Pesquisadores de cibersegurança identificaram que atores de ameaça estão explorando o Amazon Web Services Simple Notification Service (AWS SNS) para roubo de dados e campanhas de phishing. Embora o AWS SNS seja uma ferramenta poderosa de comunicação em nuvem, sua configuração incorreta pode permitir que cibercriminosos utilizem a plataforma para exfiltrar informações sensíveis e enviar mensagens fraudulentas. O AWS SNS opera com dois principais fluxos de trabalho: aplicação-para-pessoa (A2P) e aplicação-para-aplicação (A2A). O problema surge quando invasores exploram falhas nas políticas de identidade e acesso (IAM), permitindo-lhes criar tópicos de notificação, inscrever endpoints externos e publicar mensagens sem detecção imediata.

Além disso, a falta de monitoramento adequado pode dificultar a identificação de tentativas fracassadas de publicação, permitindo que os ataques passem despercebidos. Em um experimento de segurança, pesquisadores simularam um ataque onde um tópico SNS foi criado para redirecionar credenciais roubadas para endpoints externos. Esse método permite que invasores contornem mecanismos tradicionais de proteção, como listas de controle de acesso (ACLs) de rede.

O fluxo de exfiltração de dados normalmente segue um padrão: os criminosos obtêm acesso inicial a uma instância EC2, descobrem credenciais armazenadas, criam um tópico SNS, inscrevem um endereço de e-mail ou número de telefone e publicam os dados roubados de forma ofuscada. Além do roubo de dados, o AWS SNS tem sido utilizado em campanhas de phishing por SMS (smishing). Para detectar atividades suspeitas no AWS SNS, especialistas recomendam monitoramento detalhado dos logs do AWS CloudTrail, focando em eventos incomuns, como a criação de tópicos por usuários raros, assinaturas de e-mails externos e picos repentinos no envio de mensagens diretas. Além disso, consultas avançadas podem identificar padrões anômalos e ajudar na mitigação de ataques.