AWS のミスコンフィグを狙う未知の脅威アクター:SES/ WorkMail を悪用するフィッシング活動を検知

Hackers Exploit AWS Misconfigurations to Launch Phishing Attacks via SES and WorkMail

2025/03/03 TheHackerNews — Amazon Web Services (AWS) 環境を標的にして、疑いを持たないターゲットにフィッシング・キャンペーンを展開する脅威アクターたちの存在を、Palo Alto Networks Unit 42 の調査結果が明らかにしている。Unit 42 が TGR-UNK-0011 という名前で追跡する、この活動クラスターは、JavaGhost として知られるグループと重複しているという。そして、TGR-UNK-0011 は、2019年 から活動していることが知られている。

セキュリティ研究者の Margaret Kelley は、「これまで、このグループは、Web サイトの改ざんに重点を置いていた。そして 2022年には、金銭的利益のためのフィッシング・メール送信へと方向を転換した」と述べている

これらの攻撃は、AWS の脆弱性を悪用するものではない。それに代えて、被害者の環境におけるミスコンフィグを悪用して AWS アクセス・キーを抽出し、Amazon Simple Email Service (SES)/WorkMail サービスを悪用することで、フィッシング・メッセージを送信している。

したがって、この手口は、悪意のアクティビティのための独自インフラのホストや、料金の支払いが不要という利点を持つ。

さらに、一連の悪意のデジタル・メッセージは、以前にターゲット組織がメールを受信した、既知のエンティティから発信されるため、メール保護を回避するフィッシング・メッセージの送信が可能となる。

Margaret Kelley は、「JavaGhost は、IAM (Identity and Access Management)ユーザーに関連付けられた、暴露された長期アクセス・キーを取得し、CLI (Command-Line Interface) を介して AWS 環境へのイニシャル・アクセスを取得する」と説明している。

Hackers Exploit AWS Misconfigurations


この研究者は、「2022年〜2024年の間に、このグループは戦術を進化させ、CloudTrail ログの ID を難読化するという、さらに高度な防御回避手法を採用している。この戦術は、Scattered Spider も用いてきたものだ」と付け加えている

ユーザー組織の AWS アカウントへのアクセスを達成した攻撃者は、一時的な認証情報とログイン URL を生成して、コンソールへのアクセスを許可するという。 それにより、攻撃者は自身の身元を難読化し、AWS アカウント内のリソースを可視化できるようになったと、Unit 42 は指摘している。

その後に TGR-UNK-0011 は、SES と WorkMail を悪用するフィッシング・インフラを確立し、新たな SES/ WorkMail ユーザーを作成し、新たな SMTP 認証情報を設定した後に、悪意のメール・メッセージを送信していることが確認されている。

Margaret Kelley は、「攻撃の期間中において JavaGhost は、さまざまな IAM ユーザーを作成する。その中には、攻撃で悪用するユーザーもあれば、まったく用いられないユーザーもある。この、使用されない IAM ユーザーは、長期的な持続メカニズムとして機能しているようだ」と指摘している。

この脅威アクターの手口において、もう1つの注目すべき点は、信頼ポリシーが添付された新たな IAM ロールを作成することにある。それにより攻撃者は、自身の管理下にある別の AWS アカウントから、標的組織の AWS アカウントへのアクセスを可能にしている。

Unit 42 は、「このグループは、Java_Ghost という名の、新しい Amazon Elastic Cloud Compute (EC2) セキュリティ・グループを作成し、グループの説明を ‘We Are There But Not Visible” とすることで、攻撃の途中で名前を残し続けていく。これらのセキュリティ・グループにはセキュリティ・ルールが含まれていない。つまり、このグループは、セキュリティ・グループをリソースにアタッチしないように試みている。その理由は、セキュリティ・グループの作成は、CreateSecurityGroup イベントの CloudTrail ログに表示されるからだ」と結論付けている。

クラウドサービスの普及に伴い、ミスコンフィグを狙った攻撃が増加しています。​AWS 環境のセキュリティ設定を定期的に見直し、アクセスキーの適切な管理と IAM ユーザーの権限設定を徹底することが重要です。​なお、関連トピックとして、2025/02/03 に「Amazon Redshift に追加された新たなデフォルト設定:データ漏洩の阻止が目的」という記事をポストしています。よろしければ、カテゴリー MisConfiguration と併せて、ご参照ください。