每日五万封钓鱼邮件：云服务漏洞如何助长大规模网络钓鱼活动

Wiz研究团队近日披露了2025年5月一起利用亚马逊简单邮件服务（Amazon Simple Email Service
，每日模网简称SES）漏洞的封务漏大规模钓鱼攻击活动细节
 。攻击者通过窃取的钓鱼洞何大规动AWS密钥实施攻击，其规模之大 、邮件云服鱼活手法之新颖均属罕见——不仅成功绕过SES内置防护机制 ，助长更实现了工业化规模的络钓钓鱼邮件投递。

攻击手法剖析

据Wiz报告描述  ："攻击者首先窃取AWS访问密钥...随后利用该密钥侵入受害者AWS环境
 ，每日模网突破SES限制措施 ，封务漏验证伪造的钓鱼洞何大规动发件人身份，香港云服务器最终系统性地策划并执行钓鱼攻击 。邮件云服鱼活"

SES服务默认处于沙盒模式
，助长每日仅允许向已验证地址发送200封邮件。络钓攻击者通过滥用PutAccountDetails API突破这一限制 。每日模网研究人员观察到 ："攻击者在短短10秒内向所有AWS区域集中发送PutAccountDetails请求——这种跨区域爆发式请求模式表明攻击已高度自动化，封务漏其目的钓鱼洞何大规动显然是迫使SES账户进入生产模式
 。"

AWS支持团队批准了该请求 ，使攻击者获得每日5万封邮件的发送配额 ，足以支撑大规模钓鱼活动。建站模板

图片来源
：Wiz研究团队

权限升级尝试

攻击者并未满足于默认配额，而是通过CreateCase API自动创建支持工单，要求进一步提高发送限额 。他们还尝试通过附加名为ses-support-policy的恶意IAM策略来提升权限。虽然这两项尝试因权限不足而失败
，但Wiz指出："通过API而非AWS控制台使用CreateCase功能的行为极不寻常，这是判定可疑活动的关键指标。亿华云"

钓鱼基础设施搭建

进入生产模式后 ，攻击者迅速建立钓鱼基础设施
。通过CreateEmailIdentity API ，他们验证了多个攻击者控制或安全防护薄弱的域名 ，包括 ：

managed7.comstreet7news.orgstreet7market.netdocfilessa.com

随后创建了admin 、billing、noreply@等常见前缀的钓鱼邮箱。Wiz与Proofpoint联合确认，这些域名被用于冒充2024年税务表格的钓鱼活动，免费模板邮件主题包括《您的2024年税务表格已可查看打印》和《重要提醒：税务记录存在异常》等
，内含指向伪造国税局网站irss[.]securesusa[.]com的链接
，该网址通过商业跳转服务规避安全扫描
。

云邮件服务滥用风险

虽然SES设计初衷是合法批量邮件发送
，但其滥用将带来多重风险
 ：

若账户配置SES服务，攻击者可利用已验证域名发送邮件，不仅损害品牌声誉，更可能实施精准钓鱼
、数据窃取或商业欺诈SES滥用表明攻击者已掌握有效AWS凭证 ，源码下载存在进一步渗透云环境的风险恶意流量可能导致AWS对受害组织发起滥用投诉
，造成业务中断

此次事件揭示了攻击者如何将单个AWS密钥转化为每日5万封邮件的钓鱼平台。通过滥用生产模式 、验证域名和隐藏钓鱼网站，攻击者将恶意流量伪装成合法云邮件，使受害者同时承受声誉损失和运营风险。正如Wiz总结："SES滥用往往不是孤立事件 ，它明确预示着攻击者已掌握可扩展至更危险行动的AWS凭证。源码库"