JavaGhost 通过 AWS IAM 权限滥用实施网络钓鱼攻击

Unit 42 揭露 JavaGhost 组织在 AWS 云环境中的攻击手法,包括网络钓鱼、IAM 权限滥用和高级规避技术。了解如何检测和应对此类威胁。

JavaGhost 组织的攻击演变:从网页篡改到 AWS 云攻击

Palo Alto Networks 的 Unit 42 研究团队近期追踪到一个长期活跃的威胁组织——TGR-UNK-0011,并确认其与 JavaGhost 组织有关。据 Unit 42 分享给 Hackread.com 的调查报告,该组织已活跃超过 5 年,近期攻击目标从网页篡改转向基于云环境的网络钓鱼,尤其针对 Amazon Web Services(AWS)。

起初,JavaGhost 主要从事网站篡改,在网站上留下其标记。然而,Unit 42 研究发现,从 2022 年至 2024 年,该组织逐步转向利用 AWS 访问密钥漏洞,滥用 IAM 权限,实施网络钓鱼攻击

值得注意的是,这些攻击并非 AWS 自身的漏洞所致,而是由于目标组织的 AWS 配置错误,导致长期访问密钥泄露。

攻击流程:如何利用 AWS IAM 进行网络钓鱼?

JavaGhost 组织的攻击流程如下:

1️⃣ 利用 AWS 访问密钥获取初始访问权限

  • 攻击者使用被盗的 AWS 访问密钥,通过 AWS 命令行界面(CLI)登录
  • 规避检测:攻击者不会调用常见的 “GetCallerIdentity” API(通常用于检测 AWS 身份),而是使用 “GetServiceQuota”“GetSendQuota”“GetAccount” API,以混入正常 AWS 活动流量,避免触发安全监测。
  • 研究人员观察到,攻击者的工具集使用 Python urllib3 库,在 GetSigninToken 事件中可见其痕迹。

2️⃣ 伪造 IAM 角色,实现长期控制

  • 创建临时 AWS 凭据:攻击者利用 “GetFederationToken” 生成 IAM 角色,并赋予**“全局访问”**权限,使其能够完全控制 AWS 账户。
  • 创建长期管理员账户:攻击者创建新的 IAM 用户,并赋予管理员权限,以维持长期访问。
  • 创建攻击者控制的 IAM 角色:在最近的攻击中,JavaGhost 组织还创建 IAM 角色,并设定信任策略,允许攻击者从自己控制的 AWS 账户访问受害者的 AWS 资源。

📌 示例截图: JavaGhost 组织如何利用 SMTP 凭据创建 IAM 账户

3️⃣ 伪造 AWS WorkMail,建立网络钓鱼基础设施

  • 利用 Amazon SES(Simple Email Service)和 AWS WorkMail 发送钓鱼邮件
    • 伪造企业邮件身份(SES Email Identities)
    • 伪造 DKIM 设置(域密钥识别邮件)
    • 修改 VDM(Virtual Delivery Manager)和 Mail-from 属性

📌 示例截图: JavaGhost 组织如何利用 AWS WorkMail 创建邮件账户

4️⃣ 创建恶意 EC2 安全组,尝试绕过 AWS 组织策略

  • 创建安全组:“Java_Ghost”
  • 安全组描述:“We Are There But Not Visible” (我们在这里,但不可见)
  • 尝试绕过 AWS 组织策略:退出 AWS Organizations 并启用所有 AWS 区域

📌 示例截图: JavaGhost 组织自动创建 Amazon WorkMail 目录

如何检测和防御 JavaGhost 组织的攻击?

🛡 1. 监控 CloudTrail 日志,识别可疑活动

Unit 42 研究人员表示,JavaGhost 组织的攻击行为可以通过 AWS CloudTrail 日志进行检测。

  • 重点关注 Python urllib3 相关的 User Agent 记录
  • 监测 IAM 角色创建和 API 调用,特别是 GetFederationTokenCreateUser 等操作

🛡 2. 避免长期 AWS 访问密钥,定期轮换

  • 禁止使用长期密钥,改用临时凭据(如 AWS STS)
  • 定期轮换密钥,并限制 IAM 权限,采用最小权限原则

🛡 3. 配置 AWS IAM 安全策略

  • 禁止 AWS 账户创建新的 IAM 角色,防止攻击者长期控制
  • 启用 AWS GuardDuty 进行安全威胁检测

🛡 4. 监测可疑 SMTP 账户创建行为

  • 监控 Amazon SES / WorkMail 账户创建,特别是域名、邮件配置的变更记录
  • 避免使用默认 SMTP 凭据,并定期审查 IAM 访问权限

专家评论:云安全的核心仍然是基础防御

Roger Grimes(KnowBe4 资深安全专家) 在接受采访时指出:

“这再次证明了,基础安全问题才是最大的风险。很多人以为云计算会带来全新的攻击手段,但事实证明,大多数云攻击仍然是传统攻击的延伸社交工程、过度开放的权限,仍然是攻击者最常用的手段。”

“如果你想阻止黑客入侵你的 AWS 账户,你需要做的不是‘黑科技’,而是回归基本安全原则:防止社交工程、修复未打补丁的漏洞、限制 IAM 过度权限。”

📢 总结:AWS 用户如何自保?
避免长期访问密钥,使用 AWS STS 临时凭据
开启 CloudTrail 监控 IAM 操作,检测可疑 API 调用
定期轮换 IAM 访问权限,限制账户创建和 WorkMail 配置变更
利用 AWS GuardDuty 监测潜在威胁

JavaGhost 组织的攻击手法越来越隐蔽,但企业仍然可以通过最小权限原则日志监控IAM 限制等措施进行有效防御。AWS 用户需要时刻警惕,确保自己的云环境不会成为攻击目标! 🚨