🚧 Cybrat is a sub-brand of SySOC s.r.o. and is currently in beta phase
🚧 سيبرات علامة فرعية مملوكة لشركة سيسوك وتعمل حالياً ضمن المرحلة التجريبية

CYBRAT

ســيــبــرات

لأن الأمان يبدأ بالمعلومة

,

كيف يستغل المهاجمون خدمات السحابة لإطلاق حملات تصيد إلكتروني

2–3 minutes

تتزايد الهجمات السيبرانية التي تستهدف بيئات خدمات أمازون ويب (AWS) لاستخدامها في تنفيذ حملات تصيد إلكتروني ضد ضحايا غير مدركين. وفقًا لتقرير حديث صادر عن شركة Palo Alto Networks Unit 42، يتم تتبع هذه الأنشطة تحت اسم المجموعة TGR-UNK-0011، والتي تُعرف أيضًا باسم JavaGhost. بدأت أنشطة هذه المجموعة منذ عام 2019.

تحليل وتاريخ المجموعة

تاريخياً، كانت مجموعة JavaGhost تركز على تشويه المواقع الإلكترونية، لكن في عام 2022، حولت اهتمامها إلى إرسال رسائل بريد تصيد إلكتروني لتحقيق مكاسب مالية. تجدر الإشارة إلى أن هذه الهجمات لا تستغل أي ثغرات أمنية في خدمات AWS بحد ذاتها، بل تستغل سوء التهيئة في بيئات الضحايا التي تكشف عن مفاتيح الوصول إلى AWS، مما يسمح لهم بإرسال رسائل تصيد عبر خدمات أمازون للبريد الإلكتروني (SES) والعمل البريدي (WorkMail).

يتيح هذا النهج للمهاجمين إرسال رسائل التصيد دون الحاجة إلى استضافة أو دفع تكاليف بنية تحتية خاصة بهم، كما أنه يمكنهم من تجاوز أدوات الحماية البريدية، حيث أن الرسائل تبدو وكأنها صادرة من جهة معروفة سبق للهدف أن تلقى منها رسائل من قبل.

التقنيات والأساليب المتقدمة

وفقًا لما ذكرته الباحثة الأمنية مارغريت كيلي، فإن JavaGhost تحصل على مفاتيح وصول طويلة الأمد مرتبطة بمستخدمي إدارة الهوية والوصول (IAM)، مما يتيح لها الدخول المبدئي إلى بيئة AWS عبر واجهة سطر الأوامر (CLI). بين عامي 2022 و2024، طورت المجموعة تقنياتها لتصبح أكثر تعقيدًا في تفادي الدفاعات، بما يشبه الأساليب التي استُخدمت تاريخياً من قبل مجموعة Scattered Spider.

عند تأكيد الوصول إلى حساب المنظمة على AWS، يقوم المهاجمون بإنشاء بيانات اعتماد مؤقتة ورابط تسجيل دخول يتيح لهم الوصول إلى وحدة التحكم. هذا يمكنهم من إخفاء هويتهم والحصول على رؤية للموارد داخل حساب AWS.

إنشاء البنية التحتية للتصيد

لقد تم ملاحظة المجموعة وهي تستخدم خدمات SES وWorkMail لإنشاء بنية تحتية للتصيد، من خلال إنشاء مستخدمين جدد وتكوين بيانات الاعتماد SMTP لإرسال الرسائل الإلكترونية. خلال هذه الهجمات، تنشئ JavaGhost مستخدمين IAM متنوعين، بعضهم يتم استخدامه أثناء الهجمات والبعض الآخر يبدو أنه يستهدف الحفاظ على تواجد طويل الأمد.

ميزة أخرى لأسلوب عمل المجموعة هو إنشاء دور IAM جديد مع سياسة ثقة مرفقة، مما يسمح لهم بالوصول إلى حساب AWS للمؤسسة من حساب AWS آخر تحت سيطرتهم.

الإشارات وطرق التتبع

تستمر المجموعة في ترك “بطاقة تعريف” خاصة بها في منتصف الهجوم عن طريق إنشاء مجموعات أمان جديدة في خدمة الحوسبة السحابية EC2 تحمل اسم Java_Ghost، مع وصف “نحن هناك لكن غير مرئيين”. هذه المجموعات الأمنية لا تحتوي على أي قواعد أمان ولا تحاول المجموعة عادةً إرفاق هذه المجموعات إلى أي موارد. يظهر إنشاء المجموعات الأمنية في سجلات CloudTrail في أحداث CreateSecurityGroup.

في ختام هذا التحليل، ندعوكم لمتابعتنا على X (تويتر) وفيسبوك لمزيد من المحتوى الحصري والمثير للاهتمام حول تطورات الأمن السيبراني. كيف يمكن للشركات تحسين تهيئة الأمان في بيئات السحابة لحماية نفسها من مثل هذه الهجمات؟

اكتشف المزيد مع سيبرات

اشترك ليصلك أحدث المنشورات على بريدك الإلكتروني

شاركنا رأيك بتعليق

المقالات الرائجة

اكتشف المزيد مع سيبرات

اشترك الآن للاستمرار في القراءة والحصول على الوصول الكامل إلى الأرشيف

تابع القراءة