“`html
Giriş
Son dönemde, Palo Alto Networks Unit 42’nin bulgularına göre, tehdit aktörleri Amazon Web Services (AWS) ortamlarını hedef alarak, kullanıcıları kandırmayı amaçlayan phishing kampanyalarını yaymaktadır. Bu saldırılar, genellikle AWS’nin Simple Email Service (SES) ve WorkMail hizmetlerini kullanarak gerçekleştirilmektedir. TGR-UNK-0011 adı altında izlenen bu faaliyet grubu, JavaGhost isimli başka bir tehdit grubu ile örtüşmektedir.
Teknik Açıklamalar
TGR-UNK-0011 grubunun AWS hizmetlerindeki yanlış yapılandırmalardan yararlanarak gerçekleştirdiği saldırılar, genellikle düşük ayrıcalıklara sahip hesapların istismarına dayanır. Özellikle, AWS SES ve WorkMail kullanarak gerçekleştirdikleri phishing kampanyaları, kullanıcıların kimlik bilgilerini çalmak amacı gütmektedir. Bu tür saldırılarda sıkça yapılan hatalar arasında yanlış IAM (Identity and Access Management) politikaları, aşırı izinler ve eksik kısıtlamalar yer almaktadır.
AWS SES, geliştiricilerin e-posta gönderme yeteneklerini kolayca entegre edebilmesine olanak tanırken, kötü niyetli kullanıcılar bu kolaylığı kendi çıkarları için kullanabilir. Örneğin, bir saldırgan, bir AWS hesabı oluşturarak bu hizmet üzerinden kullanıcıları hedef alan spam e-postalar gönderebilir.
Örnekler
Aşağıda, AWS üzerinde bir SES yapılandırmasının nasıl yanlış bir şekilde yapılandırılabileceğine dair bir örnek verilmiştir:
aws ses verify-email-identity --email-address example@example.com
aws ses set-identity-feedback-forwarding-enabled --identity example@example.com --email-forwarding-enabledYukarıdaki komutlar, saldırganın hesabına ait bir e-posta kimliğini doğrulamasına ve kullanıcıların geri bildirimlerini yönlendirmesine olanak tanır. Bu tür yapılandırmalar, hijacked hesaplar üzerinden phishing saldırılarını kolaylaştırır.
Önlemler & En İyi Uygulamalar
Bu tür saldırıların önlenmesi adına aşağıdaki en iyi uygulamalar ve önlemler önerilmektedir:
- IAM Politikalarını Gözden Geçirin: Kimlik ve Erişim Yönetimi politikalarını dikkatlice yapılandırın ve gereksiz yetkileri kaldırın.
- Çok Faktörlü Kimlik Doğrulama (MFA): Önemli hesaplar için MFA uygulayarak ek bir güvenlik katmanı oluşturun.
- Güvenlik Grupları ve Ağ Erişim Kontrolleri: AWS kaynaklarınıza erişimi kısıtlayarak güvenlik açıklarını azaltın.
- Log İzleme: AWS CloudTrail gibi hizmetleri kullanarak logları düzenli olarak izleyin. Olağandışı bir aktivite tespit edildiğinde hızlıca müdahale edin.
Sonuç & Özet
AWS platformunun yanlış yapılandırılması, kötü niyetli aktörlerin phishing saldırıları gerçekleştirerek kullanıcıları hedef almasına olanak tanımaktadır. TGR-UNK-0011 gibi grupların faaliyetleri, güvenliğin ne denli önemli olduğunu bir kez daha gözler önüne sermektedir. Sistem yöneticileri, AWS altyapılarını güvenli hale getirmek için yukarıda belirtilen önlemleri almalıdır.
Kaynakça
“` [Collection]
About the Author
