駭客組織Crimson Collective聲稱入侵Red Hat,從內部開發儲存庫竊得約800份客戶互動報告(Customer Engagement Report,CER),並已經利用這些資料入侵下游客戶,因而引起關注。然而有資安業者發現,這個駭客組織也針對企業組織的雲端環境而來,試圖竊取資料並進行勒索。
資安業者Rapid7近日發現Crimson Collective攻擊AWS雲端環境的活動增加,駭客試圖竊取企業組織的機敏資料,並進行勒索。他們通常透過外流的身分驗證及存取管理系統(IAM)帳號,或是長期存取金鑰來啟動攻擊流程,過程中藉由建立額外的政策來新增使用者並提升權限。若是得逞,駭客就會找出有價值的資料並濫用AWS服務傳送至外部,最後留下勒索訊息。
根據目前掌握的資訊,Crimson Collective似乎偏好資料庫與專案儲存庫,以及其他有價值的資料。附帶一提的是,這些駭客通常會使用相同環境的多個憑證遭外洩的帳號,並透過數個IP位址從事活動,加上他們還會在勒索軟體自稱「我們」,因此Rapid7認為,該組織背後可能有許多人參與,但仍不清楚組織的組成。
針對攻擊流程的部分,Crimson Collective使用開源工具TruffleHog,掃描、比對是否具有遭外洩的AWS帳密,一旦該工具找到這類資料並驗證確實有效,駭客就會試圖利用竊得的帳號,搭配特定API建立新帳號。假若竊得的帳號權限不足而無法建立新的帳號,駭客就會終止活動。
一旦Crimson Collective成功建立帳號,他們就會利用API呼叫提升權限,然後進行偵察,廣泛收集EC2執行個體(Instance)與安全群組、EBS磁碟區及快照、VPC、路由表、資料庫、帳號使用率及花費、警示訊息,以及IAM系統的角色等。
藉由收集到的AWS關鍵基礎設施資訊,這些駭客就會試圖竊取機敏資料並外傳。首先,他們竄改關聯式資料庫服務(RDS)的主密碼,然後建立RDS所在的EBS儲存區的快照,並匯出到S3。接著,駭客建立EC2執行個體並掛載快照,然後透過特殊權限在S3儲存桶擷取資料。
得逞後,Crimson Collective利用受害組織的AWS Simple Email Service服務,或是外部的電子郵件服務,向受害組織發送勒索信。
熱門新聞
2025-12-12
2025-12-16
2025-12-15
2025-12-15
2025-12-15
2025-12-15
2025-12-16
2025-12-15