Wprowadzenie do problemu / definicja
Nowa kampania phishingowa wymierzona w użytkowników AWS pokazuje, iż wyłudzanie danych logowania weszło na wyższy poziom zaawansowania. Zamiast ograniczać się do kradzieży loginu i hasła, napastnicy stosują technikę adversary-in-the-middle (AiTM), w której działają jako aktywny pośrednik między ofiarą a prawdziwą usługą uwierzytelniania.
Taki model pozwala przechwytywać nie tylko poświadczenia, ale również tokeny sesyjne, a w niektórych scenariuszach także elementy procesu MFA. W praktyce oznacza to ryzyko przejęcia aktywnej sesji w konsoli AWS Management Console i uzyskania dostępu do zasobów chmurowych zgodnie z uprawnieniami ofiary.
W skrócie
Kampania opisana 10 marca 2026 r. wykorzystuje fałszywe alerty bezpieczeństwa stylizowane na komunikaty od AWS. Celem wiadomości jest skłonienie administratorów chmury, zespołów DevOps oraz pracowników operacyjnych do przejścia na spreparowaną stronę logowania.
Fałszywe witryny są bardzo podobne do prawdziwej konsoli AWS i działają na domenach typosquattingowych. Mechanizm AiTM przekazuje logowanie do legalnej usługi w czasie rzeczywistym, jednocześnie zapisując dane uwierzytelniające i informacje o sesji. W jednym z zaobserwowanych przypadków atakujący wykorzystał przejęte dane w ciągu 20 minut od ich wpisania przez ofiarę.
Kontekst / historia
Konta chmurowe od lat pozostają atrakcyjnym celem dla cyberprzestępców, ponieważ pojedyncze konto uprzywilejowane może otworzyć drogę do środowisk produkcyjnych, danych, konfiguracji sieci oraz mechanizmów IAM. Wraz z dojrzewaniem środowisk cloud rośnie też wartość operacyjna takich kont dla grup przestępczych.
W ostatnich latach phishing przestał być prostym formularzem do zbierania haseł. Coraz częściej wykorzystywane są zestawy zdolne do obsługi sesji w czasie rzeczywistym, omijania części zabezpieczeń opartych na tradycyjnym MFA oraz natychmiastowego przekazywania przechwyconych danych operatorom kampanii.
W opisywanym przypadku przestępcy posłużyli się wiadomościami wzbudzającymi poczucie pilności. Rzekome ostrzeżenia o podejrzanej aktywności w środowisku AWS miały skłonić odbiorców do szybkiej reakcji, zanim zdążą dokładnie zweryfikować domenę i autentyczność komunikatu.
Analiza techniczna
Najważniejszym elementem kampanii jest infrastruktura AiTM, czyli aktywny pośrednik między użytkownikiem a legalnym systemem logowania. Ofiara trafia na fałszywą stronę, ale ruch jest przekazywany do prawdziwej usługi uwierzytelniania AWS. Dzięki temu cały proces wygląda wiarygodnie, a użytkownik nie zawsze zauważa, iż loguje się przez kontrolowaną przez napastnika warstwę pośrednią.
Z perspektywy atakującego to znacząca przewaga nad klasycznym phishingiem. Możliwe staje się pozyskanie nie tylko nazwy użytkownika i hasła, ale też danych sesyjnych, które mogą zostać użyte do przejęcia aktywnego dostępu do konsoli. o ile konto ma szerokie uprawnienia administracyjne, skutki kompromitacji mogą być natychmiastowe.
Kampania była skierowana do osób realnie zarządzających infrastrukturą chmurową. Administratorzy, zespoły bezpieczeństwa, operacji IT i DevOps są szczególnie cennym celem, ponieważ ich konta często mają dostęp do krytycznych usług, polityk IAM, sekretów oraz konfiguracji środowisk produkcyjnych.
Badacze zauważyli również, iż infrastruktura phishingowa była dynamicznie rotowana. Domeny rejestrowano krótko przed użyciem, co utrudnia blokowanie, detekcję i działania typu takedown. To typowy wzorzec w nowoczesnych kampaniach phishingowych, które stawiają na krótki czas życia infrastruktury.
