Исследователи Rapid7 выяснили, что взлом софтверного гиганта Red Hat является частью более масштабной кампании, нацеленной на облачные аккаунты AWS.

По данным Rapid7, Crimson Collective использует скомпрометированные учётные записи IAM для доступа к корпоративным средам AWS и их кражи для дальнейшего вымогательства.

Как известно, хакеры взяли на себя ответственность за недавнюю атаку Red Hat, заявляя о похищении 570 ГБ данных из тысяч частных репозиториев GitLab, и пытались заставить компанию-разработчика заплатить выкуп.

После раскрытия инцидента Crimson Collective объединились со Scattered Lapsus$ Hunters, дабы усилить градус вымогательства.

В свою очередь, исследователями Rapid7 раскопали дополнительную информацию о деятельности Crimson Collective, которая включает в себя компрометацию долгосрочных ключей доступа AWS и учетных записей управления идентификацией и доступом (IAM) для повышения привилегий.

Злоумышленники используют открытый инструмент TruffleHog для обнаружения уязвимых учётных данных AWS.

Получив доступ, они создают новых пользователей IAM и профили входа через вызовы API, а также генерируют новые ключи доступа.

Далее следует повышение привилегий путем назначения политики «AdministratorAccess» вновь созданным пользователям, что предоставляет Crimson Collective полный контроль над AWS.

Они используют этот уровень доступа для сканирования пользователей, экземпляров, контейнеров, местоположений, кластеров баз данных и приложений, чтобы затем спланировать варианты сбора и эксфильтрации данных.

Они изменяют главные пароли RDS (Relational Database Service), получая доступ к базе данных, создают моментальные снимки, а затем экспортируют их в S3 (Simple Storage Service) для извлечения данных с помощью вызовов API.

Rapid7 также фиксировала снимки томов EBS (Elastic Block Store), отмечая, что после этого запускались новые экземпляры EC2 (Elastic Compute Cloud).

Тома EBS затем подключались к разрешительным группам безопасности для упрощения передачи данных.

После завершения этого шага Crimson Collective отправляет жертвам записку о выкупе через AWS Simple Email Service (SES) во взломанной облачной среде, а также на внешние учетные записи электронной почты.

Исследователи отмечают, что Crimson Collective использовала несколько IP-адресов в своих операциях по краже данных и повторно использовала некоторые IP-адреса в разных инцидентах, что упрощало отслеживание, однако узнать что-либо подробнее о ней пока не смогли.

AWS предупредила клиентов, рекомендуя использовать краткосрочные учетные данные с минимальными привилегиями и применять ограничительные политики IAM.

На случай выявления каких-либо признаков компрометации учётных данных AWS представила соответствующую инструкцию или же обратиться в службу поддержки AWS.

Кроме того, чтобы смягчить эти атаки и предотвратить катастрофические нарушения из-за утечки секретов AWS, рекомендуется сканировать среду на предмет неизвестных угроз с помощью инструментов с открытым исходным кодом, таких как S3crets Scanner или других.