2024年2月16日、SentinelOneは新しいレポートで、悪意のあるPythonスクリプト「SNS Sender」が、Amazon Web Services (AWS)のSimple Notification Service (SNS)を悪用して大量のスミッシング(SMSフィッシング)メッセージを送信する手段として脅威アクターに宣伝されていると報告した。このスクリプトは、個人識別情報(PII)や支払いカードの詳細をキャプチャすることを目的とした悪意のあるリンクを含むSMSフィッシングメッセージを送信するために設計されている。スミッシング詐欺は、しばしばアメリカ合衆国郵便公社(USPS)からの荷物配達の見逃しに関するメッセージの形をとる。
SNS Senderは、AWS SNSを利用してSMSスパム攻撃を行う最初のツールとして観察された。SentinelOneは、脅威アクターARDUINO_DASと150以上のフィッシングキットの販売に関連するリンクを特定した。このマルウェアは、動作ディレクトリ内のlinks.txtという名前のファイルに保存されたフィッシングリンクのリスト、AWSアクセスキーのリスト、ターゲットの電話番号、送信者ID(表示名)、およびメッセージの内容を必要とする。送信者IDの必須含有は、送信者IDのサポートが国によって異なるため、注目に値する。例えば、アメリカ合衆国のキャリアは送信者IDを全くサポートしていないが、インドのキャリアは送信者IDの使用を要求する。
この操作が少なくとも2022年7月以来活動していた可能性があることを示す証拠があり、Crax Proのようなカーディングフォーラムで共有されたARDUINO_DASを参照する銀行ログがある。セキュリティ研究者@JCyberSec_は、2022年9月初旬にX(以前のTwitter)で、大部分のフィッシングキットがUSPSをテーマにしており、ユーザーに個人情報とクレジット/デビットカード情報の入力を促す偽のページに誘導することを証明した。
さらに、Permisoは2023年4月に、以前に公開されたAWSアクセスキーを利用してAWSサーバーに侵入し、SNSを使用してSMSメッセージを送信する攻撃キャンペーンを明らかにした。また、Fortinet FortiGuard Labsは、情報窃盗者やリモートアクセストロイの木馬(RAT)など、さまざまなマルウェアを拡散するために脅威アクターにサービスとして販売される可能性がある新しいドロッパー「TicTacToe」について報告し、2023年を通じてWindowsユーザーをターゲットにした使用が観察された。
【ニュース解説】
Amazon Web Services (AWS)のSimple Notification Service (SNS)を悪用して大量のスミッシング(SMSフィッシング)メッセージを送信する手段として、悪意のあるPythonスクリプト「SNS Sender」が脅威アクターによって宣伝されていることが、SentinelOneの新しいレポートで明らかになりました。このスクリプトは、個人識別情報(PII)や支払いカードの詳細を盗むことを目的とした悪意のあるリンクを含むSMSフィッシングメッセージを送信するために設計されています。特に、これらのスミッシング詐欺は、アメリカ合衆国郵便公社(USPS)からの荷物配達の見逃しに関するメッセージとして偽装されることが多いです。
SNS Senderは、AWS SNSを利用してSMSスパム攻撃を行う最初のツールとして観察されました。このツールは、フィッシングリンクのリスト、AWSアクセスキー、ターゲットの電話番号、送信者ID(表示名)、およびメッセージの内容を必要とします。送信者IDの必須含有は、送信者IDのサポートが国によって異なるため、特に注目されています。例えば、アメリカでは送信者IDはサポートされていませんが、インドでは送信者IDの使用が要求されます。
この操作が2022年7月以来活動していた可能性があることを示す証拠があり、多くのフィッシングキットがUSPSをテーマにしており、ユーザーに個人情報とクレジット/デビットカード情報の入力を促す偽のページに誘導することが確認されています。
このような攻撃は、クラウド環境を悪用する脅威アクターの継続的な試みを示しています。例えば、Permisoは2023年4月に、以前に公開されたAWSアクセスキーを利用してAWSサーバーに侵入し、SNSを使用してSMSメッセージを送信する攻撃キャンペーンを明らかにしました。また、Fortinet FortiGuard Labsは、情報窃盗者やリモートアクセストロイの木馬(RAT)など、さまざまなマルウェアを拡散するために脅威アクターにサービスとして販売される可能性がある新しいドロッパー「TicTacToe」について報告しました。
このニュースは、クラウドサービスのセキュリティ対策の重要性を再確認させるものです。AWSのようなクラウドサービスは、多くの企業や個人にとって便利で強力なツールですが、それらが悪意のある目的で悪用される可能性があることを忘れてはなりません。このような攻撃から身を守るためには、AWSアクセスキーの管理を徹底し、不審なメッセージに対する意識を高めることが重要です。また、この事例は、サイバーセキュリティの観点から見ても、クラウドサービスの利用におけるリスク管理の重要性を示しています。
from Malicious 'SNS Sender' Script Abuses AWS for Bulk Smishing Attacks.