W analizie wykryto także dodatkowe serwery z tym samym panelem administracyjnym, powiązane z domenami podszywającymi się również pod Microsoft 365 i Apple iCloud. Wskazuje to, iż operatorzy korzystają z bardziej uniwersalnego zestawu phishingowego, który można łatwo dostosowywać do kolejnych marek i usług.
Konsekwencje / ryzyko
Skutki przejęcia konta AWS zależą od zakresu uprawnień ofiary, ale w przypadku kont uprzywilejowanych ryzyko jest bardzo wysokie. Napastnik może uzyskać dostęp do danych, zmieniać konfigurację środowiska, tworzyć nowe role i użytkowników, a także budować trwałość w infrastrukturze.
- uzyskanie dostępu do wrażliwych danych i sekretów,
- modyfikowanie zasobów chmurowych oraz ustawień bezpieczeństwa,
- tworzenie nowych użytkowników, ról i kluczy dostępowych,
- ustanawianie trwałości poprzez zmiany w IAM,
- uruchamianie nowych usług i zasobów na koszt organizacji,
- przygotowanie kolejnych etapów ataku, w tym ruchu bocznego i eksfiltracji danych.
AiTM jest szczególnie groźny, ponieważ osłabia skuteczność ochrony opartej wyłącznie na haśle i kodzie jednorazowym. o ile przestępca przejmie aktywną sesję lub niemal natychmiast wykorzysta dane wprowadzone przez ofiarę, naruszenie może przez pewien czas pozostać niezauważone.
Dodatkowym problemem jest wysoka wiarygodność fałszywych komunikatów. Administratorzy chmurowi regularnie reagują na alerty związane z bezpieczeństwem i konfiguracją, dlatego pilna wiadomość o podejrzanej aktywności może zostać potraktowana jako standardowy incydent operacyjny wymagający natychmiastowej interwencji.
Rekomendacje
Organizacje korzystające z AWS powinny przyjąć założenie, iż nowoczesny phishing może prowadzić do przejęcia sesji, a nie tylko haseł. Odpowiedź obronna musi więc obejmować zarówno ochronę uwierzytelniania, jak i monitoring aktywności po zalogowaniu.
- wdrożenie phishing-resistant MFA, najlepiej z użyciem sprzętowych kluczy bezpieczeństwa,
- monitorowanie logowań do konsoli AWS pod kątem anomalii adresów IP, lokalizacji, urządzeń i przeglądarek,
- ścisłe stosowanie zasady najmniejszych uprawnień oraz segmentacji ról,
- ograniczenie użycia kont o pełnych uprawnieniach do sytuacji rzeczywiście wymagających administracji,
- stosowanie dostępu just-in-time i separacji obowiązków,
- regularne szkolenia z rozpoznawania zaawansowanego phishingu i domen typosquattingowych,
- przygotowanie procedur reagowania obejmujących unieważnianie sesji, rotację poświadczeń, przegląd logów i audyt zmian w IAM.
W praktyce szczególnie ważne jest szybkie wykrywanie działań wykonywanych krótko po zalogowaniu, takich jak tworzenie nowych użytkowników, zmian w politykach IAM, aktywacja dodatkowych kluczy czy uruchamianie nietypowych zasobów. To właśnie takie sygnały często wskazują, iż doszło do wykorzystania przejętej sesji.
Podsumowanie
Opisana kampania pokazuje, iż phishing wymierzony w środowiska chmurowe stał się bardziej precyzyjny, realistyczny i operacyjnie skuteczny. Dzięki technice AiTM napastnicy mogą przechwytywać nie tylko hasła, ale także aktywne sesje administratorów AWS, co znacząco zwiększa skalę zagrożenia.
Dla organizacji oznacza to konieczność odejścia od myślenia o phishingu jako o prostym wyłudzaniu danych. Skuteczna obrona wymaga połączenia odpornych na phishing metod MFA, monitoringu anomalii, ograniczania uprawnień i gotowości do szybkiej reakcji na kompromitację kont chmurowych.