Crimson Collective
Crimson Collective 、クラウドに特化した侵入に特化した新興のサイバー恐喝グループで、主にAWS環境を標的として機密データを盗み出し、公開や身代金要求を通じて被害者に圧力をかけている。
Crimson Collective起源
クリムゾン・コレクティブ Crimson Collectiveは、データの流出と恐喝を目的に、AWSクラウド環境に対して標的型攻撃を行っている新興の脅威グループだ。このグループが最初に注目を集めたのは、プライベートなGitLabリポジトリを盗んだとされる Red Hatへの攻撃の責任を主張した後でした。彼らの活動は、AWSアーキテクチャ、IAM設定、クラウドネイティブサービスに対する深い理解を反映しており、これらの合法的なコンポーネントを活用することで、流出が発生するまで検知されないようにしています。
Crimson Collective 、AWSのクラウドエステートを標的とし、暗号化よりもデータの盗難に強い焦点を当てた、新たに浮上した恐喝を動機とする行為者である。Red HatはそのコンサルティングGitLabへの不正アクセスを確認したが、最もセンセーショナルな盗難の主張については検証していない。オープンソースのレポートでは、Crimson Collective 活動が組織的なAWSの偵察とクラウドデータのエクスポートに関連しており、最近のAWSに焦点を当てた侵入に関するRapid7の観察と一致している。
より広範なサイバー恐喝のエコシステム(例えば、シャイニーハンターズ/「Hunters」)との協力関係や連携が示唆されているが、正確な活動関係は流動的であり、決定的な定義はない。
Crimson Collective対象国
米国と欧州の組織(ベルギーの国家サイバーセキュリティ当局によるこのインシデントに関連したリスク勧告を含む)にまたがる報道と通知により、影響は世界的なものと思われる。
Crimson Collective対象産業
これまでのところ、大規模なクラウドフットプリントを持ち、貴重なソースコードや顧客の成果物を保有する企業が報告書に名前を連ねています。
Crimson Collective犠牲者
Red Hat Consulting のプライベート GitLab インスタンスに不正アクセスとデータコピーが発生。検証されていないが、行為者が主張している:大規模なリポジトリ/CERの盗難とコンサルティングクライアントの下流への侵害。
攻撃のステージとアクティビティ
アクターは、TruffleHogを使用してリークされた長期的なAWSアクセスキーを取得し、検証する。 GetCallerIdentity 呼び出しとCloudTrailの "TruffleHog "ユーザーエージェント)。そして、IAMユーザーを作成する(ユーザー作成, ログインプロファイルの作成, アクセスキーの作成)で永続化する。作成に失敗した場合、エンタイトルメントを シミュレートプリンシパルポリシー.
を付けている。 管理者アクセス を新規ユーザー(アタッチユーザーポリシー)、環境のインベントリを広範囲に行う:IAM、EC2/EBS/S3、VPC/Route53/ELB、RDS、CloudWatch/Costs、SES/SNSクォータ、アプリケーションのインベントリ(長いリストがあります。 記述*について, リストそして ゲット サービス間の通話)。
これらは、パーミッシブEC2インスタンス(ランインスタンス, セキュリティグループの作成)とアタッチ・ボリューム(アタッチボリューム)を使用して、コピーされたデータを処理または転送するためにマウントする。
RDSマスターパスワードのリセットDBIインスタンスの変更)、RDSスナップショット(CreateDBSnapshot)にエクスポートし、S3(StartExportTask).EBSスナップショット(スナップショット作成)をデータステージングとして使用する。
流出は、S3オブジェクトアクセス(取得オブジェクト攻撃者が管理するEC2インスタンスからの可能性もある)。
被害者は、盗まれたデータの詳細と支払いを要求する電子メール(被害者自身のSES経由を含む)を受け取り、世間からの圧力は、メディアや同盟グループによるリークサイトへの投稿を通じて増幅される。
アクターは、TruffleHogを使用してリークされた長期的なAWSアクセスキーを取得し、検証する。 GetCallerIdentity 呼び出しとCloudTrailの "TruffleHog "ユーザーエージェント)。そして、IAMユーザーを作成する(ユーザー作成, ログインプロファイルの作成, アクセスキーの作成)で永続化する。作成に失敗した場合、エンタイトルメントを シミュレートプリンシパルポリシー.
