El grupo de amenazas Crimson Collective ha estado apuntando a los entornos de nube de AWS durante las últimas semanas, para robar datos y extorsionar a las empresas.
Un análisis de los investigadores de Rapid7 proporciona más información sobre la actividad de Crimson Collective, que implica comprometer las claves de acceso de AWS a largo plazo y las cuentas de administración de identidad y acceso (IAM) para la escalada de privilegios.
Los atacantes utilizan la herramienta de código abierto TruffleHog para descubrir credenciales de AWS expuestas y así obtener acceso.
A continuación, compartimos IoC para ser agregados a las herramientas de seguridad perimetral.
EL ATAQUE
Después de obtener acceso, crean nuevos usuarios de IAM y perfiles de inicio de sesión a través de llamadas API y generan nuevas claves de acceso. Luego viene la escalada de privilegios al adjuntar la política AdministratorAccess a los usuarios recién creados, lo que otorga a Crimson Collective el control total de AWS.
Los actores de amenazas aprovechan este nivel de acceso para enumerar usuarios, instancias, depósitos, ubicaciones, clústeres de bases de datos y aplicaciones, para planificar la fase de recopilación y exfiltración de datos.
Modifican las contraseñas maestras de Relational Database Service (RDS) para obtener acceso a la base de datos, crear instantáneas y, a continuación, exportarlas a Simple Storage Service (S3) para su exfiltración mediante llamadas API.
Después de completar este paso, Crimson Collective envía a las víctimas una nota de extorsión a través de AWS Simple Email Service (SES) dentro del entorno de nube vulnerado, así como a cuentas de correo electrónico externas.
