Crimson Collective

Crimson Collective è un gruppo emergente di estorsione informatica specializzato in intrusioni cloud, che prende di mira principalmente gli ambienti AWS per rubare dati sensibili e fare pressione sulle vittime attraverso l'esposizione pubblica e la richiesta di riscatto.

La vostra organizzazione è al sicuro dagli attacchi del Crimson Collective?

L'origine del Crimson Collective

Il Crimson Collective è un gruppo di minacce emergenti che conduce attacchi mirati contro ambienti cloud AWS con l'obiettivo di esfiltrare dati ed estorcere denaro. Il gruppo si è fatto notare per la prima volta dopo aver rivendicato la responsabilità di un attacco a Red Hat, dove avrebbe sottratto repository GitLab privati. Le loro operazioni riflettono una profonda conoscenza dell'architettura AWS, delle configurazioni IAM e dei servizi cloud, sfruttando questi componenti legittimi per rimanere inosservati fino al momento dell'esfiltrazione.

Crimson Collective è un attore recentemente emerso a scopo di estorsione che prende di mira le proprietà del cloud AWS, con un forte focus sul furto di dati rispetto alla crittografia. Il gruppo ha pubblicamente rivendicato la responsabilità di aver violato un'istanza GitLab di Red Hat Consulting e di aver esfiltrato un'ampia serie di repository interni; Red Hat ha confermato l'accesso non autorizzato a quel GitLab di consulenza, ma non ha convalidato le affermazioni di furto più clamorose. Le segnalazioni open-source collegano l'attività di Crimson Collective alla ricognizione sistematica di AWS e all'esportazione di dati cloud , coerentemente con le osservazioni di Rapid7 sulle recenti intrusioni focalizzate su AWS.

Ci sono indicazioni di collaborazione o allineamento con ecosistemi più ampi di cyber-estorsione (ad esempio, ShinyHunters/"Scattered Lapsus$ Hunters"), anche se l'esatta relazione operativa è fluida e non definita in modo definitivo.

Paesi destinatari del Crimson Collective

L'impatto sembra essere globale, con copertura e notifiche che riguardano organizzazioni statunitensi ed europee (compreso un avviso di rischio da parte dell'autorità nazionale belga per la sicurezza informatica legato all'incidente).

Industrie a cui si rivolge il Crimson Collective

Finora, i nomi delle entità con una notevole impronta cloud e con codice sorgente o artefatti dei clienti di valore sono stati citati nei rapporti: i fornitori di software e i loro bracci di consulenza sono in primo piano; le menzioni dei media fanno anche riferimento a CER di grandi imprese e del settore pubblico come presunta esposizione, ma queste affermazioni specifiche non sono state verificate da Red Hat.

Vittime del Crimson Collective

L'istanza GitLab privata di Red Hat Consulting ha subito un accesso non autorizzato e una copia di dati. Non verificato ma rivendicato dall'attore: furto massiccio di repository/CER e compromissione a valle dei clienti della consulenza.

Metodo di attacco

Fasi e attività di attacco

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.

Gli attori raccolgono e convalidano le chiavi di accesso AWS a lungo termine trapelate utilizzando TruffleHog (visibile tramite il file GetCallerIdentity e l'user-agent "TruffleHog" in CloudTrail). Quindi creano utenti IAM (CreaUtente, CreaProfiloLogin, CreaChiave d'accesso) per la persistenza. Se la creazione fallisce, si sondano gli entitlement con SimulaPrincipalePolitica.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.

Allegano AmministratoreAccesso ai nuovi utenti (AttachUserPolicy) e inventariare estensivamente l'ambiente: IAM, EC2/EBS/S3, VPC/Route53/ELB, RDS, CloudWatch/Costs, quote SES/SNS e inventari delle applicazioni (un lungo elenco di Descrivere*, Elenco*, e Ottenere* chiamate tra i servizi).

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.
Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.
Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.

