- Crimson Collectiveのハッカーが、公開された認証情報を利用してAWSを標的にし、権限昇格やデータの持ち出しを行う
- 攻撃者はTruffleHogを使ってシークレットを発見し、API経由でIAMユーザーやアクセスキーを作成
- Red Hatへの侵害では、800件のインフラ情報を含むコンサルティング記録を含め、570GBの機密ファイルが流出
最近Red Hatで発生した侵害の背後にいる脅威アクターCrimson Collectiveは、現在Amazon Web Services(AWS)のクラウド環境を標的にして、永続的なアクセスの確立、データの窃取、被害者からの金銭的なゆすりを狙っている模様です。
サイバーセキュリティ企業Rapid7によると、攻撃者はTruffleHogというオープンソースのセキュリティツールを使用しており、これはコードリポジトリやその他のソースに誤って公開されたシークレットや認証情報、APIキーを検索するためのものです。攻撃者は公開されたAWS認証情報を発見すると、APIコールを通じて新たなIAMユーザーやログインプロファイルを作成し、新しいアクセスキーを発行したり、新たなポリシーを付与することで権限を昇格させます。
最終的に、彼らはそのアクセス権を利用して被害者のネットワークをマッピングし、データの持ち出しや恐喝の計画を立てます。
Crimson Collective
BleepingComputerの取材に対し、同社は「ユーザーは短期間かつ最小権限の認証情報を利用し、制限的なIAMポリシーを実装することで脅威に対抗すべきだ」と述べました。
「万が一、顧客が認証情報の漏洩を疑う場合は、本投稿に記載された手順に従うことから始められます」とAWSは説明しています。「アカウントのセキュリティに関して質問がある場合は、AWSサポートに連絡することを推奨します。」
Crimson Collectiveは最近、Red HatのプライベートなGitLab環境リポジトリに侵入し、28,000件の内部プロジェクトから約570GBものさまざまなファイルを持ち出したことで注目を集めました。
その中には800件のCustomer Engagement Records(CER)―Red Hatがエンタープライズ顧客の支援のために作成した内部コンサルティング文書が含まれており、通常は詳細なインフラ情報(ネットワーク構成、システム設定など)、認証・アクセスデータ(認証情報、アクセストークンなど)、運用上の知見(推奨事項、トラブルシューティングノートなど)が記載されています。
これらの情報は、後続の攻撃に容易に利用できるため、非常に価値が高いものとなっています。
