AWS SES 遭大规模钓鱼攻击，泄露密钥引发云安全警报

Wiz 研究团队近日披露了一起发生于 2025 年 5 月的网络攻击事件，攻击者利用泄露的 AWS 密钥，成功劫持 Amazon Simple Email Service（SES）服务，发动了一场规模庞大、手法新颖的钓鱼邮件攻击。该攻击不仅突破了 SES 的系统限制，还实现了工业化规模的恶意邮件投递。

🎯 攻击手法：绕过 SES 沙箱限制

Wiz 在报告中指出：“攻击者首先获取了 AWS 访问密钥……随后利用这些泄露的密钥侵入受害者的 AWS 环境，绕过 SES 的内置限制，验证新的‘发件人’身份，并系统性地准备和实施钓鱼操作。”

默认情况下，SES 账户处于沙箱模式，每日仅允许向已验证地址发送 200 封邮件。然而，攻击者通过滥用 PutAccountDetails API，试图突破这一限制。

攻击过程的关键发现：

• 在短短 10 秒内，Wiz 监测到一波跨区域的 PutAccountDetails 请求席卷所有 AWS 区域；
• 这一战术此前从未被记录，表明攻击已实现高度自动化；
• 攻击者意图将 SES 账户从沙箱模式推向生产模式。

最终，AWS 支持团队批准了相关请求，攻击者获得了每日 5 万封邮件的发送配额，足以支撑大规模钓鱼活动。

⚙️ 权限提升尝试与异常行为

不满足于默认配额，攻击者进一步尝试提升权限：

1. 自动提交支持工单：通过 CreateCase API 提交申请，请求更高的邮件发送限额；
2. 附加恶意 IAM 策略：尝试为泄露账户附加名为 ses-support-policy 的策略以提升权限。

尽管这两项操作因权限不足而失败，但 Wiz 强调其攻击手法异常：

“通过 API 而非 AWS 控制台调用 CreateCase……这种行为极不常见，是可疑活动的又一强烈信号。”

🛠️ 钓鱼基础设施的快速搭建

在 SES 进入生产模式后，攻击者迅速搭建钓鱼基础设施：

• 使用 CreateEmailIdentity API 验证多个自有或防护薄弱的域名，包括：
  • managed7.com
  • street7news.org
  • docfilessa.com
• 创建以 admin@、billing@、noreply@ 为前缀的钓鱼邮箱。

📧 钓鱼邮件内容与伪装手法

Wiz 与 Proofpoint 合作确认，攻击者使用上述域名发起以“2024年税务表格”为主题的钓鱼活动。

邮件主题示例：

• “您的2024年税务表格已可查看和打印”
• “信息警报：税务记录存在异常”

钓鱼链接特征：

• 指向伪装成 irss[.]securesusa[.]com 的凭证窃取网站；
• 通过商业重定向服务隐藏真实地址，以绕过安全扫描。

⚠️ SES 滥用的三大风险

尽管 SES 设计用于合法批量邮件发送，但其滥用可能带来严重风险：

1. 品牌劫持
   攻击者可从已验证域名发送邮件，使钓鱼邮件看似来自受害者组织，进而用于鱼叉式攻击、欺诈或数据窃取。

2. 云环境纵深威胁
   SES 滥用表明攻击者已获取有效 AWS 凭证，可能引发更严重的云基础设施入侵。

3. 运营中断
   恶意流量可能导致 AWS 对受害者组织发起滥用投诉，造成业务中断。

💎 总结与启示

此次 SES 滥用攻击展示了攻击者如何将单个泄露的 AWS 密钥转化为每日 5 万封邮件的钓鱼平台。通过滥用生产模式、验证恶意域名、伪装钓鱼网站，攻击者成功将恶意流量混入合法云邮件流中，最终让受害者承受声誉与运营的双重损失。

Wiz 总结指出：

“SES 滥用很少孤立发生。它明确表明攻击者已控制有效的 AWS 凭证，而这些凭证可能被用于实施更具破坏性的行动。”

本文基于 Wiz 研究报告整理，旨在提高企业对云服务安全配置与密钥管理的重视。