Von kompromittierten Schlüsseln bis zu massiven Phishing-Attacken: Ein Blick auf den Missbrauch von Cloud-E-Mail-Diensten

Hacker nutzen Amazons Simple Email Service (SES), um täglich mehr als 50.000 schädliche E-Mails zu verschicken. Offen zugängliche Cloud-Anmeldedaten dienen dabei als Ausgangspunkt für groß angelegte Phishing-Kampagnen. E-Mail-Dienste geraten so zunehmend in den Fokus von Cloud-Exploit-Angriffen.

Das Research-Team von Wiz beobachtet die Bedrohungslage kontinuierlich mithilfe von Erkennungsregeln aus Wiz Defend. Ziel ist es, Angriffsmuster zu identifizieren, die Abwehrmaßnahmen anzupassen und Kunden frühzeitig zu schützen.

Im Mai 2025 entdeckte Wiz eine bisher unbekannte SES-Missbrauchskampagne, die sich durch neuartige Angriffsmuster auszeichnete. Ausgangspunkt war die Kompromittierung eines AWS-Zugriffsschlüssels – ein gängiger Angriffsvektor. Monatlich werden Dutzende solcher kompromittierten Cloud-Zugriffsschlüssel registriert, die häufig hunderte Exploit-Versuche nach sich ziehen.

Mit dem gestohlenen Schlüssel verschaffte sich der Angreifer Zugang zur AWS-Umgebung des Opfers, um SES-Beschränkungen zu umgehen, neue Absender-Identitäten zu verifizieren und systematisch eine Phishing-Kampagne vorzubereiten. Durch die Analyse dieser Aktivitäten konnte Wiz die Vorgehensweise der Angreifer nachvollziehen und in neuen Erkennungsregeln abbilden, wodurch die Abdeckung zukünftiger Bedrohungen verbessert wird.

Amazon SES und die Sandbox-Einschränkung

SES ist die cloudbasierte Massen-E-Mail-Plattform von AWS. Standardmäßig arbeiten neue Konten im sogenannten Sandbox-Modus, der den Versand auf verifizierte Empfänger beschränkt und ein Limit von 200 Nachrichten pro Tag vorsieht. Der Produktionsmodus erlaubt hingegen den Versand an beliebige Empfänger und bis zu 50.000 E-Mails pro Tag. Für eine Erhöhung der Quote müssen Kunden ihre Daten bei AWS einreichen, höhere Limits sind über Supportanfragen möglich.

Während der Produktionsmodus für legitime Geschäftszwecke gedacht ist, können Angreifer ihn für großangelegte Phishing- und Spam-Kampagnen nutzen. SES-Missbrauch ist ein beliebtes Mittel, um geleakte AWS-Zugangsdaten zu monetarisieren: Phishing-Mails können so in großem Maßstab von vertrauenswürdigen Domains aus versendet werden, wodurch Kosten und Reputationsschäden auf die Opfer verlagert werden.

Vom gestohlenen Schlüssel zum SES-Sandbox-Escape

Der Angriff begann mit kompromittierten Zugriffsschlüsseln, die oft durch versehentliche öffentliche Offenlegung oder Diebstahl von Entwickler-Arbeitsstationen erlangt werden. Der Angreifer führte zunächst eine einfache GetCallerIdentity-Abfrage durch, um die Berechtigungen des Schlüssels zu prüfen.

Anschließend untersuchte er SES direkt, überprüfte Kontingente und Sandbox-Limits und startete automatisiert PutAccountDetails-Anfragen über mehrere AWS-Regionen, um das Konto in den Produktionsmodus zu versetzen – eine bislang noch nicht dokumentierte Technik. Parallel gab der Angreifer eine allgemeine Website-URL an, die den Antrag legitim erscheinen ließ. AWS genehmigte den Übergang in den Produktionsmodus.

Trotz der Standardgrenze von 50.000 E-Mails pro Tag versuchte der Angreifer, über die CreateCase-API ein Support-Ticket zur Erhöhung der Limits zu erstellen und seine Berechtigungen per IAM-Richtlinie zu erweitern. Beide Versuche scheiterten, die vorhandene Quote war jedoch ausreichend, um die Phishing-Kampagne zu starten.

Start der Phishing-Kampagne

Nach der Einrichtung der Infrastruktur begann die breit angelegte Phishing-Aktion, die sich gegen mehrere Organisationen ohne klaren geografischen oder branchenspezifischen Fokus richtete. Die E-Mails enthielten Hinweise auf Steuerformulare für 2024 und leiteten die Empfänger auf Seiten weiter, die Anmeldedaten abfingen.

