Datadog 研究人員警告稱，網路釣魚者正以虛假電子郵件安全警報為目標，攻擊 AWS 帳戶持有者，並將他們重定向到 AWS 管理控制台登入頁面的高保真克隆版本。該攻擊活動從2月底甚至更早開始了。研究人員指出：「在觀察到的一個案例中，攻擊者在提交憑證後20分鐘內就成功登入了一個被盜用的AWS帳戶。」
據 Datadog 稱，這些用戶成為了偽造的「AWS 組織安全電子郵件」的目標，該郵件表面上是由noreply@security[.]aws發送的。

該電子郵件警告其組織雲端環境中存在可疑活動，要求收件者採取行動，並將他們引導至託管在網域搶注上的釣魚頁面。這些網域搶注旨在透過使用類似 AWS 相關服務或內部雲端工具的名稱來偽裝成合法頁面。

本次攻擊活動中使用的中間人 (AitM) 設定可作為受害者和合法 AWS 身份驗證服務之間的即時代理：向 AWS 發送的身份驗證請求即時轉發，威脅行為者同時捕獲受害者輸入的憑證、身份驗證令牌以及可能的多因素身份驗證 (MFA) 代碼。

在調查過程中，研究人員還發現了另外兩個釣魚工具包伺服器，它們暴露了與本次活動中使用的相同的管理面板。

這些伺服器與最近創建的網域名稱相關聯，這些網域旨在冒充 Microsoft 365 和 Apple iCloud。研究人員補充說：「這些網域目前並未上線。但是，通用的管理面板可能指向多個攻擊者共享的網路釣魚工具包。」

資料來源：https://www.helpnetsecurity.com/2026/03/10/aitm-phishing-aws-accounts/