Een aanvaller is erin geslaagd met behulp van een gestolen toegangssleutel voor Amazon Web Services (AWS) een phishing campagne op te zetten via Amazon Simple Email Service (SES), meldt Wiz Security. De aanvaller wist hierbij zelf diverse domeinnamen toe te voegen en verifiëren, en kon zo grote hoeveelheden e-mails versturen.

SES is een dienst van AWS waarmee klanten grote hoeveelheden e-mails kunnen sturen, bijvoorbeeld als onderdeel van marketingcampagnes. Standaard opereren accounts van klanten in een beperkte 'sandbox'-modus, waarbij e-mails alleen naar geverifieerde mailadressen kunnen worden verstuurd en het aantal mails beperkt is tot 200 per dag. Het is mogelijk een aanvraag in te dienen om deze beperking op te heffen, waarna klanten tot 50.000 mails per dag mogen sturen en mailadressen van ontvangers niet geverifieerd hoeven te zijn.

Het security bedrijf meldt iedere maand ongeveer tien gecompromitteerde AWS-toegangssleutels te ontdekken. Deze specifieke aanval viel echter op door de werkwijze van de aanvaller en de impact van de aanval. Zo wist de aanvaller de supportafdeling van AWS te overtuigen het gehackte account uit de beperkte 'sandbox'-modus te halen, zodat tot 50.000 mails per dag konden worden verstuurd. Ook probeerde de aanvaller dit limiet verder op te hogen, wat mogelijk is door hiervoor een support ticket aan te maken. Deze poging mislukte echter doordat het account waarmee deze aanvraag werd ingediend hiervoor onvoldoende rechten had.

Vervolgens zijn door de aanvallers diverse domeinnamen toegevoegd als geverifieerde identiteiten, zodat via deze domeinen e-mails konden worden verstuurd. Een deel van deze domeinen stond onder beheer van de aanvaller, terwijl een ander deel niet was voorzien van DMARC-beveiliging. Het ontbreken van DMARC-beveiliging stelt aanvallers in staat e-mails te versturen uit naam van het domein, wat ook wel spoofing wordt genoemd. Zodra deze domeinnamen waren toegevoegd aan SES zijn aan deze domeinnamen e-mailadressen gekoppeld met veelvoorkomende voorvoegsels als admin@, billing@, sales@ en noreply@.

Diverse organisaties zijn uiteindelijk via de campagne bestookt met phishing mails. Wiz Security meldt hierbij geen focus op een specifieke regio of sector te hebben ontdekt. In veel gevallen verwezen de e-mails in de onderwerpregel naar belasting gerelateerde onderwerpen, waarschijnlijk om ontvangers te overtuigen de e-mail te openen. De phishing mails bevatten een URL naar een malafide website, gericht op het stelen van inloggegevens. Deze URL was verborgen via een externe dienst die het mogelijk maakt netwerkverkeer te analyseren, wat onder meer in marketingcampagnes veelgebruikt wordt. Zo wist de aanvaller detectie door security software te voorkomen.

Wiz Security stelt dat SES voor aanvallers erg aantrekkelijk is. "De aantrekkingskracht is duidelijk: SES stelt aanvallers in staat om op grote schaal phishingaanvallen uit te voeren vanaf vertrouwde domeinen. Hierdoor worden zowel de financiële kosten als de reputatieschade afgewenteld op het slachtoffer, terwijl kwaadaardig verkeer naadloos opgaat in legitieme e-mailstromen en zo veel traditionele beveiligingsmaatregelen omzeilt."