Wiz研究團隊近日披露了2025年5月一起利用亞馬遜簡單郵件服務（Amazon Simple Email Service，簡稱SES）漏洞的大規模釣魚攻擊活動細節。攻擊者通過竊取的AWS密鑰實施攻擊，其規模之大、手法之新穎均屬罕見——不僅成功繞過SES內置防護機制，更實現了工業化規模的釣魚郵件投遞。

攻擊手法剖析

據Wiz報告描述："攻擊者首先竊取AWS訪問密鑰...隨后利用該密鑰侵入受害者AWS環境，突破SES限制措施，驗證偽造的'發件人'身份，最終系統性地策劃并執行釣魚攻擊。"

SES服務默認處于沙盒模式，每日僅允許向已驗證地址發送200封郵件。攻擊者通過濫用PutAccountDetails API突破這一限制。研究人員觀察到："攻擊者在短短10秒內向所有AWS區域集中發送PutAccountDetails請求——這種跨區域爆發式請求模式表明攻擊已高度自動化，其目的顯然是迫使SES賬戶進入生產模式。"

AWS支持團隊批準了該請求，使攻擊者獲得每日5萬封郵件的發送配額，足以支撐大規模釣魚活動。

圖片來源：Wiz研究團隊

權限升級嘗試

攻擊者并未滿足于默認配額，而是通過CreateCase API自動創建支持工單，要求進一步提高發送限額。他們還嘗試通過附加名為ses-support-policy的惡意IAM策略來提升權限。雖然這兩項嘗試因權限不足而失敗，但Wiz指出："通過API而非AWS控制臺使用CreateCase功能的行為極不尋常，這是判定可疑活動的關鍵指標。"

釣魚基礎設施搭建

進入生產模式后，攻擊者迅速建立釣魚基礎設施。通過CreateEmailIdentity API，他們驗證了多個攻擊者控制或安全防護薄弱的域名，包括：

• managed7.com
• street7news.org
• street7market.net
• docfilessa.com

隨后創建了admin@、billing@、noreply@等常見前綴的釣魚郵箱。Wiz與Proofpoint聯合確認，這些域名被用于冒充2024年稅務表格的釣魚活動，郵件主題包括《您的2024年稅務表格已可查看打印》和《重要提醒：稅務記錄存在異常》等，內含指向偽造國稅局網站irss[.]securesusa[.]com的鏈接，該網址通過商業跳轉服務規避安全掃描。

云郵件服務濫用風險

雖然SES設計初衷是合法批量郵件發送，但其濫用將帶來多重風險：

• 若賬戶配置SES服務，攻擊者可利用已驗證域名發送郵件，不僅損害品牌聲譽，更可能實施精準釣魚、數據竊取或商業欺詐
• SES濫用表明攻擊者已掌握有效AWS憑證，存在進一步滲透云環境的風險
• 惡意流量可能導致AWS對受害組織發起濫用投訴，造成業務中斷

此次事件揭示了攻擊者如何將單個AWS密鑰轉化為每日5萬封郵件的釣魚平臺。通過濫用生產模式、驗證域名和隱藏釣魚網站，攻擊者將惡意流量偽裝成合法云郵件，使受害者同時承受聲譽損失和運營風險。正如Wiz總結："SES濫用往往不是孤立事件，它明確預示著攻擊者已掌握可擴展至更危險行動的AWS憑證。"