AWS 인스턴스 악용해 이메일 보안 우회 시도
해커들이 Amazon Web Services(AWS) 인스턴스를 악용하여 이메일 보안을 우회하고 있다. 잘못 구성된 AWS 환경이 피싱 캠페인을 실행하는 데 악용되어 이메일 필터링을 피하고 사용자들의 받은 편지함에 도달할 수 있도록 했다. Palo Alto Networks의 Unit 42는 JavaGhost 그룹과 중첩되는 TGR-UNK-0011이라는 그룹을 발견했다. 이 그룹은 2019년부터 활동해 왔으며, 2022년에는 금전적 이익을 위해 피싱에 초점을 맞추었다.
AWS 접근 키 획득 후 피싱 인프라 구축
이 공격은 AWS 접근 키 획득에서 시작된다. 이 키는 Amazon Simple Email Service(SES)와 WorkMail 서비스 접근을 가능하게 한다. 해커들은 IAM 사용자의 장기 접근 키를 사용하여 명령줄 인터페이스(CLI)를 통해 AWS 환경에 접근한다. 2022년에서 2024년 사이, 이 그룹은 CloudTrail 로그에서의 탐지를 피하기 위해 전술을 발전시켰다.
정식 계정을 이용한 신뢰성 높은 피싱 이메일 발송
접근이 확인되면 공격자들은 SES와 WorkMail을 활용하기 위해 임시 계정을 생성하고, 피싱 이메일을 발송하기 위한 SMTP 자격 증명을 설정한다. 공격 과정에서 여러 IAM 사용자가 생성되며, 일부는 사용되지 않는 채 남아 장기적으로 지속성을 유지하는 수단이 될 수 있다.
이처럼 신뢰할 수 있는 정식 계정에서 발송된 이메일은 이메일 보호 시스템을 우회하고 신뢰할 수 있는 것으로 보이며, 이전에 대상과의 커뮤니케이션이 있었을 가능성이 있어 더욱 신뢰를 높인다.
출처 : 원문 보러가기