Especialistas em segurança digital identificaram uma nova tática de hackers explorando configurações incorretas em ambientes da Amazon Web Services (AWS) para disseminar campanhas de phishing. A Unidade 42 da Palo Alto Networks rastreou essa atividade sob o nome TGR-UNK-0011, grupo que compartilha características com o JavaGhost e está ativo desde 2019.
Hackers aproveitam falhas na configuração da AWS para ataques de phishing
Como funcionam os ataques?
Diferente de vulnerabilidades diretamente exploradas na AWS, os cibercriminosos se aproveitam de falhas de configuração das vítimas, que acabam expondo suas chaves de acesso. Com isso, eles utilizam os serviços Amazon Simple Email Service (SES) e WorkMail para enviar e-mails fraudulentos sem precisar investir em infraestrutura própria.
Esse método também dificulta a detecção dos e-mails maliciosos, pois as mensagens são enviadas a partir de uma fonte confiável, já reconhecida pela organização alvo.
Evolução das táticas criminosas
O JavaGhost conseguiu acesso a credenciais expostas de longo prazo de usuários IAM (Identity and Access Management). Com isso, os hackers acessam os ambientes AWS através da interface de linha de comando (CLI), tornando difícil a detecção.
Entre 2022 e 2024, suas táticas evoluíram, adotando métodos avançados de evasão para mascarar identidades nos logs do CloudTrail — tática anteriormente usada pelo grupo Scattered Spider. Uma vez dentro do ambiente AWS, os criminosos geram credenciais temporárias e URLs de login, conseguindo persistência e visibilidade total sobre os recursos da conta.
Abuso do SES e WorkMail
Com o acesso garantido, os hackers configuram novos usuários SES e WorkMail e criam credenciais SMTP para disparar mensagens fraudulentas. Durante essa operação, são criados vários usuários IAM, alguns utilizados nos ataques e outros aparentemente reservados para a manutenção do acesso a longo prazo.
Notícias Relacionadas
Alerta crítico
Falha crítica permite ataques RCE no Apache Tomcat
Uma vulnerabilidade crítica no Apache Tomcat (CVE-2025-24813) está sendo explorada ativamente, permitindo execução remota de código sem autenticação. Atualizações e medidas de mitigação são recomendadas.
Atenção devs!
Nova vulnerabilidade em biblioteca ruby-saml compromete autenticação no GitLab
A vulnerabilidade na biblioteca ruby-saml permite ataques que burlam a autenticação no GitLab. Entenda os riscos e como se proteger!
Outro ponto de destaque é a criação de novas funções IAM com políticas de confiança, permitindo que os criminosos acessem as contas AWS a partir de outra conta AWS sob seu controle.
Assinatura do ataque: Java_Ghost
Um sinal característico do JavaGhost é a criação de grupos de segurança no Amazon Elastic Cloud Compute (EC2) chamados “Java_Ghost”, com a descrição: “Estamos lá, mas não estamos visíveis”. Curiosamente, esses grupos de segurança não possuem regras ou vínculo com recursos específicos, mas aparecem nos logs do CloudTrail como CreateSecurityGroup.
Como se proteger?
Para evitar esse tipo de ataque, é fundamental:
- Revisar regularmente as permissões e credenciais IAM.
- Implementar boas práticas de segurança na nuvem, como o uso de autenticação multifator.
- Monitorar ativamente os logs do CloudTrail para identificação de atividades suspeitas.
- Configurar alertas para detecção de novas credenciais e grupos de segurança.
Manter as configurações da AWS seguras e bem gerenciadas é essencial para evitar a exploração por agentes mal-intencionados e proteger dados sensíveis contra acessos indevidos.
