Wiz研究團隊近日披露了2025年5月一起利用亞馬遜簡單郵件服務（Amazon Simple Email Service，簡稱SES）漏洞的大規(guī)模釣魚攻擊活動細節(jié)。攻擊者通過竊取的AWS密鑰實施攻擊，其規(guī)模之大、手法之新穎均屬罕見——不僅成功繞過SES內(nèi)置防護機制，更實現(xiàn)了工業(yè)化規(guī)模的釣魚郵件投遞。

攻擊手法剖析

據(jù)Wiz報告描述："攻擊者首先竊取AWS訪問密鑰...隨后利用該密鑰侵入受害者AWS環(huán)境，突破SES限制措施，驗證偽造的'發(fā)件人'身份，最終系統(tǒng)性地策劃并執(zhí)行釣魚攻擊。"

SES服務默認處于沙盒模式，每日僅允許向已驗證地址發(fā)送200封郵件。攻擊者通過濫用PutAccountDetails API突破這一限制。研究人員觀察到："攻擊者在短短10秒內(nèi)向所有AWS區(qū)域集中發(fā)送PutAccountDetails請求——這種跨區(qū)域爆發(fā)式請求模式表明攻擊已高度自動化，其目的顯然是迫使SES賬戶進入生產(chǎn)模式。"

AWS支持團隊批準了該請求，使攻擊者獲得每日5萬封郵件的發(fā)送配額，足以支撐大規(guī)模釣魚活動。

圖片來源：Wiz研究團隊

權限升級嘗試

攻擊者并未滿足于默認配額，而是通過CreateCase API自動創(chuàng)建支持工單，要求進一步提高發(fā)送限額。他們還嘗試通過附加名為ses-support-policy的惡意IAM策略來提升權限。雖然這兩項嘗試因權限不足而失敗，但Wiz指出："通過API而非AWS控制臺使用CreateCase功能的行為極不尋常，這是判定可疑活動的關鍵指標。"

釣魚基礎設施搭建

進入生產(chǎn)模式后，攻擊者迅速建立釣魚基礎設施。通過CreateEmailIdentity API，他們驗證了多個攻擊者控制或安全防護薄弱的域名，包括：

• managed7.com
• street7news.org
• street7market.net
• docfilessa.com

隨后創(chuàng)建了admin@、billing@、noreply@等常見前綴的釣魚郵箱。Wiz與Proofpoint聯(lián)合確認，這些域名被用于冒充2024年稅務表格的釣魚活動，郵件主題包括《您的2024年稅務表格已可查看打印》和《重要提醒：稅務記錄存在異常》等，內(nèi)含指向偽造國稅局網(wǎng)站irss[.]securesusa[.]com的鏈接，該網(wǎng)址通過商業(yè)跳轉(zhuǎn)服務規(guī)避安全掃描。

云郵件服務濫用風險

雖然SES設計初衷是合法批量郵件發(fā)送，但其濫用將帶來多重風險：

• 若賬戶配置SES服務，攻擊者可利用已驗證域名發(fā)送郵件，不僅損害品牌聲譽，更可能實施精準釣魚、數(shù)據(jù)竊取或商業(yè)欺詐
• SES濫用表明攻擊者已掌握有效AWS憑證，存在進一步滲透云環(huán)境的風險
• 惡意流量可能導致AWS對受害組織發(fā)起濫用投訴，造成業(yè)務中斷

此次事件揭示了攻擊者如何將單個AWS密鑰轉(zhuǎn)化為每日5萬封郵件的釣魚平臺。通過濫用生產(chǎn)模式、驗證域名和隱藏釣魚網(wǎng)站，攻擊者將惡意流量偽裝成合法云郵件，使受害者同時承受聲譽損失和運營風險。正如Wiz總結(jié)："SES濫用往往不是孤立事件，它明確預示著攻擊者已掌握可擴展至更危險行動的AWS憑證。"