简介 

    一项由疑似摩洛哥黑客组织发起的新攻击活动正在针对全球零售商及其他发行礼品卡的企业。该活动的独特之处在于，攻击者避开了传统的恶意软件技术和终端入侵手段，完全在云环境中实施攻击。攻击者通过钓鱼邮件和短信（smishing）窃取账户凭证，随后利用可信云服务而非部署恶意软件实施攻击。一旦获得组织访问权限，他们就会寻求发行未经授权礼品卡所需的访问类型和级别。这种全程无恶意软件痕迹的攻击方式，使得传统安全防护手段难以检测，尤其适用于依赖云服务进行日常运营的企业环境。

核心详情 

    攻击者主要利用社会工程学手段，如钓鱼邮件和短信（smishing），诱骗目标企业员工泄露其云服务账户凭证。在获取有效凭据后，攻击者直接登录到企业的云管理平台（例如AWS、Azure或Google Cloud），利用平台内置的合法功能进行后续操作，而无需部署任何恶意软件。他们通过提升权限或寻找已有高权限账户，访问礼品卡发行系统，批量生成并转移礼品卡码至外部账户变现。整个攻击链条完全在云端完成，不涉及终端设备入侵，因此能够绕过基于签名的防病毒软件和终端检测与响应（EDR）系统的监控。安全研究人员通过分析云日志中的异常登录地点、时间以及权限变更行为识别了该活动，并指出攻击者可能使用了临时性云资源来掩盖行踪。

适用范围  

    本内容主要面向全球范围内的零售商、电商平台以及任何发行和管理数字或实体礼品卡的企业信息安全团队、云架构师和风险管理岗位人员。适用于企业已采用云服务（如IaaS、PaaS或SaaS）进行业务运营，特别是将礼品卡发行、账户管理或财务相关系统部署在云端的场景。

推荐措施 

    1、对所有云服务账户强制启用多因素认证（MFA），并定期审查和限制账户权限，遵循最小权限原则，确保只有必要人员才能访问礼品卡发行模块。

    2、部署云安全态势管理（CSPM）工具持续监控云环境配置错误和异常活动；同时加强员工安全意识培训，重点识别钓鱼邮件和诈骗短信；建议定期进行云渗透测试和红蓝对抗演练，验证防护体系有效性。