，许多开发者为了方便，会将密钥直接硬编码在代码中，或者存储在不安全的位置（如公开的 GitHub 仓库、未加密的配置文件等）。一旦这些密钥泄露，攻击者就可以完全控制受害者的 AWS 账户。
• 过度授权的 IAM 策略：
  
   IAM 策略用于定义用户或服务具体拥有哪些权限。如果策略过于宽松（例如，授予用户执行 * 操作或访问 * 资源的权限），即使密钥没有泄露，攻击者也可以利用已有的合法用户权限进行恶意操作。

2. AWS 服务“武器化”：SES、WorkMail 与 CloudTrail 的“猫鼠游戏”

   攻击者并非简单地利用 AWS 资源，而是将其“武器化”，巧妙地利用 AWS 服务的特性来增强攻击效果、规避检测：

• 临时凭证 (Temporary Credentials)：
  
   攻击者使用 sts:AssumeRole API 调用，获取临时安全凭证。这些凭证具有有限的有效期（通常为几小时），并且与原始 IAM 用户的长期密钥不同。使用临时凭证进行操作，可以隐藏攻击者的真实身份，即使安全团队发现了异常活动，也很难追溯到源头。
• 控制台登录 (Web Console Login)：
  
   攻击者通过获取的临时凭证，生成一个登录 URL，直接登录到 AWS 管理控制台。这种方式比使用 CLI 或 API 更为隐蔽，因为控制台操作通常会产生大量的日志，攻击者的活动更容易淹没在其中。
• 创建无关资源：
  
   创建一些实际不使用的资源, 干扰分析。
• Amazon Simple Email Service (SES)：
  
   这是一项云端电子邮件发送服务，允许用户通过 API 或 SMTP 接口以编程方式发送大量电子邮件。攻击者利用泄露的 IAM 密钥，通过 SES 发送钓鱼邮件。由于这些邮件来自合法的 AWS 域（amazonaws.com），并且可能与目标组织之前收到的合法邮件来自同一发件人，因此更容易绕过垃圾邮件过滤器和安全网关。
• Amazon WorkMail：
  
   这是一项企业级电子邮件和日历服务，提供与 Microsoft Exchange 类似的功能。攻击者在受害者的 AWS 账户中创建新的 WorkMail 用户，并使用这些虚假用户发送钓鱼邮件，进一步增加了邮件的可信度。
• CloudTrail 日志混淆与对抗：
  
   CloudTrail 是 AWS 的一项重要安全审计服务，用于记录用户、服务和 API 在 AWS 账户中的所有活动。攻击者深知 CloudTrail 的作用，因此采取了多种手段来混淆其在日志中的活动，增加追踪和取证的难度：

3. 攻击流程复盘：

• 侦察与凭证获取：
  
   攻击者通过各种手段（如扫描公开的代码仓库、购买泄露的凭证数据库、利用其他漏洞入侵系统）获取 IAM 用户的长期访问密钥。
• 初始访问与权限提升：
  
   使用获取的密钥，通过 AWS CLI 或 SDK 连接到受害者的 AWS 账户。利用过度授权的 IAM 策略，或者寻找其他配置漏洞，提升自己的权限。
• 持久化：
  
   创建新的 IAM 用户或角色，并分配必要的权限（如访问 SES、WorkMail、创建 EC2 实例等）。这些未使用的 IAM 用户可能作为长期持久化机制，即使原始密钥被撤销，攻击者仍然可以通过这些用户重新获得访问权限。
• 创建临时凭证：
  
   使用 sts:AssumeRole API 调用，生成临时安全凭证，用于后续的操作。
• 构建钓鱼基础设施：
  
   利用 SES 和 WorkMail 服务，创建新的电子邮件用户，并配置 SMTP 凭证。
• 大规模钓鱼攻击：
  
   使用新创建的电子邮件账户，向目标群体发送精心设计的钓鱼邮件，诱骗其点击恶意链接或提供敏感信息。
• “签名”行为：
  
   在攻击过程中，攻击者会创建一个名为 "Java_Ghost" 的 EC2 安全组，并添加描述 "We Are There But Not Visible"。这个安全组本身没有任何安全规则，也不会附加到任何 EC2 实例上。这似乎是 JavaGhost 团伙的一种“签名”行为，用于标记其攻击活动，也可能是为了迷惑安全研究人员。

4. 与 Scattered Spider 的关联：

   Unit 42 指出，TGR-UNK-0011 在 CloudTrail 日志中混淆身份的策略，与臭名昭著的勒索软件团伙 Scattered Spider 的手法高度相似。Scattered Spider 以其复杂的社会工程学攻击、对云服务的深度利用以及极强的反侦察能力而闻名。这表明，JavaGhost 可能与 Scattered Spider 存在某种合作关系，或者从 Scattered Spider 的攻击手法中获得了“灵感”。

“Java_Ghost”安全组的深层含义：

创建名为“Java_Ghost”且无实际作用的 EC2 安全组，这一行为看似多余，实则可能包含多重意图：

• “签名”与宣示：
  
   这是攻击者留下的“到此一游”的标记，表明此次攻击是由 JavaGhost 团伙发起的。
• 干扰与迷惑：
  
   这个无用的安全组可能会分散安全分析人员的注意力，使其忽略更关键的攻击活动。
• 潜在的后门：
  
   虽然目前这个安全组没有附加任何规则，但攻击者可能在未来的某个时间点利用它作为后门，例如，将其附加到某个 EC2 实例上，并开放特定端口，实现远程访问。

AWS 安全最佳实践：

除了 Unit 42 提到的建议外，以下是一些额外的 AWS 安全最佳实践：

• 启用 CloudTrail 并集中管理日志：
  
   确保所有区域和服务的 CloudTrail 日志都已启用，并将日志集中存储到一个安全的 S3 存储桶中。
• 使用 AWS Config 监控配置更改：
  
   AWS Config 可以持续监控 AWS 资源的配置，并在配置发生变化时发出警报。
• 使用 AWS Security Hub 进行安全评估：
  
   Security Hub 提供了一个全面的安全态势视图，可以自动检测配置错误、漏洞和安全威胁，并提供修复建议。

原文始发于微信公众号（技术修道场）：AWS 钓鱼攻击新变种，JavaGhost 团伙精妙利用云服务特性与配置缺陷！