Эксперты компании Rapid7 зафиксировали активность новой группы киберпреступников, получившей название Crimson Collective, которая специализируется на атаках против облачных инфраструктур AWS. Злоумышленники нацелены на хищение конфиденциальных данных с последующим вымогательством денежных средств у жертв. Группа уже заявила о причастности к инциденту с компанией Red Hat, в ходе которого, по их утверждению, были похищены приватные репозитории из корпоративной системы GitLab.
Описание
В ходе расследования, проведенного в сентябре, специалисты Rapid7 выявили два случая активности Crimson Collective. Атаки начинаются с компрометации долгосрочных ключей доступа к облачным сервисам AWS с последующим использованием привилегий, связанных с учетными записями IAM (Identity and Access Management). Злоумышленники создают новых пользователей и повышают привилегии путем присоединения политик доступа. После успешного получения прав администратора группа проводит разведку для идентификации ценных данных и осуществляет их хищение через сервисы AWS. В случае успешного извлечения информации жертва получает сообщение с требованиями выкупа.
По имеющимся данным, Crimson Collective концентрируется преимущественно на сборе и извлечении баз данных, проектных репозиториев и другой ценной информации, что создает риски для продуктов компаний и данных клиентов. Группа действует с нескольких IP-адресов через множество скомпрометированных учетных записей в одной среде, используя в сообщениях местоимение «мы», что указывает на участие нескольких лиц. Однако точный состав группировки остается неясным.
Технический анализ показал, что для начального доступа злоумышленники используют открытый инструмент TruffleHog, предназначенный для поиска утекших учетных данных AWS. Этот легитимный инструмент применяется специалистами по безопасности для проверки наличия забытых долгосрочных ключей доступа в репозиториях кода или других хранилищах. При обнаружении такого ключа TruffleHog использует его для аутентификации и вызова API GetCallerIdentity, который возвращает детали о сущности IAM, выполняющей операцию. Успешный ответ подтверждает валидность учетных данных. Анализ журналов CloudTrail подтвердил использование пользовательского агента TruffleHog в качестве начального шага для всех скомпрометированных учетных записей.
После использования TruffleHog злоумышленники пытаются закрепиться в среде путем создания нового пользователя через вызов API CreateUser с последующим CreateLoginProfile для установки пароля. Также фиксируется создание новых ключей доступа через вызов CreateAccessKey. Попытки создания пользователей наблюдались на каждой скомпрометированной учетной записи. Аккаунты с недостаточными привилегиями для создания пользователей либо игнорировались, либо использовались для вызова SimulatePrincipalPolicy, позволяющего проверить эффективность прикрепленных политик против определенных API-вызовов.
В средах, где создание нового пользователя прошло успешно, злоумышленники повышают привилегии через вызов AttachUserPolicy, присоединяя политику arn:aws:iam::aws:policy/AdministratorAccess, которая предоставляет полный доступ к сервисам и ресурсам AWS. С новыми учетными записями и правами администратора группа переходит к этапу разведки. Анализ CloudTrail выявил активное сканирование инфраструктуры AWS и данных, включая сбор информации об экземплярах EC2 и их группах безопасности, томах и снапшотах EBS, виртуальных частных облаках, таблицах маршрутизации, базах данных, метриках стоимости и использования, а также о ролях IAM.
На этапе сбора данных Crimson Collective фокусируется на сервисе реляционных баз данных, обнаруженном ранее. Злоумышленники используют вызов ModifyDBInstance для изменения пароля главного пользователя базы данных, что позволяет выполнять операции вроде запуска запросов и выгрузки таблиц. Далее группа создает снапшоты баз данных через CreateDBSnapshot и экспортирует их в корзины S3 через StartExportTask, подготавливая данные к извлечению. Также фиксируется создание снапшотов томов EBS с последующим присоединением к новым экземплярам EC2, созданным через RunInstances, с настраиваемыми группами безопасности. Это позволяет легко извлекать данные через экземпляры с разрешительными настройками.
Для извлечения данных из корзин S3 злоумышленники используют изначально скомпрометированные учетные записи с достаточными привилегиями, применяя вызов GetObject для выбранных объектов. В случае успешного хищения информации жертва получает сообщение с требованиями выкупа, отправляемое через сервис Simple Email Service на инфраструктуре AWS жертвы или с внешнего адреса.
Crimson Collective представляет собой новую группу, специализирующуюся на хищении данных и вымогательстве. Rapid7 рекомендует избегать использования долгосрочных учетных данных, отдавая предпочтение ролям с временными ключами. В качестве профилактических мер следует внедрить принцип наименьших привилегий, настроить мониторинг и оповещения о подозрительной активности, проводить сканирование репозиториев на наличие секретов и ограничивать доступ к важным ресурсам только с известных IP-адресов.
Индикаторы компрометации
IPv4
- 195.201.175.210
- 3.215.23.185
- 45.148.10.141
- 5.9.108.250
