مقدمة
يقوم فريق Wiz Research بمراقبة الاتجاهات بشكل مستمر عبر مشهد التهديدات باستخدام قواعد الكشف عن التهديدات الخاصة بـ Wiz Defend. هدفنا هو تتبع أساليب المهاجمين (TTPs) أثناء تطورها، حتى نتمكن من تكييف الدفاعات بسرعة والحفاظ على حماية عملائنا.
حددت Wiz Research حملة إساءة استخدام SES (Amazon Simple Email Service) في مايو 2025 والتي تميزت بتأثيرها واستخدام أنماط الهجوم غير المرئية سابقًا.
قام المهاجم أولاً باختراق مفتاح وصول AWS – وهو ناقل شائع جدًا. نحن نلاحظ بشكل روتيني عشرات من مفاتيح الوصول السحابية المخترقة حديثًا كل شهر، مما يؤدي إلى تأجيج مئات محاولات الاستغلال.
وهنا، استخدم المهاجم المفتاح المخترق للوصول إلى بيئة AWS الخاصة بالضحية، وتجاوز قيود SES المضمنة، والتحقق من هويات “المرسل” الجديدة، والتحضير لعملية تصيد احتيالي وتنفيذها بشكل منهجي. لقد مكننا تحليلنا لنشاطهم من التعرف على أنماط المهاجم وتصنيفها في قواعد كشف جديدة. وهذا يوسع تغطيتنا عبر مراحل إضافية من سلسلة القتل، مما يضمن الكشف عن الانتهاكات المستقبلية من قبل هذا الفاعل والآخرين بشكل أكثر شمولاً.
الخلفية: Amazon SES وقيد Sandbox
Amazon Simple Email Service (SES) هي منصة البريد الإلكتروني المجمعة المستندة إلى السحابة من AWS. افتراضيًا، تعمل الحسابات في وضع “وضع الحماية” المقيد، حيث لا يمكن إرسال رسائل البريد الإلكتروني إلا إلى العناوين التي تم التحقق منها ويتم تحديد الحد الأقصى لوحدات التخزين بما يصل إلى 200 رسالة يوميًا، بمعدل رسالة واحدة في الثانية كحد أقصى. يمكن نقل الحساب إلى وضع “الإنتاج” غير المقيد، حيث يمكن إرسال رسائل البريد الإلكتروني إلى مستلمين عشوائيين وزيادة الحصة، عادةً إلى 50000 رسالة بريد إلكتروني يوميًا. يتطلب النقل إرسال تفاصيل الحساب لمراجعة AWS من خلال PutAccountDetails API، ويمكن للعملاء الذين يحتاجون إلى كميات أكبر طلب سعة إضافية من خلال تذكرة الدعم.
تم تصميم وضع الإنتاج مع وضع حالات الاستخدام التجاري المشروعة في الاعتبار، ولكن في حالة وقوعه في أيدي أحد المهاجمين، يمكن أن يكون بمثابة الأساس لحملات التصيد الاحتيالي والبريد العشوائي واسعة النطاق. حدد Wiz إساءة استخدام SES كطريقة أساسية لتحقيق الدخل من مفاتيح وصول AWS المسربة. النداء واضح: يتيح SES للخصوم إطلاق عمليات التصيد الاحتيالي على نطاق واسع من النطاقات الموثوقة، مما يحول التكاليف المالية والضرر الذي يلحق بالسمعة إلى الضحية، مع السماح لحركة المرور الضارة بالاندماج بسلاسة مع تدفقات البريد الإلكتروني المشروعة وتجاوز العديد من الدفاعات التقليدية.
من المفاتيح المسروقة إلى SES Sandbox Escape
بدأ الهجوم بمجموعة من مفاتيح الوصول المخترقة. في حين أن الناقل الدقيق لا يزال غير معروف، غالبًا ما يتم الحصول على هذه المفاتيح من خلال التعرض العام غير المقصود (مستودعات التعليمات البرمجية، والأصول التي تم تكوينها بشكل خاطئ) أو السرقة من محطة عمل المطور. بمجرد حصولهم على مفتاح الوصول إلى AWS، كانت الخطوة الأولى للمهاجم بسيطة GetCallerIdentity طلب (ATT&CK: T1078.004). كشفت استجابة استدعاء واجهة برمجة التطبيقات (API) أن مفتاح الوصول يحتوي على “ses-” مضمن في اسمه، مما يشير إلى أنه تم تزويده في الأصل بأذونات SES. وكان المهاجم قد لاحظ هذا أيضا.
