Crimson Collective 利用 AWS 服务窃取敏感数据

2025-10-09 10:18:25 0 129

一个自称 Crimson Collective 的新威胁组织已成为一个重大的网络安全隐患,该组织针对亚马逊网络服务 (AWS) 云环境发起复杂的数据泄露和勒索活动。

一个自称 Crimson Collective 的新威胁组织已成为一个重大的网络安全隐患,该组织针对亚马逊网络服务 (AWS) 云环境发起复杂的数据泄露和勒索活动。

该组织最近声称对攻击红帽公司负责,声称他们成功入侵并窃取了红帽公司 GitLab 基础设施的私有存储库。

这一发展代表着以云为中心的网络犯罪令人担忧的升级,凸显了在云环境中运营的组织面临的威胁的不断演变。

Crimson Collective 采用有条不紊的方法来破坏 AWS 基础设施,首先利用泄露的长期访问密钥,然后通过 IAM 帐户操纵来提升权限。

他们的操作展示了对 AWS 服务和安全配置的高级知识,使他们能够驾驭复杂的云架构,同时保持在受损环境中的持久性。

该组织的活动主要集中在收集和窃取数据库、项目存储库和其他有价值的组织数据,使企业知识产权和客户信息面临重大风险。

最近几周,安全研究人员记录了该威胁行为者在多个 AWS 环境中的活动增加,记录的案例发生在整个 9 月份。

该组织通过多个 IP 地址进行操作,并在同一目标环境中的多个受损账户中保持存在,这表明该组织具有协调的多运营商结构。



他们的勒索信中使用复数代词来指代自己,表明有多人参与了这些行动,但该团伙的具体组成和结构仍不清楚。

Rapid7 分析师通过对受影响环境中的 CloudTrail 日志和行为指标进行全面分析,识别了恶意软件及其操作模式。

他们的研究表明,Crimson Collective 始终采用开源工具 TruffleHog 作为在代码存储库和存储位置发现受损 AWS 凭证的主要方法。

技术利用方法

该组织的技术方法以利用 TruffleHog 为中心,这是一种合法的安全工具,旨在识别各个存储位置中暴露的凭据。

当 TruffleHog 发现有效的 AWS 凭证时,它会使用GetCallerIdentityAPI 调用进行身份验证以验证凭证的有效性。

CloudTrail 日志分析始终表明 TruffleHog 用户代理是所有受损帐户的初始指标,为安全团队提供了明确的检测机会。

在成功验证凭证后,Crimson Collective 通过系统的用户创建和权限提升来建立持久性。

它们执行CreateUserAPI 调用,然后CreateLoginProfile建立密码验证,然后使用CreateAccessKey调用生成额外的访问密钥。

该组织尝试在每个被入侵的账户上使用这些持久性机制,但缺乏足够权限的账户要么被放弃,要么受到SimulatePrincipalPolicy调用以评估可用权限。

成功创建新用户后,威胁行为者会立即通过API 调用附加策略来提升权限。arn:aws:iam::aws:policy/AdministratorAccessAttachUserPolicy

此 AWS 管理策略授予对所有 AWS 服务和资源的全面访问权限,为攻击者提供对受感染环境的不受限制的控制,以便进行后续的数据泄露操作。

关于作者

socsoc5篇文章25篇回复

评论0次

要评论?请先  登录  或  注册