Nach Angaben von Kaspersky liegt der wesentliche Grund für den Missbrauch in der zunehmenden Offenlegung von AWS-Zugangsdaten. Die Forscher finden entsprechende Schlüssel in GitHub-Repositories, in .ENV-Dateien, in Docker-Images, in Backups sowie in öffentlich erreichbaren S3-Buckets. Das Aufspüren erfolgt typischerweise automatisiert mithilfe von Bots, die auf dem quelloffenen Werkzeug TruffleHog basieren – einem Programm, das gezielt nach offengelegten Geheimnissen sucht.

Der gesamte Ablauf ist nach Darstellung von Kaspersky weitgehend automatisiert: Das Durchsuchen nach Zugangsdaten, das Prüfen der Berechtigungen und der Versand der Nachrichten laufen verkettet ab. „Nachdem sie die Berechtigungen des Schlüssels und die Sendelimits geprüft haben, sind die Angreifer in der Lage, eine enorme Menge an Phishing-Nachrichten zu verbreiten“, erläutert Kaspersky.

Die Qualität der Phishing-Mails bezeichnen die Forscher als hoch. Zum Einsatz kommen eigens erstellte HTML-Vorlagen, die echte Dienste nachahmen, samt realistisch wirkender Anmeldeabläufe. Zu den beobachteten Angriffen zählen gefälschte Hinweise auf zu unterzeichnende Dokumente, die DocuSign imitieren und Opfer auf bei AWS gehostete Phishing-Seiten lotsen. Hinzu kommen anspruchsvollere BEC-Angriffe, bei denen die Täter komplette E-Mail-Verläufe fabrizieren und gefälschte Rechnungen verschicken, um Finanzabteilungen zu Zahlungen zu verleiten.

Der Reiz des Dienstes liegt für die Angreifer in der Umgehung gängiger Schutzmechanismen. Über Amazon SES müssen sie sich um Authentifizierungsprüfungen wie SPF, DKIM und DMARC nicht mehr kümmern. Auch das Blockieren der versendenden IP-Adressen ist keine praktikable Lösung, da damit sämtliche über Amazon SES laufenden Mails blockiert würden. Kaspersky weist darauf hin, dass es nicht bei Amazon SES bleibt: Angreifer versuchen fortlaufend, auch andere legitime E-Mail-Systeme für ihre Zwecke zu missbrauchen.

Als Gegenmaßnahmen empfiehlt Kaspersky, IAM-Berechtigungen nach dem Prinzip der geringsten Rechte zu beschränken, Multi-Faktor-Authentifizierung zu aktivieren, Schlüssel regelmäßig zu rotieren sowie IP-basierte Zugriffsbeschränkungen und Verschlüsselungskontrollen einzusetzen.

Amazon verwies gegenüber BleepingComputer auf seine Sicherheitshinweise zu offengelegten Zugangsdaten und zum Schutz vor unbefugtem Kontozugriff. Das Unternehmen erklärte, schnell auf Meldungen möglicher Verstöße gegen die Nutzungsbedingungen zu reagieren und entsprechende Maßnahmen zu ergreifen. „Wer den Verdacht hat, dass AWS-Ressourcen für missbräuchliche Aktivitäten genutzt werden, kann dies an AWS Trust & Safety melden“, sagte ein AWS-Sprecher gegenüber BleepingComputer.