Crimson Collective
Crimson Collective , bulut odaklı izinsiz girişler konusunda uzmanlaşmış, hassas verileri çalmak için öncelikle AWS ortamlarını hedef alan ve kurbanlara kamuya ifşa ve fidye talepleri yoluyla baskı yapan yeni bir siber gasp grubudur.
Crimson Collective'in Kökeni
Bu Crimson Collectiveveri sızdırma ve gasp amacıyla AWS bulut ortamlarına yönelik hedefli saldırılar gerçekleştiren yeni ortaya çıkan bir tehdit grubudur. Grup ilk olarak, özel GitLab depolarını çaldıkları iddia edilen Red Hat 'e yönelik bir saldırının sorumluluğunu üstlendikten sonra dikkat çekmiştir. Operasyonları AWS mimarisi, IAM yapılandırmaları ve buluta özgü hizmetler hakkında derin bir anlayışa sahip olduklarını gösteriyor - bu meşru bileşenlerden yararlanarak sızma gerçekleşene kadar fark edilmeden kalıyorlar.
Crimson Collective , AWS bulut sitelerini hedef alan ve şifreleme yerine veri hırsızlığına odaklanan yeni ortaya çıkmış bir şantaj amaçlı aktördür. Grup, bir Red Hat Consulting GitLab örneğini ihlal etme ve büyük bir dahili depo hazinesini dışarı sızdırma sorumluluğunu kamuya açıkladı; Red Hat, GitLab danışmanlığına yetkisiz erişimi doğruladı ancak en sansasyonel hırsızlık iddialarını doğrulamadı. Açık kaynak raporları Crimson Collective 'in faaliyetlerini AWS'nin sistematik keşfi ve bulut verilerinin dışa aktarılmasıyla ilişkilendiriyor ki bu da Rapid7'nin AWS odaklı son saldırılara ilişkin gözlemleriyle uyumlu.
Daha geniş siber gasp ekosistemleriyle (örneğin, ShinyHunters/"Scattered Lapsus$ Hunters") işbirliği veya uyum göstergeleri vardır, ancak kesin operasyonel ilişki akıcıdır ve kesin olarak tanımlanmamıştır.
Crimson Collective tarafından hedeflenen ülkeler
Etki, ABD ve Avrupa kuruluşlarını kapsayan kapsam ve bildirimlerle (Belçika'nın ulusal siber güvenlik otoritesi tarafından olayla bağlantılı bir risk tavsiyesi de dahil olmak üzere) küresel görünmektedir.
Crimson Collective tarafından hedeflenen sektörler
Şimdiye kadar, büyük bulut ayak izlerine ve değerli kaynak koduna veya müşteri eserlerine sahip kuruluşların isimleri raporlarda yer aldı - yazılım satıcıları ve danışmanlık kolları öne çıkıyor; medyada ayrıca büyük kurumsal ve kamu sektörü CER'lerine de iddia edilen risk olarak atıfta bulunuluyor, ancak bu spesifik iddialar Red Hat tarafından doğrulanmadı.
Crimson Collective'in Kurbanları
Red Hat Consulting'in özel GitLab örneği yetkisiz erişime ve veri kopyalamaya maruz kaldı. Doğrulanmamış ancak aktör tarafından iddia edilen: büyük çaplı depo/CER hırsızlığı ve danışmanlık müşterilerinin aşağı akışta tehlikeye atılması.
Saldırı Aşamaları ve Etkinlikler
Aktörler, TruffleHog kullanarak sızdırılmış uzun vadeli AWS erişim anahtarlarını toplar ve doğrular (TruffleHog GetCallerIdentity çağrısı ve CloudTrail'de "TruffleHog" kullanıcı aracısı). Daha sonra IAM kullanıcıları oluştururlar (CreateUser, CreateLoginProfile, CreateAccessKey) kalıcılık için. Oluşturmanın başarısız olduğu durumlarda, yetkileri SimulatePrincipalPolicy.
Ekliyorlar YöneticiErişimi yeni kullanıcılara (AttachUserPolicy) ve ortamı kapsamlı bir şekilde envanterleyin: IAM, EC2/EBS/S3, VPC/Route53/ELB, RDS, CloudWatch/Costs, SES/SNS kotaları ve uygulama envanterleri (uzun bir liste Tanımla*, Liste*ve Get* hizmetler arası çağrılar).
İzin verilen EC2 örneklerini (RunInstances, CreateSecurityGroup) ve hacim ekleme (AttachVolume) kopyalanan verileri işlenmek veya ileriye aktarılmak üzere bağlamak için.
RDS ana şifrelerini sıfırlarlar (ModifyDBInstance), RDS anlık görüntüleri alma (CreateDBSnapshot) ve S3'e aktarın (StartExportTask). EBS anlık görüntüleri oluştururlar (CreateSnapshot) veri hazırlama olarak.
Sızma, S3 nesne erişimi yoluyla gerçekleşir (GetObject) ve potansiyel olarak saldırgan kontrolündeki EC2 örneklerinden.
Etki haraç niteliğindedir: mağdurlar çalınan verileri detaylandıran ve ödeme talep eden e-postalar alır (mağdurun kendi SES'i de dahil); müttefik grupların medya ve sızıntı sitesi paylaşımları yoluyla kamuoyu baskısı artırılır.
