文章总结： Wiz披露攻击者利用泄露AWS密钥劫持SES服务，通过自动化突破沙箱限制构建日发5万封钓鱼邮件平台。攻击者伪装税务主题进行欺诈，带来品牌劫持与云入侵风险。建议加强凭证管理、启用MFA并监控异常API调用，防范云服务滥用。 综合评分： 90 文章分类： 威胁情报,云安全,社会工程学

AWS密钥泄露引发大规模钓鱼攻击！攻击者劫持SES服务，日发5万封钓鱼邮件

安全代码

2026年1月19日 07:28 山西

近日，Wiz研究团队披露了一起利用泄露的AWS密钥劫持Amazon Simple Email Service（SES）的大规模钓鱼攻击活动。攻击者通过自动化手段突破SES沙箱限制，快速将账户提升至生产模式，构建起每日可发送5万封钓鱼邮件的恶意平台，暴露出云服务滥用与凭证泄露带来的严重安全风险。

攻击流程：从泄露密钥到自动化滥用

攻击者首先获取了受害者泄露的AWS访问密钥，以此侵入其账户环境。默认情况下，SES账户处于沙箱模式，每日仅能向已验证地址发送200封邮件。为突破此限制，攻击者利用PutAccountDetails API发起跨区域自动化请求。Wiz观测到，在短短10秒内，请求席卷所有AWS区域，最终成功推动账户进入生产模式，并获得每日5万封邮件的发送配额。

为进一步提高发送能力，攻击者还尝试通过CreateCase API自动提交支持工单申请更高限额，并附加恶意IAM策略提升权限。尽管这些操作因权限不足失败，但其自动化、异常的行为模式已构成强烈攻击信号。

钓鱼基础设施：验证恶意域名，伪装税务主题

进入生产模式后，攻击者迅速搭建钓鱼基础设施。他们通过CreateEmailIdentity API验证了多个自有或安全性薄弱的域名，如managed7.com、street7news.org、docfilessa.com等，并创建诸如admin@、billing@、noreply@等前缀的欺诈发件人地址。

Wiz与Proofpoint合作确认，攻击者以“2024年税务表格”为主题，向大量用户发送钓鱼邮件，例如“您的2024年税务表格已可查看和打印”“信息警报：税务记录存在异常”。邮件内嵌链接指向伪装成税务机构的钓鱼网站，并通过商业重定向服务隐藏真实地址，以规避安全检测。

风险警示：SES滥用可能只是云入侵的开端

Wiz指出，SES滥用行为本身已带来多重威胁：

• 品牌劫持：攻击者可冒用已验证域名发送邮件，使钓鱼邮件看似来自受害组织，用于鱼叉攻击与欺诈；
• 云纵深威胁：SES滥用表明攻击者已掌握有效AWS凭证，可能进一步入侵云基础设施；
• 运营中断：恶意流量可能引发AWS对受害组织的滥用投诉，导致业务停摆。

总结：凭证安全是云安全第一道防线

此次事件揭示了单个泄露的AWS密钥如何被转化为规模化攻击平台。Wiz总结称：“SES滥用很少孤立发生。它明确表明攻击者已控制有效的AWS凭证，而这些凭证可能被用于实施更具破坏性的行动。”企业和开发者应加强对云凭证的生命周期管理，启用多重验证，并监控API异常调用，从根本上防范此类云内攻击蔓延。

新闻来源：Wiz研究报告、安全客

山西甲子元科技有限公司

产品介绍：

软件：防泄密、行为管理、行为审计、云文档安全管理、数据智能备份等安全管理系统。

电话：0351-3366668

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全代码 《AWS密钥泄露引发大规模钓鱼攻击！攻击者劫持SES服务，日发5万封钓鱼邮件》