Um incidente significativo de segurança na nuvem foi identificado, revelando táticas avançadas de atores maliciosos que visam comprometer ambientes da AWS por meio de credenciais roubadas. Pesquisadores de segurança descobriram a campanha TruffleNet, que utiliza a ferramenta de código aberto TruffleHog para testar chaves de acesso comprometidas e realizar reconhecimento automatizado. A operação destaca o uso em larga escala do Amazon Simple Email Service (SES) para facilitar campanhas de Business Email Compromise (BEC), afetando mais de 800 hosts únicos em 57 redes Class C. Os atacantes validam credenciais através da API GetCallerIdentity da AWS e, após a confirmação, exploram o SES para criar novas identidades de envio de e-mails, permitindo a execução de fraudes. A análise revelou que os IPs de origem da TruffleNet careciam de sinalizações de reputação, indicando uma infraestrutura sob medida. Para mitigar essas ameaças, as organizações devem implementar políticas de IAM de menor privilégio e monitorar atividades anômalas no SES.
Fonte: https://cyberpress.org/trufflenet-bec-operation/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
03/11/2025 • Risco: ALTO
ATAQUE
Nova operação TruffleNet de BEC usa chaves SES da AWS comprometidas
RESUMO EXECUTIVO
O incidente TruffleNet destaca a vulnerabilidade das empresas que utilizam serviços de nuvem como a AWS, onde credenciais comprometidas podem levar a fraudes significativas. A utilização de APIs da AWS para abusos em larga escala requer atenção imediata das equipes de segurança.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais perdas financeiras significativas devido a fraudes e compromissos de reputação.
Operacional
Campanhas de BEC utilizando identidades de e-mail fraudulentas, resultando em fraudes financeiras.
Setores vulneráveis
['Setor financeiro', 'Setor de tecnologia', 'Setor de serviços']
📊 INDICADORES CHAVE
Mais de 800 hosts únicos comprometidos.
Indicador
57 redes Class C afetadas.
Contexto BR
Uso de APIs como GetSendQuota para abusos em larga escala.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar logs de acesso e chamadas de API relacionadas ao SES.
2
Implementar políticas de IAM de menor privilégio e restringir o acesso a APIs sensíveis.
3
Monitorar continuamente atividades anômalas no SES e chamadas repetidas às APIs de identidade.
🇧🇷 RELEVÂNCIA BRASIL
Os CISOs devem se preocupar com a crescente sofisticação das campanhas de BEC que utilizam infraestrutura confiável como a AWS, o que pode comprometer a segurança da comunicação empresarial.
⚖️ COMPLIANCE
Implicações para a conformidade com a LGPD, especialmente no que diz respeito à proteção de dados pessoais e fraudes.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