Aktörler, TruffleHog kullanarak sızdırılmış uzun vadeli AWS erişim anahtarlarını toplar ve doğrular (TruffleHog GetCallerIdentity çağrısı ve CloudTrail'de "TruffleHog" kullanıcı aracısı). Daha sonra IAM kullanıcıları oluştururlar (CreateUser, CreateLoginProfile, CreateAccessKey) kalıcılık için. Oluşturmanın başarısız olduğu durumlarda, yetkileri SimulatePrincipalPolicy.
Ekliyorlar YöneticiErişimi yeni kullanıcılara (AttachUserPolicy) ve ortamı kapsamlı bir şekilde envanterleyin: IAM, EC2/EBS/S3, VPC/Route53/ELB, RDS, CloudWatch/Costs, SES/SNS kotaları ve uygulama envanterleri (uzun bir liste Tanımla*, Liste*ve Get* hizmetler arası çağrılar).
İzin verilen EC2 örneklerini (RunInstances, CreateSecurityGroup) ve hacim ekleme (AttachVolume) kopyalanan verileri işlenmek veya ileriye aktarılmak üzere bağlamak için.
RDS ana şifrelerini sıfırlarlar (ModifyDBInstance), RDS anlık görüntüleri alma (CreateDBSnapshot) ve S3'e aktarın (StartExportTask). EBS anlık görüntüleri oluştururlar (CreateSnapshot) veri hazırlama olarak.
Sızma, S3 nesne erişimi yoluyla gerçekleşir (GetObject) ve potansiyel olarak saldırgan kontrolündeki EC2 örneklerinden.
Etki haraç niteliğindedir: mağdurlar çalınan verileri detaylandıran ve ödeme talep eden e-postalar alır (mağdurun kendi SES'i de dahil); müttefik grupların medya ve sızıntı sitesi paylaşımları yoluyla kamuoyu baskısı artırılır.
Crimson Collective'in TTP'leri
Vectra AI ile Crimson Collective Nasıl Tespit Edilir
Sıkça Sorulan Sorular
Crimson Collective bir fidye yazılımı grubu mu?
Crimson Collective bir Extorsion Grubudur, verileri şifrelemek için fidye yazılımı kullanmazlar. Birincil oyunları veri hırsızlığı + gasptır (kilitli dolap olmadan "çifte gasp").
AWS içindeki ilk hamleleri ne olacak?
Sızan uzun vadeli anahtarları TruffleHog ile doğrularlar; CloudTrail şunları gösterir GetCallerIdentity TruffleHog kullanıcı aracısı ile IAM kullanıcıları ve erişim anahtarları oluşturma girişimlerini takip eder.
Ayrıcalıkları nasıl yükseltiyorlar?
AWS tarafından yönetilen YöneticiErişimi yeni oluşturulan kullanıcılara (AttachUserPolicy). Engellenirse, etkin izinleri aşağıdakilerle araştırırlar SimulatePrincipalPolicy.
En çok hangi verilere değer veriyorlar?
Canlı veritabanları (RDS), EBS birim içerikleri, S3 kovaları ve ortam ayrıntılarını ve erişim belirteçlerini ortaya çıkaran kaynak kodu / CER benzeri etkileşim eserleri. (Red Hat, danışmanlık GitLab'ına erişimi onaylar; CER maruziyetinin kapsamı aktör tarafından talep edilmeye devam etmektedir).
Veriler nasıl hazırlanır ve dışarı aktarılır?
RDS → CreateDBSnapshot + StartExportTask S3'e; EBS → CreateSnapshot daha sonra saldırgan kontrolündeki EC2'ye bağlanır; S3 → GetObject doğrudan kapmak için.
E-posta/SMS'i etkiliyorlar mı?
SES/SNS kotalarını numaralandırırlar ve bunları kurban ortamından haraç gönderimi veya spam için kötüye kullanabilirler.
Şüphelendiğimizde hangi acil önlemi uygulamalıyız?
Tüm uzun vadeli AWS anahtarlarını iptal edin; güvenliği ihlal edilmiş sorumluları devre dışı bırakın/döndürün; paylaştığınız IOC'leri engelleyin; saldırgan tarafından oluşturulan IAM kullanıcılarını ve erişim anahtarlarını karantinaya alın; uçuş sırasında durdurun StartExportTaskS3 kova politikalarını kilitleyin; adli tıp anlık görüntülerini alın, ardından veritabanı ana yetkilerini döndürün. (Olay yazıları ile uyumlu genel en iyi uygulama).
Tekrarlanan girişimlere karşı nasıl sertleşilir?
Kısa ömürlü rol yetkileri lehine uzun vadeli kullanıcı anahtarlarını öldürün; en az ayrıcalığı uygulayın; kaynak IP / VPC uç noktalarına göre konsol / API erişimini kısıtlayın; GuardDuty, CloudTrail göl sorgularını ve bütçe / CUR anormallik uyarılarını etkinleştirin; gizli diziler için repoları ve nesne depolarını tarayın (TruffleHog / GGShield ve diğerleri) ve pre-commit / CI ile kapı açın.
"Scattered Lapsus$ Hunters" ile bağlantılılar mı?
Raporlar koordinasyon/ilişki olduğunu göstermektedir (örn. gaspın artırılması ve sızıntılar), ancak operasyonel derinlik kesin olarak belirlenmemiştir; kanıtlanmış komuta ve kontrolden ziyade ekosistem bitişikliği olarak ele alın.
Crimson Collective , The Com ile bağlantılı mı?
Crimson Collective , Scattered Lapsus$ Hunters ile işbirliği yaptığına göre, onların The Com adlı daha büyük topluluklarının bir parçası olabileceklerini iddia edebiliriz.