Hackers Exploit AWS Misconfigurations to Launch Phishing Attacks via SES and WorkMail
- 공격 개요
- 위협 그룹 TGR-UNK-0011(JavaGhost), AWS 환경을 악용한 피싱 공격 수행
- AWS 서비스 자체 취약점이 아닌, 설정 오류(Misconfiguration)로 인한 접근 가능성 악용
- Amazon Simple Email Service(SES) 및 WorkMail을 활용하여 피싱 이메일 전송
- 공격 방식 및 전략
- 피싱 인프라 구축 및 이메일 발송 과정
- 노출된 AWS IAM 액세스 키를 이용하여 AWS CLI를 통해 환경에 접근
- 장기 액세스 키를 활용해 임시 자격 증명 및 콘솔 로그인 URL 생성
- SES 및 WorkMail 계정을 생성하고 SMTP 자격 증명 설정
- 피싱 이메일 전송, 신뢰할 수 있는 송신자로 위장하여 보안 탐지 회피
- 장기 지속성을 위한 IAM 사용자 및 역할 생성
- 공격 중 사용하지 않는 IAM 계정을 다수 생성하여 장기 접근성 확보
- 다른 AWS 계정과의 연계를 위한 신뢰 정책(Trust Policy) 포함 IAM 역할 생성
- AWS 환경 내 ‘Java_Ghost’ 보안 그룹 생성 후 CloudTrail 로그에서 신호 남김
- 피싱 인프라 구축 및 이메일 발송 과정
- 공격 주요 특징
- 보안 솔루션 탐지를 우회하기 위해 AWS의 합법적인 서비스(SES, WorkMail) 악용
- 피싱 공격 수행 인프라 구축 비용 절감
- CloudTrail 로그에서 공격 흔적을 남기는 방식(Java_Ghost 보안 그룹 생성) 유지
- 보안 권고
- IAM 키 및 접근 권한 관리 강화
- 장기 액세스 키 사용 금지 및 IAM 역할 기반 접근 제어 적용
- AWS IAM Credential Report를 통해 노출된 키 주기적으로 점검 및 폐기
- AWS CloudTrail 및 GuardDuty를 활용한 로그 분석 및 이상 징후 탐지
- 예기치 않은 IAM 사용자 및 역할 생성 이벤트 모니터링
- 새로운 SES 및 WorkMail 사용자 등록 활동 탐지
- 피싱 방지 조치 강화
- DMARC, SPF, DKIM 설정을 활용하여 출처 위변조 탐지
- AWS SES 및 WorkMail 사용 제한 및 승인된 도메인에서만 이메일 발송 허용
- 보안 정책 강화를 위한 AWS 보안 모범 사례 준수
- IAM 역할 신뢰 정책 설정 시, 외부 계정 접근 제한
- 보안 그룹 및 EC2 생성 이벤트에 대한 지속적 모니터링 수행
- IAM 키 및 접근 권한 관리 강화
- 결론
- 공격자는 AWS의 설정 오류를 이용하여 피싱 공격을 정교하게 수행
- 합법적인 클라우드 서비스 악용으로 탐지 회피 전략이 더욱 고도화됨
- 기업 및 조직은 IAM 보안 강화, CloudTrail 모니터링, 이메일 인증 강화 등의 조치를 통해 대응 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| THN 주간 요약, 제로데이 취약점, AI 보안 사고 및 암호화폐 탈취 (0) | 2025.03.23 |
|---|---|
| Qilin 랜섬웨어 그룹, Lee Enterprises 사이버 공격 주장 (0) | 2025.03.23 |
| ClickFix 기법을 활용한 PowerShell 기반 Havoc C2 배포 캠페인 (0) | 2025.03.23 |
| PowerShell 및 Microsoft 정식 애플리케이션을 이용한 파일리스 공격 증가 (0) | 2025.03.23 |
| Google 및 PayPal 인프라 악용한 피싱 공격으로 사용자 개인정보 탈취 (0) | 2025.03.23 |