In un'epoca in cui la sicurezza informatica è più critica che mai, gli attacchi di phishing rappresentano una minaccia crescente. Gli attori malevoli stanno sfruttando le configurazioni errate di Amazon Web Services (AWS) per lanciare attacchi di phishing, come evidenziato da un recente rapporto di Palo Alto Networks Unit 42. Il gruppo di attività, noto come TGR-UNK-0011 o JavaGhost, è attivo dal 2019 e ha iniziato con il defacing di siti web, per poi evolversi nel 2022 verso l'invio di email di phishing per guadagni finanziari.

Queste operazioni non si basano su vulnerabilità di AWS, ma sfruttano invece configurazioni errate che espongono le chiavi di accesso AWS delle vittime. Utilizzando servizi come Amazon Simple Email Service (SES) e WorkMail, gli attori malevoli riescono a inviare messaggi di phishing senza dover supportare i costi di un'infrastruttura propria. Questo approccio consente di bypassare le protezioni email poiché i messaggi provengono da un'entità conosciuta.

JavaGhost ottiene l'accesso iniziale agli ambienti AWS attraverso le chiavi di accesso a lungo termine degli utenti IAM, utilizzando l'interfaccia a riga di comando (CLI). Tra il 2022 e il 2024, il gruppo ha affinato le sue tecniche di evasione difensiva, cercando di offuscare le loro identità nei log di CloudTrail, una tattica precedentemente sfruttata da gruppi come Scattered Spider.

Una volta ottenuto l'accesso ai conti AWS delle organizzazioni, gli attaccanti generano credenziali temporanee e URL di login per accedere alla console, permettendo loro di visualizzare le risorse AWS. Successivamente, utilizzano SES e WorkMail per stabilire l'infrastruttura di phishing, creando nuovi utenti SES e WorkMail e configurando nuove credenziali SMTP per l'invio di email.

Inoltre, JavaGhost crea nuovi utenti IAM, alcuni dei quali rimangono inutilizzati, servendo come meccanismi di persistenza a lungo termine. Un altro aspetto notevole del loro modus operandi è la creazione di un nuovo ruolo IAM con una policy di trust allegata, consentendo l'accesso all'account AWS della vittima da un altro account sotto il loro controllo.

Il gruppo lascia una sorta di firma creando nuovi gruppi di sicurezza Amazon EC2 denominati "Java_Ghost", con la descrizione "We Are There But Not Visible". Questi gruppi di sicurezza non contengono regole e non vengono collegati a risorse, ma appaiono nei log di CloudTrail come eventi CreateSecurityGroup.