Unit 42的安全研究人员发现了一场由 “JavaGhost” 威胁行为者组织精心策划的高级网络钓鱼活动。该组织已活跃了五年多，持续将目标对准云环境，尤其是亚马逊网络服务（AWS）相关服务，以发动复杂的网络钓鱼攻击。

如在 DefacerID 等数据库中所记录的那样，“JavaGhost” 曾以网站篡改活动而闻名。然而，研究人员注意到，从 2022 年起其策略发生了重大转变：“根据我们的调查，该组织在 2022 年从网站篡改转变为向毫无防备的目标发送网络钓鱼活动。”

在 2022 年至 2024 年间，Unit 42已将 “JavaGhost” 与多起网络钓鱼活动联系起来，该组织利用被攻陷的 AWS 环境来进行邮件分发。值得注意的是，他们的攻击并非源于 AWS 的漏洞，而是受害者组织云环境中的配置错误，这些错误导致长期有效的 AWS 访问密钥被暴露。“JavaGhost” 利用了过于宽松的身份与访问管理（IAM）权限，使其能够滥用亚马逊简单邮件服务（SES）和亚马逊工作邮件（Amazon WorkMail）来发送网络钓鱼邮件。通过使用合法的 AWS 服务，他们的邮件能够绕过传统的安全过滤器：“利用现有的 SES 基础设施，使得威胁行为者的网络钓鱼邮件能够绕过邮件防护机制，因为这些邮件来自一个目标组织之前曾接收过邮件的已知实体。”

这种策略使 “JavaGhost” 能够在被攻陷的云环境中长时间隐秘地活动。

在获取到暴露的 AWS 访问密钥后，“JavaGhost” 通过以下方式避开传统的检测方法：

1.跳过攻击者通常用于枚举被攻陷账户的 GetCallerIdentity API 调用。

2.使用诸如 GetServiceQuota、GetSendQuota 和 GetAccount 等替代 API 调用，在避免触发安全警报的同时验证访问权限。

3.通过 GetFederationToken API 生成临时凭证，使其能够创建具有广泛权限的 AWS 控制台登录网址。

这种技术与此前被认为是 Scattered Spider所为的高级对手行为相符，Scattered Spider 是一个以专注于云环境的攻击技术而闻名的复杂网络犯罪组织。

“JavaGhost” 通过以下方式在被攻陷的环境中建立持久控制：

1.创建具有管理员访问权限的新 IAM 用户和角色。

2.利用 Amazon WorkMail 建立用于网络钓鱼操作的恶意账户。

3.在 AWS SES 中配置简单邮件传输协议（SMTP）凭证，以便在不被发现的情况下发送欺诈性邮件。

此外，还观察到 “JavaGhost” 创建了带有误导性标签 “Java_Ghost” 的 AWS 安全组，其描述如：“我们在那里，但却看不见。”

这句话与 “JavaGhost” 以往的网站标语相匹配，进一步证明了他们在不同攻击活动中的关联性。

鉴于网络钓鱼是主要的攻击手段，各组织必须立即采取行动，保护其 AWS 环境免受 “JavaGhost” 策略的攻击。建议采取的防御措施包括：

1.定期轮换 AWS 访问密钥，并监控未经授权的 API 调用。

2.实施严格的 IAM 策略，防止权限过度授予。

3.为 SES、WorkMail 和 IAM 活动启用云迹（CloudTrail）日志记录。

4.部署邮件身份验证措施（发件人策略框架（SPF）、域名密钥识别邮件（DKIM）、基于域的消息身份验证、报告和一致性（DMARC）），以检测欺诈性邮件。

Unit 42的研究证实，“JavaGhost” 的策略会在 AWS 日志中留下可检测的痕迹，这使得各组织能够针对可疑活动创建自定义警报。