TTL OSINT

08.08.2024 158 2 мин.

Появляющаяся фишинговая кампания, нацеленная на аккаунты AWS

Исследовательская группа Wiz Threat Research обнаружила новую фишинговую кампанию, направленную против учетных записей Amazon Web Services (AWS). Кампания включает в себя фишинговое электронное письмо, содержащее изображение в формате PNG, при нажатии на которое открывается вредоносный PDF-файл, размещенный на файлообменном сайте. PDF-файл перенаправляет пользователя через ряд доменов, контролируемых злоумышленником, и в конечном итоге на страницу сбора учетных данных, которая имитирует страницу входа в AWS. Злоумышленник использовал для этой цели учетную запись AWS, которая, вероятно, принадлежит злоумышленнику или скомпрометирована им. Фишинговая страница была удалена после того, как Google Chrome идентифицировал ее как фишинговую страницу, но вполне возможно, что к удалению были причастны AWS или Google. Для защиты от этого сценария клиентам AWS следует рассмотреть возможность внедрения мер безопасной настройки, таких как отключение доступа к учетной записи AWS root через SCP, использование защищенной от фишинга многофакторной аутентификации (MFA) и использование решений единого входа вместо пользователей IAM или root-логинов. Кроме того, следует включить облачные сервисы ведения журнала, такие как Amazon CloudTrail, чтобы оценить влияние скомпрометированных учетных данных и предотвратить будущие нарушения.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://www.wiz.io/blog/emerging-phishing-campaign-targeting-aws-accounts

Примеры признаков компромисса:

• docshare.tech
• signin.aws.amaonz.com
• signin.aws.bashaws.com
• signin.aws.amzan.com
• signin.aws.hashcrp.in

Источник: TTL OSINT