AWS SNS Bulk Smishing: Schutz der Systeme vor Ausbeutung
In den jüngsten Entwicklungen im Bereich der Cybersicherheit ist ein bösartiges Python-Skript namens SNS Sender aufgetaucht, mit dem Bedrohungsakteure Massen-Smishing-Angriffe unter Ausnutzung des Simple Notification Service (SNS) von Amazon Web Services (AWS) durchführen können. Das AWS SNS-Massen-Smishing Bedrohung wurde mit einem Bedrohungsakteur namens ARDUINO_DAS in Verbindung gebracht, wobei Sicherheitsforscher ein besorgniserregendes Muster von SMS-Phishing-Nachrichten aufgedeckt haben, die darauf abzielen, sensible Daten der Opfer zu erfassen. In diesem Blog werden wir die Sicherheitsimplikationen von AWS SNS-Massennachrichten.
AWS SNS-Massen-Smishing-Taktiken
Laut einem kürzlich erschienenen Bericht von SentinelOnegeben sich diese Smishing-Betrügereien oft als Nachrichten von seriösen Unternehmen aus. Eine gängige Tarnung sind Benachrichtigungen des United States Postal Service (USPS) über eine verpasste Paketzustellung.
Das Ziel des AWS SNS-Phishing-Vorfalls ist es, die Empfänger dazu zu verleiten, auf die in den Nachrichten eingebetteten bösartigen Links zu klicken, was zur Preisgabe von personenbezogenen Daten und Zahlungskartendaten führt.
SNS Sender: Eine beunruhigende Innovation
Was macht das AWS SNS-Massen-Smishing Bedrohung besonders bemerkenswert macht, ist die Verwendung von SNS Sender als das erste in freier Wildbahn beobachtete Tool, das AWS SNS für SMS-Spamming-Angriffe nutzt. Das bösartige Skript benötigt eine Liste von Phishing-Links, AWS-Zugangsschlüsseln, Zieltelefonnummern, Nachrichteninhalten und Absender-IDs.
Vor allem die Einbeziehung von Absender-IDs ist von entscheidender Bedeutung, die von Land zu Land unterschiedlich ist. Während beispielsweise Netzbetreiber in den Vereinigten Staaten keine Absender-IDs unterstützen, verlangen Netzbetreiber in Indien deren Verwendung, was auf die wahrscheinliche Herkunft des SNS-Autors hinweist.
Links zu Phishing-Kits und langfristigen Aktivitäten
SentinelOne identifizierte mehr als 150 Phishing-Kits die mit ARDUINO_DAS in Verbindung stehen und zum Verkauf angeboten werden, was auf eine gut etablierte Bedrohungslandschaft hinweist. Es gibt Hinweise darauf, dass der AWS SNS-Smishing-Angriff mindestens seit Juli 2022 aktiv gewesen sein könnte, wie aus Bankprotokollen hervorgeht, die auf ARDUINO_DAS verweisen und in Carding-Foren wie Crax Pro geteilt wurden.
Besonderheiten des Phishing-Kits
Die meisten dieser Phishing-Kits haben ein USPS-Thema und leiten die Nutzer zu gefälschten Paketverfolgungsseiten. Diese Seiten fordern die ahnungslosen Opfer auf, persönliche Daten und Kredit-/Debitkarteninformationen einzugeben, wie der Sicherheitsforscher @JCyberSec_ Anfang September 2022 auf X dokumentierte. Es stellt sich die besorgniserregende Frage: Sind sich die ausführenden Akteure der versteckten Hintertüren in diesen Kits bewusst, die Protokolle an nicht autorisierte Stellen senden?
AWS SNS-Sicherheitsrisiken
Diese Entwicklung steht im Einklang mit dem anhaltenden Trend, dass Bedrohungsakteure Cloud-Umgebungen für Smishing-Kampagnen. Im April 2023 deckte Permiso ein Aktivitätscluster auf, das zuvor offengelegte AWS-Zugangsschlüssel ausnutzte, um AWS-Server zu infiltrieren und SNS für den Versand von SMS-Nachrichten zu verwenden.
Die sich entwickelnde Landschaft der Bedrohungen
Die Entdeckung eines neuen Droppers, TicTacToe, fügt der wachsenden Liste von Bedrohungen hinzu, die als Dienste an Bedrohungsakteure verkauft werden. TicTacToe wurde im Jahr 2023 beobachtet und erleichtert die Verbreitung verschiedener Informationsdiebe und Remote-Access-Trojaner (RATs), die auf Windows-Nutzer abzielen. Fortinet FortiGuard Labs hat seine Verbreitung durch eine vierstufige Infektionskette aufgezeigt, die mit einer in E-Mails eingebetteten ISO-Datei beginnt.
Innovative Taktiken und gewonnene Erkenntnisse
Die Bedrohungsakteure entwickeln ihre Taktiken immer weiter, z. B. durch die Nutzung von Werbenetzwerken zur Durchführung effektiver Spam-Kampagnen, wie das Beispiel von DarkGate. HP Wolf Security deckte auf, dass Bedrohungsakteure Werbenetzwerke nutzen, um Links zu projizieren, die Erkennung zu umgehen und Analysen über ihre Opfer zu erfassen.
Darüber hinaus wird der Missbrauch von legitimen Plattformen wie Discord zur Verbreitung von Malware immer häufiger, was Unternehmen dazu veranlasst, ihre Sicherheitsmaßnahmen anzupassen.
Schlussfolgerung
Da sich die Cybersicherheitslandschaft weiterentwickelt, ist es für Unternehmen und Einzelpersonen gleichermaßen wichtig, wachsam gegenüber neuen Bedrohungen wie der AWS SNS-Sicherheitslücke. Die Ausnutzung von AWS für Massen-Smishing unterstreicht die Notwendigkeit von robuster Sicherheitsmaßnahmen und einen proaktiven Ansatz, um den Bedrohungsakteuren immer einen Schritt voraus zu sein. Das Verständnis der sich entwickelnden Taktiken und die Nutzung der Lektionen, die aus dem AWS SNS-Massen-Smishing Bedrohung gelernt haben, werden entscheidend sein, um digitale Umgebungen vor dem ständig wachsenden Spektrum von Cyber-Bedrohungen zu schützen.
Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und SentinelOne.