Die Angreifer nutzten dabei Techniken aus legitimen Marketingkampagnen, um Sicherheitsscanner zu umgehen und gleichzeitig Klickzahlen zu analysieren. Die Kampagne war opportunistisch und primär auf finanzielle Gewinne ausgerichtet, ohne dass eine Verbindung zu bekannten Bedrohungsgruppen erkennbar war.

Sicherheits- und Geschäftsrisiken

Die SES-Missbrauchskampagne zeigt, dass Cloud-Dienste erhebliche Sicherheitsrisiken bergen. Angreifer können E-Mails von verifizierten Domains verschicken, was Spearphishing, Betrug, Datendiebstahl und Identitätsbetrug erleichtert. Das Risiko reicht über E-Mail-Missbrauch hinaus: Kompromittierte AWS-Zugangsdaten könnten für weiterreichende Angriffe innerhalb der Cloud-Infrastruktur genutzt werden.

Zudem können Spam- und Phishing-Aktivitäten Missbrauchsmeldungen bei AWS auslösen, was zu operativen Störungen und erhöhtem Ressourcenaufwand für betroffene Unternehmen führt.

Warum der Missbrauch von Amazon SES ein ernstes Risiko darstellt

Auf den ersten Blick wirkt der Missbrauch von Amazons Simple Email Service (SES) wie ein vergleichsweise harmloses Problem – der Versand von E-Mails kostet nur wenige Cent pro tausend Nachrichten. Doch die Folgen können für Unternehmen erheblich sein.

Reputations- und Geschäftsrisiken

Angreifer, die SES über ein kompromittiertes Konto nutzen, können E-Mails von verifizierten Domains verschicken. Das beschädigt nicht nur den Ruf des betroffenen Unternehmens, sondern ermöglicht täuschend echte Phishing-Kampagnen. Diese lassen sich für Spearphishing, Betrug, Datendiebstahl oder das Vortäuschen geschäftlicher Abläufe missbrauchen.

Kompromittierungsrisiko

SES-Missbrauch tritt nur selten isoliert auf. Er weist fast immer darauf hin, dass Angreifer bereits über gültige AWS-Anmeldedaten verfügen – ein Zugang, der für weitreichendere Angriffe in der Cloud genutzt werden kann.

Operative Risiken

Spam- oder Phishing-Aktivitäten über SES führen häufig zu Missbrauchsbeschwerden bei AWS. In der Folge kann ein Missbrauchsfall gegen das betroffene Konto eingereicht werden, was den Geschäftsbetrieb erheblich belasten kann.

Lehren aus aktuellen Angriffen

Die jüngste Missbrauchskampagne macht deutlich, wie wichtig eine konsequente Absicherung von Cloud-Umgebungen ist.

• Durchgesickerte Zugriffsschlüssel gehören weiterhin zu den effektivsten Einstiegspunkten. Warnsignale sind plötzlich wieder aktive inaktive Schlüssel, Anmeldungen aus ungewöhnlichen Netzen oder Aktivitäten aus verschiedenen Ländern. Besonders kritisch sind Schlüssel mit weitreichenden Berechtigungen oder langer Inaktivität.

• Anomalien in der Cloud-Nutzung sollten frühzeitig erkannt werden. In AWS lassen sich Spitzen über CloudWatch, die Abrechnungskonsole oder CloudTrail feststellen. Angreifer nehmen vor allem Dienste ins Visier, die sich für Monetarisierung eignen – darunter SES, SNS, EC2 und S3.

• Auffällige Angriffstechniken aus der beobachteten Kampagne umfassen multiregionale Bursts von PutAccountDetails-Anfragen, API-Aufrufe von CreateCase außerhalb der Konsole sowie die schnelle Erstellung neuer Domains und E-Mail-Identitäten.

Präventive Maßnahmen

Unternehmen können das Risiko von SES-Missbrauch deutlich reduzieren:

• SES blockieren, wenn es nicht benötigt wird – etwa mithilfe von AWS Service Control Policies.

• Schlüssel regelmäßig prüfen und rotieren und dabei besonders inaktive Schlüssel überwachen, die plötzlich reaktiviert werden.

• Mindestprivilegien umsetzen, sodass nur bestimmte Rollen neue Absender verifizieren oder Produktionszugriff beantragen können.

• Protokollierung und Benachrichtigung aktivieren: Über CloudTrail lassen sich SES-API-Aufrufe wie PutAccountDetails nachverfolgen. Neue SES-Datenereignisse bieten zudem tiefere Einblicke in Versandaktivitäten und sollten, wenn möglich, aktiviert werden.

Lesen Sie auch

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky