Một chiến dịch tấn công AWS SES tinh vi đã được phát hiện, nơi các tác nhân đe dọa khai thác thông tin xác thực (credentials) AWS bị xâm nhập để chiếm đoạt dịch vụ Simple Email Service (SES) của Amazon. Điều này cho phép chúng thực hiện các hoạt động lừa đảo (phishing) quy mô lớn, có khả năng gửi hơn 50.000 email độc hại mỗi ngày.
Cuộc tấn công này cho thấy cách thức các khóa truy cập AWS bị xâm nhập có thể bị biến thành cơ sở hạ tầng phishing mạnh mẽ. Nó vượt qua các biện pháp phòng thủ bảo mật email truyền thống, đồng thời chuyển chi phí và thiệt hại về danh tiếng sang các nạn nhân vô tội.
Tổng Quan Về Chiến Dịch Tấn Công AWS SES
Phát Hiện Đáng Báo Động Từ Wiz Research
Nhóm nghiên cứu Wiz Research đã xác định chiến dịch lạm dụng SES đáng báo động này vào tháng 5 năm 2025. Phát hiện này nhấn mạnh một xu hướng đáng lo ngại, nơi tội phạm mạng đang vũ khí hóa các dịch vụ đám mây hợp pháp để tiến hành các hoạt động gian lận với quy mô chưa từng có. Đây là một mối đe dọa mạng cần được chú ý đặc biệt.
Bản Chất Của Cuộc Tấn Công
Chiến dịch tinh vi này bắt đầu khi những kẻ tấn công thu được các khóa truy cập AWS bị xâm nhập thông qua các vector không xác định. Các vector này có thể bao gồm việc vô tình làm lộ công khai trong các kho lưu trữ mã nguồn (code repositories) hoặc bị đánh cắp từ các máy trạm của nhà phát triển.
Chi Tiết Kỹ Thuật Về Quy Trình Khai Thác
Thu Thập Thông Tin Đăng Nhập AWS Bị Lộ
Khi có được các thông tin xác thực này, các tác nhân đe dọa ngay lập tức tiến hành trinh sát để đánh giá khả năng của chúng. Động thái đầu tiên là thực hiện yêu cầu GetCallerIdentity đơn giản. Yêu cầu này tiết lộ rằng khóa truy cập bị xâm nhập chứa chuỗi “ses-” trong tên, cho thấy nó ban đầu được cấp quyền SES. Phát hiện này trở thành nền tảng cho toàn bộ hoạt động của chúng.
Quy Trình Trinh Sát Ban Đầu
Những kẻ tấn công sau đó đã leo thang hoạt động trinh sát bằng cách thăm dò trực tiếp SES thông qua các lệnh gọi GetSendQuota và GetAccount. Các lệnh này được thiết kế để tiết lộ trạng thái cấu hình hiện tại và xác định xem tài khoản có bị giới hạn trong chế độ sandbox hay không. Giai đoạn đánh giá ban đầu này diễn ra trong vòng vài giây, chứng tỏ tính chất tự động trong cách tiếp cận của chúng.
Vượt Qua Chế Độ Sandbox AWS SES
Amazon SES mặc định hoạt động dưới chế độ “sandbox”, hạn chế tài khoản chỉ được gửi 200 tin nhắn mỗi ngày tới các địa chỉ đã xác minh, với tốc độ tối đa một tin nhắn mỗi giây. Để mở khóa toàn bộ tiềm năng của dịch vụ cho các doanh nghiệp hợp pháp, tài khoản phải chuyển sang chế độ “production”. Chế độ này nâng hạn mức gửi lên thường là 50.000 email mỗi ngày và cho phép gửi đến bất kỳ người nhận nào.
Trong một kỹ thuật mới lạ chưa từng được ghi nhận trong nghiên cứu bảo mật, những kẻ tấn công đã phát động một loạt yêu cầu PutAccountDetails phối hợp trên tất cả các khu vực AWS chỉ trong mười giây. Cách tiếp cận đa khu vực này dường như được thiết kế để tối đa hóa hạn mức gửi theo từng khu vực, tránh các hạn chế tiềm ẩn hoặc xây dựng dự phòng trên các vị trí địa lý khác nhau.
Yêu Cầu Nâng Cao Hạn Mức Gửi Email
Để hợp lý hóa yêu cầu chuyển đổi, những kẻ tấn công đã gửi một giải thích được soạn thảo cẩn thận nhưng chung chung, đề cập đến một trang web của công ty xây dựng không liên quan đến nạn nhân hoặc các danh tính được sử dụng sau này cho phishing. Mặc dù có tính chất khuôn mẫu, yêu cầu này đủ tinh vi để vượt qua quy trình xem xét của AWS và được phê duyệt quyền truy cập chế độ production.
Chưa hài lòng với hạn mức 50.000 email mỗi ngày tiêu chuẩn, các tác nhân đe dọa đã cố gắng mở rộng hơn nữa khả năng của chúng thông qua nhiều cách. Chúng đã thử mở một yêu cầu hỗ trợ (support ticket) theo chương trình bằng cách sử dụng API CreateCase để yêu cầu hạn mức cao hơn. Đây là một cách tiếp cận bất thường và là một chỉ báo mạnh mẽ về hoạt động đáng ngờ, vì người dùng hợp pháp thường sử dụng Bảng điều khiển (Console) AWS.
Khi nỗ lực này thất bại do thiếu quyền, những kẻ tấn công đã cố gắng leo thang đặc quyền bằng cách tạo một chính sách IAM (IAM policy) có tên “ses-support-policy” và cố gắng đính kèm nó vào người dùng bị xâm nhập. Nỗ lực này cũng thất bại, khiến chúng chỉ có hạn mức production tiêu chuẩn, vốn đã đủ cho các mục tiêu chiến dịch của chúng. Đây là một ví dụ rõ ràng về tấn công AWS SES được thiết kế để vượt qua các biện pháp bảo mật.
Thiết Lập Cơ Sở Hạ Tầng Phishing
Với chế độ production được bật, những kẻ tấn công bắt đầu thiết lập cơ sở hạ tầng phishing của chúng bằng cách thêm nhiều tên miền làm danh tính đã xác minh thông qua API CreateEmailIdentity. Chiến lược tên miền của chúng bao gồm cả tên miền do kẻ tấn công sở hữu và các tên miền hợp pháp có bảo vệ DMARC yếu, giúp việc giả mạo hoặc gửi email dễ dàng hơn mà không bị các kiểm soát bảo mật chặn.
Chiến Dịch Phishing Quy Mô Lớn
Mục Tiêu Và Kỹ Thuật Tấn Công
Khi cơ sở hạ tầng được thiết lập, tội phạm mạng đã phát động một chiến dịch phishing rộng khắp, nhắm mục tiêu vào nhiều tổ chức mà không có trọng tâm địa lý hoặc ngành nghề rõ ràng. Các email độc hại đề cập đến các biểu mẫu thuế năm 2024 với các chủ đề như “Your 2024 Tax Form(s) Are Now Ready to View and Print” và “Information Alert: Tax Records Contain Anomalies.”
Những email này hướng người nhận đến các trang web đánh cắp thông tin xác thực, được che giấu sau các liên kết chuyển hướng (redirects) do các dịch vụ phân tích lưu lượng truy cập thương mại cung cấp. Kỹ thuật này, thường được sử dụng trong các chiến dịch tiếp thị hợp pháp, đã được tái sử dụng để vượt qua các máy quét bảo mật, đồng thời cung cấp cho kẻ tấn công khả năng hiển thị tỷ lệ nhấp chuột của nạn nhân.
Tính chất nhẹ nhàng và cơ hội của chiến dịch cho thấy nó được thực hiện chủ yếu để kiếm lợi tài chính, mặc dù các nhà nghiên cứu chưa liên kết nó với bất kỳ nhóm đe dọa nào được theo dõi công khai. Các hoạt động đánh cắp thông tin xác thực có thể tạo điều kiện cho nhiều hoạt động độc hại, bao gồm chiếm đoạt email doanh nghiệp (BEC) và các kế hoạch gian lận bổ sung.