を付けている。 管理者アクセス を新規ユーザー(アタッチユーザーポリシー)、環境のインベントリを広範囲に行う:IAM、EC2/EBS/S3、VPC/Route53/ELB、RDS、CloudWatch/Costs、SES/SNSクォータ、アプリケーションのインベントリ(長いリストがあります。 記述*について, リストそして ゲット サービス間の通話)。
これらは、パーミッシブEC2インスタンス(ランインスタンス, セキュリティグループの作成)とアタッチ・ボリューム(アタッチボリューム)を使用して、コピーされたデータを処理または転送するためにマウントする。
RDSマスターパスワードのリセットDBIインスタンスの変更)、RDSスナップショット(CreateDBSnapshot)にエクスポートし、S3(StartExportTask).EBSスナップショット(スナップショット作成)をデータステージングとして使用する。
流出は、S3オブジェクトアクセス(取得オブジェクト攻撃者が管理するEC2インスタンスからの可能性もある)。
被害者は、盗まれたデータの詳細と支払いを要求する電子メール(被害者自身のSES経由を含む)を受け取り、世間からの圧力は、メディアや同盟グループによるリークサイトへの投稿を通じて増幅される。
Crimson CollectiveTTP
Vectra AIでCrimson Collective 検知 方法
よくあるご質問(FAQ)
Crimson Collective ランサムウェア集団か?
Crimson Collective エクストーション・グループであり、データを暗号化するためにランサムウェアを使用することはありません。彼らの主な手口は、データ窃盗+恐喝(ロッカーなしの「二重恐喝」)です。
AWS内での最初の一手は?
漏洩した長期鍵をTruffleHogで検証している。 GetCallerIdentity TruffleHogユーザーエージェントで、IAMユーザーとアクセスキーの作成を試みる。
どのようにして特権をエスカレートさせるのか?
AWSマネージド 管理者アクセス 作成したばかりのユーザー (アタッチユーザーポリシー).ブロックされている場合は、次のような有効なパーミッションを探ります。 シミュレートプリンシパルポリシー.
彼らが最も重視するデータは何か?
ライブデータベース (RDS)、EBS ボリュームコンテンツ、S3 バケット、ソースコード / CER のようなエンゲージメントアーティファクトにより、環境の詳細とアクセストークンが明らかになる。 (Red Hat はコンサルティング GitLab へのアクセスを確認しているが、CER の暴露範囲はアクターが主張したままである)。
データはどのようにステージングされ、流出するのか?
RDS CreateDBSnapshot + StartExportTask をS3に移す。 スナップショット作成 攻撃者が管理するEC2にアタッチする。 取得オブジェクト を直接つかむ。
EメールやSMSに影響はありますか?
彼らはSES/SNSのクォータを列挙し、被害者の環境から恐喝配信やスパムに悪用する可能性がある。
疑われた場合、直ちにどのような封じ込めを行うべきか?
攻撃者が作成したIAMユーザーとアクセスキーを隔離し、インフライトを停止する。 StartExportTaskS3バケットポリシーのロックダウン、スナップショットフォレンジック、データベースマスタークレジットのローテーション。(一般的なベストプラクティスはインシデントの記事に沿ったものです。)
再挑戦に耐えるには?
長期的なユーザー・キーを削除し、短期的なロール・クレジットを優先させる。最小特権を強制する。ソースIP/VPCエンドポイントによるコンソール/APIアクセスを制限する。GuardDuty、CloudTrailレイク・クエリ、予算/CUR異常アラートを有効にする。レポやオブジェクト・ストアの秘密(TruffleHog/GGShieldなど)をスキャンし、プレコミット/CIでゲートする。
彼らは "Scattered Lapsus$ Hunters"とリンクしているのか?
報告書では、連携・関連性(恐喝の増幅やリークなど)が示唆されているが、作戦の深度は確固としていない。
Crimson Collective ザ・コムと関係があるのですか?
Crimson Collective Hunters提携しているので、彼らはザ・コムと呼ばれる彼らの大きなコミュニティの一員かもしれない。