گروه تهدید JavaGhost، که بیش از پنج سال فعال بوده، به تازگی فعالیتهای فیشینگ موسوم به TGR-UNK-0011 را در محیطهای ابری گسترش داده است.
این گروه که ابتدا به تخریب وبسایتها معروف بود، از سال 2022 تاکتیکهای خود را به روشهای پیشرفته دور زدن دفاعی تغییر داده و به ارسال ایمیلهای فیشینگ برای کسب درآمد مالی روی آورده است. JavaGhost با استفاده از کلیدهای دسترسی بلندمدت که از طریق پیکربندیهای نادرست به دست آمده، به محیطهای AWS نفوذ میکند. از این کلیدها برای ارسال ایمیلهای فیشینگ استفاده میشود که به راحتی میتوانند از فیلترهای امنیتی عبور کنند، زیرا از زیرساختهای موجود (SES) Amazon Simple Email Servic سازمانهای هدف ارسال میشوند.
همچنین زیرساخت فیشینگ خود را با استفاده از سرویسهای Amazon SES و WorkMail ایجاد میکند و با ایجاد هویتهای ایمیلی و تنظیمات DKIM، به ارسال ایمیلهای فیشینگ میپردازد. فعالیتهای مذکور در لاگهای CloudTrail قابل مشاهدهاند که نشاندهنده سطح بالای پیچیدگی و برنامهریزی این حملات است. JavaGhost به جای استفاده از فراخوانیهای API معمول مانند GetCallerIdentity، از فراخوانیهای اولیه دیگری مانند GetServiceQuota و GetSendQuota استفاده میکند تا از شناسایی و هشدارهای امنیتی دوری کند.
https://unit42.paloaltonetworks.com/javaghost-cloud-phishing/
