El grupo de amenazas ‘Crimson Collective‘ ha estado apuntando a los entornos de nube de AWS durante las últimas semanas, para robar datos y extorsionar a las empresas.
Un análisis de los investigadores de Rapid7 proporciona más información sobre la actividad de Crimson Collective, que implica comprometer las claves de acceso de AWS a largo plazo y las cuentas de administración de identidad y acceso (IAM) para la escalada de privilegios. Los atacantes utilizan la herramienta de código abierto TruffleHog para descubrir credenciales de AWS expuestas y así obtener acceso.
A continuación, compartimos IoC para ser agregados a las herramientas de seguridad perimetral.
EL ATAQUE
Después de obtener acceso, crean nuevos usuarios de IAM y perfiles de inicio de sesión a través de llamadas API y generan nuevas claves de acceso. Luego viene la escalada de privilegios al adjuntar la política ‘AdministratorAccess’ a los usuarios recién creados, lo que otorga a Crimson Collective el control total de AWS. Los actores de amenazas aprovechan este nivel de acceso para enumerar usuarios, instancias, depósitos, ubicaciones, clústeres de bases de datos y aplicaciones, para planificar la fase de recopilación y exfiltración de datos.
Modifican las contraseñas maestras de Relational Database Service para obtener acceso a la base de datos, crear instantáneas y, a continuación, exportarlas a Simple Storage Service para su exfiltración a través de llamadas API. Después de completar este paso, Crimson Collective envía a las víctimas una nota de extorsión a través de AWS Simple Email Service dentro del entorno de nube vulnerado, así como a cuentas de correo electrónico externas.
