Amazon Simple Email Service (SES) semakin disalahgunakan untuk mengirimkan email phishing yang meyakinkan yang dapat melewati filter keamanan standar dan membuat pemblokiran berbasis reputasi menjadi tidak efektif.
Meskipun sumber dayanya telah dimanfaatkan untuk aktivitas jahat di masa lalu, lonjakan saat ini mungkin disebabkan oleh sejumlah besar kunci akses AWS Identity and Access Management yang terekspos di aset publik.
Karena ini adalah sumber daya yang sah dan tepercaya, operasi phishing dapat memanfaatkan Amazon SES untuk mengirimkan email berbahaya yang lolos pemeriksaan autentikasi.
Peneliti Kaspersky mencatat dalam laporannya hari ini bahwa mereka “mengamati peningkatan serangan phishing yang memanfaatkan Amazon SES” untuk mengirimkan tautan yang mengalihkan ke situs berbahaya.
Sumber: Kaspersky
Para peneliti percaya bahwa pendorong utama penyalahgunaan ini adalah meningkatnya paparan kredensial AWS di repositori GitHub, file .ENV, image Docker, cadangan, dan bucket S3 yang dapat diakses publik.
Menemukan kunci akses biasanya dilakukan secara otomatis menggunakan bot yang dibangun pada utilitas sumber terbuka TruffleHog, yang dirancang untuk memindai rahasia yang bocor.
Pelaku ancaman kini mengandalkan serangan otomatis yang menyederhanakan pemindaian rahasia, validasi izin, dan distribusi email, sehingga memungkinkan terjadinya tingkat penyalahgunaan yang belum pernah terjadi sebelumnya.
“Setelah memverifikasi izin kunci dan batas pengiriman email, penyerang diperlengkapi untuk menyebarkan pesan phishing dalam jumlah besar,” Kaspersky menjelaskan.
Berdasarkan temuan mereka, para peneliti mengatakan bahwa kualitas phishingnya tinggi, menampilkan templat HTML khusus yang meniru layanan nyata dan alur login yang realistis.
Serangan yang diamati mencakup pemberitahuan penandatanganan dokumen palsu yang meniru DocuSign untuk mengarahkan korban ke halaman phishing yang dihosting AWS, serta serangan kompromi email bisnis (BEC) yang lebih canggih.
Penyerang mengarang seluruh rangkaian email untuk membuat pesan phishing tampak lebih meyakinkan dan mengirimkan faktur palsu untuk mengelabui departemen keuangan agar melakukan pembayaran.
Sumber: Kaspersky
Dengan memanfaatkan Amazon SES, penyerang tidak perlu lagi mengkhawatirkan pemeriksaan autentikasi seperti protokol SPF, DKIM, dan DMARC.
Selain itu, memblokir alamat IP yang mengirimkan email phishing bukanlah solusi yang dapat diterima karena akan mencegah semua email masuk melalui Amazon SES.
Pelaku ancaman tidak hanya berfokus pada Amazon SES saja. Mereka terus-menerus berusaha mencari cara untuk menyalahgunakan sistem email sah lainnya untuk mengirim pesan phishing.
Kaspersky merekomendasikan agar perusahaan membatasi izin IAM berdasarkan prinsip “hak istimewa terkecil”, mengaktifkan autentikasi multi-faktor, merotasi kunci secara teratur, dan menerapkan pembatasan akses dan kontrol enkripsi berbasis IP.
Dalam sebuah pernyataan untuk BleepingComputer, Amazon menunjuk pada hal tersebut panduan keamanan pada kredensial yang terbuka dan melindungi terhadap akses tidak sah ke akun.
“Jika ada yang mencurigai sumber daya AWS digunakan untuk aktivitas penyalahgunaan, mereka dapat melaporkannya ke Kepercayaan & Keamanan AWS,” kata Juru Bicara AWS kepada BleepingComputer.
Memperbarui [May 4th, 16:59 EST]: Artikel diperbarui dengan informasi dari pernyataan Amazon yang diterima setelah waktu penerbitan.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