بعد ذلك، بدأ المهاجم في التحقيق مع SES مباشرة. أصدروا GetSendQuota و GetAccount المكالمات، وكلاهما يهدف إلى الكشف عن الحالة الحالية لتكوين SES وما إذا كان الحساب لا يزال مقيدًا بحدود وضع الحماية (ATT&CK: T1526).
تصاعد هذا الاستطلاع بسرعة. وفي غضون عشر ثوان فقط، لاحظنا انفجارا PutAccountDetails الطلبات التي انتشرت في جميع مناطق AWS – مؤشر قوي للأتمتة ومحاولة واضحة لدفع حساب SES إلى وضع الإنتاج (ATT&CK: T1098). على حد علمنا، فإن هذا الاستخدام متعدد المناطق لـ PutAccountDetails لم يتم توثيقها في التقارير السابقة، مما يجعلها تقنية جديرة بالملاحظة وجديدة في سياق إساءة استخدام SES. في حين أن الدافع الدقيق للنشاط متعدد المناطق غير واضح، فإن التفسيرات المحتملة تتضمن محاولة لتعظيم حصص الإرسال الخاصة بالمنطقة، أو التهرب من قيود SCP على مستوى المنطقة، أو ببساطة بناء التكرار عبر المناطق.
بالإضافة إلى ذلك، فإن ما أدرجه المهاجم في تلك الطلبات يوفر نظرة مفيدة حول كيفية محاولة الخصوم نقل حسابات SES خارج صندوق الحماية. تبريرهم يقرأ:
بالإضافة إلى ذلك، قاموا بتضمين عنوان URL لموقع الويب الخاص بشركة إنشاءات ليس لها أي صلة بالضحية، أو بالهويات المستخدمة لاحقًا للتصيد الاحتيالي. لقد كان تفسيرًا عامًا ونموذجيًا تقريبًا، لكنه كان مصقولًا بما يكفي ليعتبر شرعيًا. تمت الموافقة على الطلب في النهاية من خلال دعم AWS.
لكن المهاجم لم يكن راضيًا عن الحصة الافتراضية البالغة 50000 رسالة بريد إلكتروني يوميًا. لقد حاولوا فتح تذكرة دعم برمجيًا من خلال ملف CreateCase API، تطلب من AWS رفع حدودها بشكل أكبر (ATT&CK: T1098)، وهي محاولة فشلت بسبب عدم كفاية الأذونات. ولم يستسلموا، بل حاولوا بعد ذلك تصعيد امتيازاتهم عن طريق إنشاء سياسة IAM باسم ses-support-policy وإرفاقه بمستخدم IAM المخترق (ATT&CK: T1098.003). فشلت هذه الجهود أيضًا بسبب عدم كفاية الأذونات، مما تركها مقيدًا بحصة الإنتاج القياسية. ومن المثير للاهتمام أن استخدام CreateCase عبر واجهة برمجة التطبيقات (API) بدلاً من وحدة تحكم AWS – كما رأينا هنا – وهو أمر غير شائع، ويعمل كمؤشر قوي آخر على النشاط المشبوه.
على الرغم من فشل محاولة حالة الدعم، احتفظ المهاجم بالحصة الافتراضية البالغة 50000 رسالة بريد إلكتروني يوميًا. وكانت هذه القدرة كافية في حد ذاتها، ومع تمكين وضع الإنتاج، يمكن أن تبدأ المرحلة الأخيرة من حملة إساءة استخدام SES.
