TruffleNet-Angriffe: Cyberkriminelle setzen gestohlene AWS-Zugangsdaten ein

Eine neue Welle von Cyberangriffen zeigt, wie Angreifer gestohlene Zugangsdaten gezielt gegen Cloud-Umgebungen einsetzen. Im Fokus steht dabei der Simple Email Service (SES) von Amazon Web Services (AWS).

Sicherheitsforscher von Fortinet berichten, dass die Täter ein auf dem Open-Source-Tool TruffleHog basierendes Framework namens TruffleNet (Trüffelnetz) entwickelt haben. Damit können sie kompromittierte Zugangsdaten systematisch überprüfen und Netzwerke innerhalb von AWS-Umgebungen ausspähen. Ziel der Angriffe sind unter anderem Aufklärung der Infrastruktur und das Erschleichen sensibler Unternehmensinformationen.

Betroffene Plattformen: Amazon Web Services (AWS)

Betroffene Benutzer: Alle Unternehmen

Auswirkungen: Gestohlene Cloud-Anmeldedaten führen zu erheblichen finanziellen Verlusten, Datenverstößen bei sensiblen Informationen, Betriebsstörungen und Rufschädigung.

Schweregrad: Hoch

In einigen Fällen dient die kompromittierte Cloud-Umgebung sogar als Sprungbrett für nachgelagerte Business Email Compromise (BEC)-Attacken, bei denen Angreifer gefälschte E-Mails einsetzen, um Unternehmen finanziell zu schädigen. Scott Hall von Fortinet AI beschreibt TruffleNet als „eine Plattform, die gezielt Zugangsprobleme identifiziert und automatisiert Ermittlungen innerhalb von AWS-Accounts durchführt“.

Die Kampagne zeigt erneut, wie Cloud-Dienste für groß angelegte Cyberangriffe missbraucht werden können, und unterstreicht die Bedeutung robuster Sicherheitsvorkehrungen bei der Verwaltung von Zugangsdaten.

Grafik Quelle: Fortinet

Neue Angriffsinfrastruktur „TruffleNet“ im Fokus

Bei einem Vorfall, bei dem mehrere Anmeldedaten kompromittiert wurden, waren über 800 Hosts in 57 Klasse-C-Netzwerken beteiligt. Die Angreifer setzten auf TruffleHog, ein Open-Source-Tool zum Scannen von vertraulichen Daten, und nutzten einheitliche Konfigurationen mit offenen Ports und Portainer.

Die Infrastruktur begann meist mit einem simplen GetCallerIdentity-Aufruf, um die Gültigkeit der Anmeldedaten zu prüfen. Eine andere Komponente nutzte die AWS-CLI, um GetSendQuota im Amazon SES abzufragen – ein typischer erster Schritt bei SES-Missbrauch.

Auffällig ist, dass die meisten TruffleNet-IPs keine schlechte Reputation hatten. Anders als bei typischen Cloud-Angriffen wurden keine VPNs oder TOR-Knoten verwendet. Auch Folgeaktionen oder Privilegienerweiterungen blieben aus. Experten vermuten daher eine mehrstufige Infrastruktur, bei der einige Knoten ausschließlich zur Aufklärung dienen, andere für spätere Angriffsphasen.

Analysen der Hosts zeigten 10 Hosting-ASNs, vor allem US-amerikanische Anbieter wie WS Telecom (AS209372) und Hivelocity (AS61317). Viele Hosts hatten offene Ports 5432 und 3389, nutzten diese aber nicht für PostgreSQL oder RDP. Typisch war auch die Verwendung von Portainer, einer Open-Source-UI für Docker und Kubernetes.

Portainer erleichtert die Verwaltung von Containern, kann aber auch als leichtgewichtiges Kontrollpanel für bösartige Infrastruktur dienen. Es bietet ein zentrales Dashboard und API-Zugriff, mit dem Angreifer viele Knoten effizient koordinieren können.

Grafik Quelle: Fortinet

Missbrauch von Simple Email Service (SES) und Maßnahmen gegen Ziele

Zeitgleich mit den Aufklärungsaktivitäten von TruffleNet wurde in der kompromittierten Umgebung auch Amazon SES missbraucht — unter anderem für Business Email Compromise (BEC). Angreifer nutzten DKIM-Schlüssel von zuvor kompromittierten WordPress‑Sites, um glaubwürdige Absenderidentitäten zu erstellen und gefälschte E‑Mails zu versenden.

Vor der BEC‑Kampagne führten die Täter eine vertiefte Cloud‑Aufklärung durch und versuchten, die Privilegien zu erweitern. Der Erweiterungsversuch scheiterte; dennoch verfügte ein Konto über ausreichende Rechte für Interaktionen mit SES. Beobachtete APIs (in Reihenfolge ihres Auftretens) waren unter anderem: ListIdentities (SES), ListServiceQuotas, UpdateLoginProfile (IAM), GetAccount (SESv2), CreateUser (IAM), PutAccountDetails (SESv2), GetSMSAttributes (SNS), CreateEmailIdentity (SESv2), PutAccountVdmAttributes, PutAccountDedicatedIpWarmupAttributes und GetSendStatistics (SES).

Bei CreateEmailIdentity wurde ein kompromittierter DKIM‑Schlüssel eingebunden (Beispielparameter beobachtet):
{"dkimSigningAttributes":{"domainSigningAttributesOrigin":"AWS_SES_US_EAST_1","domainSigningPrivateKey":"HIDDEN_DUE_TO_SECURITY_REASONS"},"emailIdentity":"cfp-impactaction[.]com"}

Insgesamt entstanden sechs E‑Mail‑Identitäten:
Cndbenin[.]com, cfp-impactaction[.]com, jia[.]com[.]au, major[.]co, novainways[.]com, restaurantalhes[.]com.
Mehrere Domains teilen denselben französischen Hosting‑Anbieter und wurden offenbar über dieselben Schwachstellen kompromittiert; einige tauchten außerdem im Zusammenhang mit XMrig‑Cryptojacking und dem Trojaner Coroxy/SystemBC auf.

Unmittelbar nach dem Vorfall nutzten die Täter die Domain cfp-impactaction.com für eine BEC‑Rechnung (als angebliche ZoomInfo‑Rechnung) mit einer ACH‑Zahlungsforderung über 50.000 US‑Dollar an ein Ziel im Öl‑ und Gassektor; ein beigefügtes W‑9‑Formular enthielt eine öffentlich zugängliche Employer‑ID zur Erhöhung der Glaubwürdigkeit.

Fazit – Schutz vor identitätsbasierten Cloud-Bedrohungen

Die TruffleNet-Kampagne verdeutlicht, wie Angreifer ihre Taktiken weiterentwickeln, um Cloud-Infrastrukturen umfassend auszunutzen. Durch die Kombination von Passwortdiebstahl, automatisierter Aufklärung und SES-Missbrauch können legitime Dienste für groß angelegte Betrugs- und BEC-Angriffe eingesetzt werden – oft unentdeckt. Kontinuierliche Überwachung, Prinzip der minimalen Rechte und Verhaltensanalysen sind entscheidend, um solche Risiken zu reduzieren.

Interessant?

Sicherheit trifft KI: Wie modernes Identity and Access Management Unternehmen vor Risiken schützt / YouTube

---