『Crimson Collective』と呼ばれる脅威グループが、過去数週間にわたりAWS(Amazon Web Services)クラウド環境を標的に、データの窃取および企業への恐喝を行っています。
ハッカーたちは最近のRed Hatへの攻撃の犯行声明を出し、数千の非公開GitLabリポジトリから570GBのデータを流出させ、ソフトウェア企業に身代金の支払いを要求したと述べています。
この事件の公表後、Crimson CollectiveはScattered Lapsus$ Huntersと提携し、Red Hatへの恐喝圧力を強化しました。
Rapid7の研究者による分析では、Crimson Collectiveの活動についてさらに詳しい情報が明らかになっており、長期的なAWSアクセスキーやアイデンティティおよびアクセス管理(IAM)アカウントを侵害して権限昇格を行っていることが分かっています。
攻撃者はオープンソースツールのTruffleHogを使用して、漏洩したAWS認証情報を発見します。アクセスを得た後、APIコールを通じて新たなIAMユーザーやログインプロファイルを作成し、新しいアクセスキーを生成します。
次に、『AdministratorAccess』ポリシーを新規作成したユーザーに付与することで権限昇格を行い、Crimson CollectiveにAWS全体の管理権限を与えます。
出典: Rapid7
脅威アクターはこのレベルのアクセス権を利用して、ユーザー、インスタンス、バケット、ロケーション、データベースクラスター、アプリケーションを列挙し、データ収集および流出フェーズの計画を立てます。
彼らはRDS(リレーショナルデータベースサービス)のマスターパスワードを変更してデータベースにアクセスし、スナップショットを作成した後、APIコールを通じてS3(シンプルストレージサービス)にエクスポートして流出させます。
Rapid7はまた、EBS(エラスティックブロックストア)ボリュームのスナップショット作成や、新たなEC2(エラスティックコンピュートクラウド)インスタンスの起動も観測しました。EBSボリュームは、データ転送を容易にするために許可の緩いセキュリティグループにアタッチされていました。
この工程が完了すると、Crimson Collectiveは侵害したクラウド環境内のAWS Simple Email Service(SES)および外部メールアカウントを通じて、被害者に恐喝メッセージを送信します。
出典: Rapid7
研究者によると、Crimson Collectiveはデータ窃取活動において複数のIPアドレスを利用し、一部のIPアドレスを複数の事件で再利用していたため、追跡が容易になっているとのことです。
2025年1月には、Halcyonが報告したように、「Codefinger」と呼ばれる脅威アクターによるAWS環境を標的としたランサムウェア攻撃が発生しており、Crimson Collectiveとは異なり、標的となったS3バケットを暗号化していました。
これらの攻撃を軽減し、AWSのシークレット漏洩による壊滅的な侵害を防ぐためには、S3crets Scannerなどのオープンソースツールを利用して、未知の露出がないか環境をスキャンすることが推奨されています。
Rapid7は、Crimson Collectiveの規模や構成は依然として不明であるものの、この脅威グループの活動や恐喝手法は無視できないと指摘しています。
