AWS SNS Bulk Smishing : protéger les systèmes contre l'exploitation
Au cours des derniers développements en matière de cybersécurité, un script Python malveillant appelé SNS Sender est apparu comme un outil permettant aux acteurs de la menace de mener des attaques de smishing en masse en exploitant le service de notification simple (SNS) d'Amazon Web Services (AWS). Le script AWS SNS bulk smishing a été associée à un acteur nommé ARDUINO_DAS, et les chercheurs en sécurité ont découvert un modèle inquiétant de messages d'hameçonnage par SMS visant à capturer les informations sensibles des victimes. Dans ce blog, nous allons explorer les implications en matière de sécurité de la messagerie en masse AWS SNS. de la messagerie en vrac AWS SNS.
Tactiques d'hameçonnage en masse des SNS d'AWS
Selon un rapport récent de SentinelOneces escroqueries par smishing se font souvent passer pour des messages provenant d'entités réputées, l'un des plus courants étant la notification par le service postal des États-Unis (USPS) d'une absence de livraison d'un colis.
L'objectif de l'incident de phishing AWS SNS phishing incident est d'inciter les destinataires à cliquer sur des liens malveillants intégrés dans les messages, ce qui entraîne la compromission d'informations personnelles identifiables (PII) et de détails de cartes de paiement.
SNS Sender : Une innovation troublante
Qu'est-ce qui fait que le AWS SNS bulk smishing est l'utilisation de SNS Sender, premier outil observé dans la nature, qui exploite AWS SNS pour des attaques de spamming par SMS. Le script malveillant nécessite une liste de liens de phishing, des clés d'accès AWS, des numéros de téléphone cibles, le contenu du message et les identifiants de l'expéditeur.
L'inclusion des identifiants d'expéditeur est cruciale et varie en importance d'un pays à l'autre. Par exemple, alors que les opérateurs aux États-Unis ne prennent pas en charge les identifiants d'expéditeur, les opérateurs en Inde exigent leur utilisation, ce qui indique l'origine probable de l'auteur de l'expéditeur du SRS.
Liens vers des kits d'hameçonnage et activité à long terme
SentinelOne a identifié plus de 150 kits de phishing associés à ARDUINO_DAS disponibles à la vente, ce qui indique un paysage de menaces bien établi. Les preuves suggèrent que l'attaque de smishing attaque par smishing AWS SNS pourrait être active depuis au moins juillet 2022, comme le montrent les journaux bancaires faisant référence à ARDUINO_DAS partagés sur des forums de carding tels que Crax Pro.
Spécificités du kit d'hameçonnage
La majorité de ces kits d'hameçonnage adoptent le thème de l'USPS, dirigeant les utilisateurs vers de fausses pages de suivi de colis. Ces pages incitent les victimes peu méfiantes à saisir des informations personnelles et des données de carte de crédit/débit, comme l'a montré le chercheur en sécurité @JCyberSec_ sur X au début du mois de septembre 2022. La question qui se pose est la suivante : les acteurs qui déploient ces kits sont-ils conscients de l'existence de portes dérobées cachées dans ces kits, qui envoient des logs à des endroits non autorisés ?
Risques liés à la sécurité du système SNS d'AWS
Cette évolution s'inscrit dans la tendance actuelle des acteurs de la menace à exploiter les environnements en nuage pour mener des campagnes de smishing. campagnes de smishing. En avril 2023, Permiso a exposé un groupe d'activités qui exploite les clés d'accès AWS précédemment exposées pour infiltrer les serveurs AWS, en utilisant SNS pour envoyer des messages SMS.
L'évolution du paysage des menaces
La découverte d'un nouveau dropper, TicTacToe, vient s'ajouter à la liste croissante des menaces vendues en tant que services aux acteurs de la menace. Observé tout au long de l'année 2023, TicTacToe facilite la propagation de divers voleurs d'informations et trojans d'accès à distance (RAT) ciblant les utilisateurs de Windows. Fortinet FortiGuard Labs a mis en évidence son déploiement par le biais d'une chaîne d'infection en quatre étapes qui commence par un fichier ISO intégré dans des messages électroniques.
Tactiques innovantes et enseignements tirés
Les acteurs de la menace continuent d'innover dans leurs tactiques, comme l'utilisation de réseaux publicitaires pour orchestrer des campagnes de spam efficaces, illustrée par DarkGate. HP Wolf Security a révélé que les acteurs de la menace utilisent des réseaux publicitaires pour créer des liens proxy, échappant ainsi à la détection et capturant des données analytiques sur leurs victimes.
En outre, l'utilisation abusive de plateformes légitimes comme Discord pour distribuer des logiciels malveillants est de plus en plus fréquente, ce qui incite les organisations à adapter leurs mesures de sécurité.
Conclusion
Alors que le paysage de la cybersécurité évolue, il est impératif pour les organisations et les particuliers de rester vigilants face aux menaces émergentes telles que la la faille de sécurité du système SNS d'AWS. L'exploitation d'AWS pour l'hameçonnage en masse souligne la nécessité de mesures de sécurité robustes et d'une approche proactive pour garder une longueur d'avance sur les acteurs de la menace. Comprendre l'évolution des tactiques et tirer parti des enseignements de l'affaire du AWS SNS bulk smishing seront essentielles pour protéger les environnements numériques contre le spectre toujours plus large des cybermenaces.
Les sources de cet article comprennent des articles dans The Hacker News et SentinelOne.