من Sandbox Escape إلى البنية التحتية للتصيد الاحتيالي
بدأ المهاجم بإضافة نطاقات متعددة كهويات تم التحقق منها باستخدام CreateEmailIdentity واجهة برمجة التطبيقات. كانت النطاقات عبارة عن مزيج من النطاقات المملوكة للمهاجمين والنطاقات الشرعية ذات وسائل حماية DMARC ضعيفة (مما يسهل على المهاجمين الانتحال أو الإرسال نيابة عن النطاق دون أن يتم حظرهم بواسطة ضوابط أمان البريد الإلكتروني الشائعة). (ATT&CK: T1583.001, T1584.001). والأشخاص الذين يملكهم المهاجمون هم:
-
managed7.com -
street7news.org -
street7market.net -
docfilessa.com
بمجرد التحقق، قاموا بإنشاء عناوين بريد إلكتروني مرتبطة بهذه النطاقات، باستخدام بادئات شائعة مثل:
-
admin@ -
billing@ -
sales@ -
noreply@
يتيح الإعداد حملة تصيد احتيالية أوسع
لقد عملنا مع زملائنا في Proofpoint، الذين حددوا حملة تصيد احتيالي كانت تستخدم هذه النطاقات لإرسال البريد الإلكتروني، لجمع المزيد من المعلومات.
استهدفت الحملة مؤسسات متعددة دون تركيز جغرافي أو صناعي واضح. أشارت رسائل التصيد الاحتيالي إلى نماذج ضريبية لعام 2024، مع موضوعات مثل “النموذج (النماذج) الضريبية لعام 2024 جاهز الآن للعرض والطباعة – الرقم المرجعي: XXXX” و “تنبيه المعلومات: السجلات الضريبية تحتوي على حالات شاذة # XXXX“.
رسائل البريد الإلكتروني المرتبطة بما قمنا بتقييمه كانت موقعًا لسرقة بيانات الاعتماد مستضافًا فيه irss[.]securesusa[.]com. لتجنب الكشف، قام المهاجمون بإخفاء الموقع وراء عملية إعادة توجيه مقدمة من خدمة تحليل حركة المرور التجارية – وهي تقنية شائعة الاستخدام في الحملات التسويقية، ولكن تم إعادة توجيهها هنا لتجاوز الماسحات الضوئية الأمنية ومنح الجهات الفاعلة رؤية لمعدلات النقر إلى الظهور للضحية.
يمكن لهذه الأنواع من حملات سرقة بيانات الاعتماد أن تسهل مجموعة واسعة من الأنشطة الضارة، بما في ذلك سرقة بيانات الاعتماد وتسوية البريد الإلكتروني الخاص بالعمل والمخططات الأخرى. ونظرًا للطبيعة الخفيفة والانتهازية لهذه الحملة، فإننا نقدر أنه تم إجراؤها على الأرجح لتحقيق مكاسب مالية. ومع ذلك، فإننا لا نربطه بأي مجموعات يتم تتبعها بشكل عام.
لماذا يهم إساءة استخدام SES
للوهلة الأولى، قد تبدو إساءة استخدام SES بمثابة مصدر إزعاج بتكلفة ضئيلة – بنسات لكل ألف رسالة بريد إلكتروني – ولكن هناك أسباب قوية لمراقبتها عن كثب:
-
السمعة ومخاطر الأعمال: إذا تم تكوين SES في حسابك، فيمكن للمهاجمين إرسال بريد إلكتروني من نطاقاتك التي تم التحقق منها. بالإضافة إلى الإضرار بالعلامة التجارية، يؤدي هذا إلى تمكين التصيد الاحتيالي الذي يبدو وكأنه صادر منك ويمكن استخدامه للتصيد الاحتيالي أو الاحتيال أو سرقة البيانات أو التنكر في العمليات التجارية.
-
خطر التسوية: نادرًا ما تحدث إساءة استخدام SES بمعزل عن الآخرين. إنه مؤشر واضح على أن الخصوم يتحكمون بالفعل في بيانات اعتماد AWS الصالحة التي يمكن توسيعها إلى إجراءات أكثر تأثيرًا.
-
المخاطر التشغيلية: يمكن أن يؤدي نشاط البريد العشوائي أو التصيد الاحتيالي إلى تقديم شكاوى إساءة الاستخدام إلى AWS، مما قد يؤدي إلى رفع قضية إساءة استخدام ضد حسابك – وهو أمر ترغب أي مؤسسة في تجنبه.
الاستنتاج والوجبات الرئيسية
تسلط هذه الحملة الضوء على العديد من الدروس الأوسع للدفاع عن البيئات السحابية.