Rủi Ro Và Tác Động Nghiêm Trọng
Ảnh Hưởng Đến Danh Tiếng Và Kinh Doanh
Chiến dịch lạm dụng SES này không chỉ là một sự phiền toái với chi phí không đáng kể. Cuộc tấn công làm nổi bật một số vấn đề bảo mật quan trọng đối với các tổ chức sử dụng dịch vụ đám mây. Các rủi ro bảo mật về danh tiếng và kinh doanh là đáng kể, vì kẻ tấn công có thể gửi email từ các tên miền đã được xác minh. Điều này cho phép phishing có vẻ như đến từ các tổ chức hợp pháp.
Khả năng này tạo điều kiện cho spearphishing, gian lận, đánh cắp dữ liệu và mạo danh trong các quy trình kinh doanh, có khả năng gây ra thiệt hại đáng kể cho thương hiệu.
Nguy Cơ Mở Rộng Cuộc Tấn Công
Rủi ro bị xâm phạm vượt ra ngoài việc lạm dụng email, vì việc khai thác SES hiếm khi xảy ra riêng lẻ. Nó đóng vai trò là một chỉ báo rõ ràng rằng kẻ thù đã kiểm soát các thông tin xác thực AWS hợp lệ có thể được mở rộng thành các hành động có tác động lớn hơn trên cơ sở hạ tầng đám mây.
Rủi Ro Về Vận Hành Và Khiếu Nại
Các rủi ro vận hành bao gồm khả năng hoạt động spam hoặc phishing gây ra khiếu nại lạm dụng gửi đến AWS, dẫn đến các trường hợp lạm dụng được nộp chống lại tài khoản nạn nhân. Những sự cố như vậy có thể làm gián đoạn hoạt động kinh doanh và đòi hỏi nguồn lực đáng kể để giải quyết.
Biện Pháp Phòng Ngừa Và Phát Hiện Tấn Công
Các Khuyến Nghị Bảo Mật
Các chuyên gia bảo mật khuyến nghị một số biện pháp để giảm thiểu rủi ro lạm dụng SES. Các tổ chức nên triển khai Chính sách Kiểm soát Dịch vụ AWS (AWS Service Control Policies) để chặn hoàn toàn SES trong các tài khoản không cần thiết. Đồng thời, cần thường xuyên kiểm tra và xoay vòng các khóa IAM để ngăn chặn việc bị xâm nhập lâu dài.
Thực thi các nguyên tắc đặc quyền tối thiểu (least privilege principles) đảm bảo chỉ các vai trò được chỉ định mới có thể xác minh người gửi mới hoặc yêu cầu quyền truy cập production. Ghi nhật ký và cảnh báo toàn diện về hoạt động SES thông qua CloudTrail có thể giúp phát hiện các lệnh gọi API và sự gia tăng sử dụng đáng ngờ. Điều này là cốt lõi để duy trì an ninh mạng vững chắc.
Phát Hiện Sớm Các Chỉ Số Tấn Công (IOCs)
Giám sát các chỉ số tấn công cụ thể được xác định trong chiến dịch này là rất quan trọng. Các chỉ số này bao gồm:
- Các đợt yêu cầu
PutAccountDetailsđa khu vực. - Việc gọi API
CreateCasekhông thông qua bảng điều khiển. - Việc tạo nhanh chóng các tên miền và danh tính email.
Các nền tảng bảo mật như Wiz Defend đã phát triển các quy tắc phát hiện cụ thể để xác định các mẫu tấn công này sớm trong chuỗi tấn công (kill chain). Bằng cách giám sát các hành vi như các nỗ lực đa khu vực để thoát khỏi chế độ sandbox của SES, việc sử dụng khóa truy cập IAM sau thời gian dài không hoạt động và các lệnh gọi API từ nhiều quốc gia trong thời gian ngắn, các nhóm bảo mật có thể phản ứng trước khi các chiến dịch đạt quy mô đầy đủ.
Chiến dịch này nhấn mạnh tầm quan trọng của việc giám sát việc sử dụng dịch vụ đám mây để phát hiện các đột biến bất ngờ và duy trì cảnh giác cao độ về bảo mật thông tin xác thực. Khi các tác nhân đe dọa tiếp tục phát triển các kỹ thuật của chúng để khai thác các dịch vụ đám mây hợp pháp, các tổ chức phải điều chỉnh chiến lược phòng thủ của mình để giải quyết các vector tấn công mới nổi này nhằm ngăn chặn các cuộc tấn công AWS SES.