Creano istanze EC2 permissive (Esecuzione di istanze, CreaGruppoDiSicurezza) e allegare volumi (AllegaVolume) per montare i dati copiati per l'elaborazione o il successivo trasferimento.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

Resettano le password master RDS (Modificare l'istanzaDB), eseguire istantanee RDS (CreaDBSnapshot) ed esportarli in S3 (Avvia attività di esportazione). Creano istantanee EBS (CreaImmagine) come staging dei dati.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.

L'infiltrazione avviene tramite l'accesso agli oggetti S3 (Oggetto) e potenzialmente da istanze EC2 controllate da un attaccante.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.

L'impatto è estorsivo: le vittime ricevono e-mail (anche attraverso il proprio SES) che descrivono dettagliatamente i dati rubati e richiedono il pagamento; la pressione pubblica viene amplificata attraverso i media e i post sui siti di fuga di notizie da parte di gruppi alleati.

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.
Accesso iniziale

Gli attori raccolgono e convalidano le chiavi di accesso AWS a lungo termine trapelate utilizzando TruffleHog (visibile tramite il file GetCallerIdentity e l'user-agent "TruffleHog" in CloudTrail). Quindi creano utenti IAM (CreaUtente, CreaProfiloLogin, CreaChiave d'accesso) per la persistenza. Se la creazione fallisce, si sondano gli entitlement con SimulaPrincipalePolitica.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.
Escalation dei privilegi

Allegano AmministratoreAccesso ai nuovi utenti (AttachUserPolicy) e inventariare estensivamente l'ambiente: IAM, EC2/EBS/S3, VPC/Route53/ELB, RDS, CloudWatch/Costs, quote SES/SNS e inventari delle applicazioni (un lungo elenco di Descrivere*, Elenco*, e Ottenere* chiamate tra i servizi).

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Difesa Evasione
Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.
Accesso alle credenziali
Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.
Scoperta
Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.
Movimento laterale

Creano istanze EC2 permissive (Esecuzione di istanze, CreaGruppoDiSicurezza) e allegare volumi (AllegaVolume) per montare i dati copiati per l'elaborazione o il successivo trasferimento.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione

Resettano le password master RDS (Modificare l'istanzaDB), eseguire istantanee RDS (CreaDBSnapshot) ed esportarli in S3 (Avvia attività di esportazione). Creano istantanee EBS (CreaImmagine) come staging dei dati.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione
Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.
Esfiltrazione

L'infiltrazione avviene tramite l'accesso agli oggetti S3 (Oggetto) e potenzialmente da istanze EC2 controllate da un attaccante.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.
Impatto

L'impatto è estorsivo: le vittime ricevono e-mail (anche attraverso il proprio SES) che descrivono dettagliatamente i dati rubati e richiedono il pagamento; la pressione pubblica viene amplificata attraverso i media e i post sui siti di fuga di notizie da parte di gruppi alleati.

MITRE ATT&CK Mappatura

I TTP del Crimson Collective

TA0001: Initial Access
T1078
Valid Accounts
TA0002: Execution
No items found.
TA0003: Persistence
T1136
Create Account
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1578
Modify Cloud Compute Infrastructure
T1078
Valid Accounts
TA0006: Credential Access
No items found.
TA0007: Discovery
T1619
Cloud Storage Object Discovery
T1580
Cloud Infrastructure Discovery
T1526
Cloud Service Discovery
T1087
Account Discovery
T1069
Permission Groups Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1530
Data from Cloud Storage
T1213
Data from Information Repositories
T1074
Data Staged
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
TA0040: Impact
No items found.

DOMANDE FREQUENTI

Il Crimson Collective è un gruppo di ransomware?

Qual è la loro prima mossa all'interno di AWS?

Come fanno ad aumentare i privilegi?

Quali dati apprezzano di più?

Come vengono gestiti i dati e come vengono esfiltrati?

Hanno un impatto sulle e-mail e sugli SMS?

Quale contenimento immediato dobbiamo applicare in caso di sospetto?

Come resistere ai tentativi di ripetizione?

Sono collegati a "HuntersScattered Lapsus$ "?

Il Crimson Collective è collegato a The Com?