-
مفاتيح الوصول مسربة تظل إحدى نقاط الدخول الأكثر شيوعًا وفعالية للمهاجمين. تتضمن العلامات التي يجب مراقبتها أن تصبح المفاتيح غير النشطة نشطة فجأة، وتسجيلات الدخول من أرقام ASN غير عادية، والنشاط من بلدان متعددة. عندما تظهر هذه الإشارات، ابدأ بمعالجة المفاتيح الأكثر خطورة – تلك التي تتمتع بأذونات واسعة للغاية أو التي تكون خاملة لفترة طويلة.
-
مراقبة ل طفرات مفاجئة في استخدام الخدمة السحابية. في AWS، يمكنك إظهار هذه الحالات الشاذة من خلال مقاييس CloudWatch أو وحدة التحكم في الفوترة أو سجلات CloudTrail. يجب إيلاء المزيد من الاهتمام للخدمات التي يستهدفها المهاجمون بشكل متكرر لتحقيق الدخل، مثل البريد الإلكتروني أو المراسلة أو الحوسبة أو التخزين (على سبيل المثال، SES وSNS وEC2 وS3).
بالإضافة إلى ذلك، تتضمن تقنيات المهاجم في هذه الحملة المحددة والتي تستحق المراقبة ما يلي: دفعات متعددة المناطق من PutAccountDetails طلبات، استدعاء غير وحدة التحكم CreateCase واجهة برمجة التطبيقات (API)، والإنشاء السريع للمجالات وهويات البريد الإلكتروني.
إرشادات الوقاية
حتى بدون أدوات متخصصة، يمكن للمؤسسات اتخاذ عدة خطوات لتقليل مخاطر إساءة استخدام SES:
-
تقييد SES إذا لم يتم استخدامه: قم بتطبيق سياسة التحكم في خدمة AWS (SCP) لحظر SES بالكامل في الحسابات التي لا تكون هناك حاجة إليها.
-
التدقيق وتدوير المفاتيح: قم بتدوير مفاتيح IAM بانتظام، وراقب المفاتيح الخاملة التي تصبح نشطة مرة أخرى فجأة.
-
فرض أقل الامتيازات: تأكد من أن الأدوار والهويات المعينة فقط هي التي يمكنها التحقق من المرسلين الجدد أو طلب الوصول إلى الإنتاج.
-
تسجيل وتنبيه على نشاط SES: استخدم CloudTrail لتتبع مكالمات SES API مثل
PutAccountDetails، وانتبه للارتفاعاتSendEmailالاستخدام أو إضافات المرسل غير العادية. سيس أحداث البيانات هي ميزة CloudTrail جديدة توفر رؤية أكثر تفصيلاً لنشاط إرسال البريد الإلكتروني، ويجب على المؤسسات تمكينها حيثما كان ذلك ممكنًا.
كيف يمكن أن يساعد الحذق
يستفيد عملاء Wiz Defend من المراقبة المستمرة والاكتشافات المصممة خصيصًا لالتقاط الإشارات المبكرة لإساءة استخدام SES وغيرها من ناقلات تحقيق الدخل الشائعة لمفاتيح الوصول المخترقة. في مثل هذه الحملات، تكون العديد من قواعد الكشف لدينا فعالة في الإبلاغ عن سلوك المهاجم قبل وقت طويل من بدء عمليات التصيد الاحتيالي واسعة النطاق:
ومن خلال ربط هذه السلوكيات عبر خدمات AWS، توفر Wiz Defend للمدافعين تحذيرًا مبكرًا وسياقًا قابلاً للتنفيذ. بدلاً من اكتشاف إساءة استخدام SES بمجرد تدفق رسائل البريد الإلكتروني التصيدية فقط، يسلط Wiz Defend الضوء على الخطوات التحضيرية للمهاجم، مما يمنح فرق الأمان الفرصة للرد قبل توسيع نطاق الحملة.
يقوم Wiz أيضًا بإظهار مفاتيح الوصول المخترقة ويقوم بالمسح المستمر بحثًا عن بيانات الاعتماد المكشوفة، مما يمكّن المؤسسات من تدوير بيانات الاعتماد المخترقة هذه قبل أن تتاح للمهاجمين فرصة إساءة استخدامها.
قراءة “حالة الذكاء الاصطناعي في السحابة”
