借刀攻擊｜黑客利用Amazon合法電郵服務　每日發送五萬封惡意電郵

近年黑客針對雲端基礎設施的攻擊日益頻繁，好似早前一場瞄準 Amazon Simple Email Service（SES）的高階網絡攻擊，黑客濫用了相關平台用戶被外洩的帳戶訪問金鑰，透過複雜的操作，成功將帳戶權限提升至每日可發送五萬封電郵，從而提升釣魚攻擊和金融詐騙的成功率。

黑客突破發送 200 封電郵限制

SES 是 AWS 提供的雲端電郵服務，用戶可以透過平台大規模發送電郵，廣泛應用於營銷電郵、推送通知及發送交易憑證等場景。SES 以高效能、彈性及穩定性聞名，受到企業廣泛使用，可直接將電郵寄送到收件人的電郵信箱，不會輕易被視為垃圾電郵或被電郵安全工具攔截，這優勢亦成為黑客攻擊的目標。

不過，SES 設有沙盒模式（Sandbox Mode），普通用戶每天只能發送 200 封電郵，但黑客通過一系列手段成功繞過此限制，將 SES 轉化成他們進行網絡犯罪的工具。

根據 Wiz.io 研究員的分析，這次針對 SES 的攻擊鏈分為五個階段。首先，黑客利用竊取或獲取到的 AWS 金鑰，透過 GetCallerIdentity API 去測試帳戶的有效性，接著黑客會使用 GetSendQuota 和 GetAccount 等 API 去了解目標帳戶的權限及服務配額，隨後黑客會嘗試突破 SES 沙盒環境操控帳戶權限，甚至透過創建 IAM 政策來提升帳戶權限。

惡意電郵標題與稅務相關

接下來，黑客會創建新的 SES 網域或身份，進一步控制基礎設施，雖然研究員指出黑客不能將帳戶權限提升至最高，但已可將每天的電郵發送限額提升至五萬封，非常夠用。當一切準備就緒，黑客就可騎劫受害企業的帳戶及網絡資源，用以大規模發佈釣魚電郵，為了提升收件人的參與率，電郵會以「Your 2024 Tax Form(s) Are Now Ready to View and Print」作為標題，如收件人誤信電郵內容點擊內裡連結，便會被引導至黑客設立的釣魚網站。

另一項繞過安全偵測的手段是黑客會註冊大量易於冒充的正規域名，或部分 DMARC 配置薄弱的域名去發送電郵。發信時，他們又會採用如 admin@、billing@ 等常見電郵名稱提升可信度。郵件內嵌的連結會導向至可遮蔽真實惡意域名的流量分析服務，令傳統防護難以偵測，最終成功讓詐騙電郵進入主要信箱。

這次事件提醒大家，即使是可信的雲端服務，也可能被濫用而成為攻擊工具，因此使用者必須採取多方面的防護措施來降低風險。首先，用戶應妥善保存 AWS 金鑰，限制金鑰的權限範圍，確保帳戶只能執行相應操作的最低權限。強化用戶的安全意識同樣重要，通過內部釣魚攻擊模擬測試提升員工的應對能力，都可有效提升安全性。

資料來源：https://cybersecuritynews.com/hackers-weaponizee-amazon-simple-email-service/