Sommario
Il gruppo di cybercriminali JavaGhost, attivo da oltre cinque anni, ha intensificato le proprie attività di phishing basato su cloud, prendendo di mira ambienti AWS con tecniche avanzate di evasione. Secondo Unit 42 di Palo Alto Networks, il gruppo ha abbandonato le operazioni di defacement dei siti web per concentrarsi sulla compromissione di infrastrutture cloud, utilizzando credenziali AWS esposte e configurazioni errate per inviare campagne di phishing mirate.
Dalla compromissione di AWS all’invio massivo di e-mail di phishing
L’attacco inizia con l’ottenimento di chiavi di accesso AWS esposte a causa di configurazioni errate negli ambienti delle vittime. JavaGhost non sfrutta vulnerabilità di AWS, ma approfitta della cattiva gestione delle autorizzazioni IAM, ottenendo accesso alle risorse dell’organizzazione per inviare e-mail di phishing tramite Amazon Simple Email Service (SES) e WorkMail.
L’utilizzo di infrastrutture AWS preesistenti consente agli attaccanti di bypassare i filtri di sicurezza, facendo apparire le e-mail come provenienti da mittenti legittimi. Inoltre, sfruttano API AWS per manipolare i permessi, generare credenziali temporanee e accedere alle console senza essere rilevati.
Tecniche avanzate di evasione: l’uso di API per nascondere l’attività malevola
Gli attaccanti evitano di eseguire il tipico comando GetCallerIdentity, comunemente utilizzato dagli hacker per verificare le credenziali AWS compromesse, sapendo che molte aziende monitorano tale attività. Invece, eseguono API alternative come GetServiceQuota e GetSendQuota, che forniscono informazioni sulla capacità di invio di e-mail senza destare sospetti.
Una volta ottenuto l’accesso, generano URL di login temporanei utilizzando GetFederationToken e GetSigninToken, consentendo loro di accedere alla console AWS con credenziali temporanee, complicando il rilevamento da parte dei team di sicurezza.
Costruzione dell’infrastruttura di phishing in AWS
All’interno degli ambienti compromessi, JavaGhost configura nuove identità e-mail SES e modifica parametri come DomainKeys Identified Mail (DKIM) per migliorare l’autenticazione delle e-mail di phishing. Gli attaccanti creano inoltre organizzazioni WorkMail per inviare messaggi senza destare sospetti, sfruttando SMTP AWS con credenziali predefinite per automatizzare le operazioni di invio.
Dopo aver predisposto l’infrastruttura, creano nuovi utenti IAM con privilegi amministrativi, assegnando permessi illimitati per garantire un controllo persistente dell’account compromesso. Gli attaccanti spesso non utilizzano immediatamente questi utenti, ma li lasciano inattivi per future operazioni di attacco.
Persistenza e segnali di compromissione
JavaGhost ha dimostrato un’evoluzione nelle sue tattiche di attacco, passando da semplici compromissioni di credenziali a strategie più sofisticate di backdoor IAM e persistenza cloud. Il gruppo utilizza metodi come:
- Creazione di ruoli IAM malevoli con politiche di trust modificate per consentire accessi esterni.
- Abilitazione di regioni AWS disattivate per eludere i controlli di sicurezza aziendali.
- Uscita da Organizational Units AWS per aggirare le restrizioni di sicurezza impostate a livello organizzativo.
Un segnale distintivo delle loro operazioni è la creazione di Amazon EC2 Security Groups con il nome Java_Ghost e la descrizione “We Are There But Not Visible”, che richiama il loro slogan storico.
Come proteggersi dagli attacchi di JavaGhost
Le aziende devono rafforzare le difese cloud implementando:
- Rotazione periodica delle credenziali AWS per prevenire l’uso di chiavi compromesse.
- Monitoraggio attivo dei log CloudTrail, con alert per API sospette come GetFederationToken e GetSigninToken.
- Restrizione dei permessi IAM, evitando l’uso di credenziali con accesso amministrativo globale.
- Abilitazione dell’MFA per tutti gli utenti IAM, limitando l’accesso non autorizzato.
L’analisi delle attività sospette in AWS, unita a un’attenta gestione delle credenziali, è essenziale per prevenire le operazioni di phishing avanzato condotte da JavaGhost.
