گروه تهدید JavaGhost، که بیش از پنج سال فعال بوده، به تازگی فعالیتهای فیشینگ موسوم به TGR-UNK-0011 را در محیطهای ابری گسترش داده است.
این گروه که ابتدا به تخریب وبسایتها معروف بود، از سال 2022 تاکتیکهای خود را به روشهای پیشرفته دور زدن دفاعی تغییر داده و به ارسال ایمیلهای فیشینگ برای کسب درآمد مالی روی آورده است. JavaGhost با استفاده از کلیدهای دسترسی بلندمدت که از طریق پیکربندیهای نادرست به دست آمده است به محیطهای AWS نفوذ میکند. از این کلیدها برای ارسال ایمیلهای فیشینگ استفاده میشود که به راحتی میتوانند از فیلترهای امنیتی عبور کنند، چرا که از زیرساختهای موجود (SES) Amazon Simple Email Servic سازمانهای هدف ارسال میشوند.
JavaGhost همچنین زیرساخت فیشینگ خود را با استفاده از سرویسهای Amazon SES و WorkMail ایجاد میکند و با ایجاد هویتهای ایمیلی و تنظیمات DKIM، به ارسال ایمیلهای فیشینگ میپردازد. فعالیتهای مذکور در لاگهای CloudTrail قابل مشاهدهاند که نشاندهنده سطح بالای پیچیدگی و برنامهریزی این حملات است. این گروه به جای استفاده از فراخوانیهای API معمول مانند GetCallerIdentity، از فراخوانیهای اولیه دیگری مانند GetServiceQuota و GetSendQuota استفاده میکند تا از شناسایی و هشدارهای امنیتی فرار کند.
https://unit42.paloaltonetworks.com/javaghost-cloud-phishing/
