Crimson Collective adlı yeni tanımlanmış bir tehdit grubu, Amazon Web Hizmetleri (AWS) kullanan kuruluşlar için önemli bir güvenlik kaygısı olarak ortaya çıkmış, hassas verileri çalmak için sofistike teknikler kullanır ve kurbanları kullanır.
Crimson Collective, uzun vadeli erişim anahtarlarından ödün vermekle başlayan metodik bir yaklaşımla AWS bulut ortamlarından yararlanmada dikkate değer bir yeterlilik göstermektedir.
Siber güvenlik firması Rapid7, son zamanlarda Red Hat’in özel GitLab depolarını ihlal etme sorumluluğunu iddia eden bu gruptan artan faaliyeti belgeledi.
Güvenlik araştırmacıları, grubun Eylül ayında birden fazla olaydaki operasyonlarını gözlemleyerek sistematik ayrıcalık artışı ve veri hırsızlığı örüntüsünü ortaya koydu.
Tehdit aktörleri, kod depolarındaki sızdırılmış AWS kimlik bilgilerini tespit etmek için tasarlanmış meşru bir açık kaynak güvenlik aracı olan Trufflehog’u kullanarak saldırılarını başlatıyor.
Güvenlik ekipleri genellikle bu aracı unutulmuş erişim anahtarlarını tanımlamak için defansif olarak kullanırken, Crimson Collective onu kötü niyetli keşif için silahlandırır.
Trufflehog, GetCalleridentity API’sı aracılığıyla tehlikeye atılan kimlik bilgilerini doğruladıktan sonra, saldırganlar hedef ortama uygun bir giriş noktasına sahip olduklarını bilirler.
İlk erişimin ardından grup, CreateUser ve CreateLoginprofile API çağrıları aracılığıyla yeni kullanıcı hesapları oluşturarak kalıcılık oluşturur.
Bu teknik, orijinal tehlikeye atılan kimlik bilgileri keşfedilse ve iptal edilse bile erişimi sürdürmelerine izin verir.
Saldırganlar, operasyonlarının sistematik doğasını gösteren tüm tehlikeye atılan hesaplarda sürekli olarak kullanıcı oluşturulmaya çalışırlar.
Sistematik ayrıcalık artış
Bir dayanak kurduktan sonra, Crimson Collective, özellikle son derece izin veren yönetici API’sı aracılığıyla ayrıcalık artışına odaklanır.
Bu AWS tarafından yönetilen politika, tüm AWS hizmetlerine ve kaynaklarına kapsamlı erişim sağlar ve saldırganlara kurbanın bulut altyapısı üzerinde tam kontrol sağlar.
Grubun keşif aşaması, AWS altyapı bileşenlerinin kapsamlı haritalandırılmasını içeren kapsamlı teknik gelişmişliği ortaya koymaktadır.
Birden fazla AWS hizmetinde düzinelerce API çağrısı kullanarak EC2 örneklerini, EBS hacimlerini, RDS veritabanlarını, VPC’leri ve IAM rollerini sistematik olarak numaralandırırlar.
Özellikle, mağdurun kendi altyapısını kullanarak büyük ölçekli kimlik avı kampanyalarını sağlayabilecek Amazon SES ve SMS servis kotaları keşifleri ile ilgilidir.
Güvenlik analistleri, grubun kimlik ve erişim yönetimi (listroller, getUser), elastik hesaplama bulutu (açıklama, açıklama, desteinstancetypes), elastik blok deposu (açıklamalar, açıklama, açıklama) ve ilişkisel veritabanı hizmeti (tarif edilenBinstances, tarif edilen bclusers) kapsayan API çağrılarını kullandığını belgeledi.
Bu kapsamlı numaralandırma, veri açığa çıkması için en değerli hedefleri belirlemelerine olanak tanır.
Çok Vektör Veri Eksfiltrasyon Metodolojisi
Veri toplama ve eksfiltrasyon aşaması, Crimson Collection’ın AWS hizmetlerini ileri düzeyde anladığını gösterir.
Canlı veritabanı sistemlerine yönetici erişim sağlayarak ModifyDBinstance API çağrıları aracılığıyla ana kullanıcı şifrelerini değiştirerek RDS veritabanlarını hedeflerler.
Daha sonra, CreatedBSnapShot kullanarak veritabanı anlık görüntüleri oluştururlar ve StartExportTask aracılığıyla bunları StartExportTask aracılığıyla S3 kovalarına dışa aktarırlar.
Grup ayrıca, sanal makinelerden potansiyel olarak değerli bilgiler içeren mevcut EBS hacimlerinin anlık görüntülerini oluşturur.
Daha sonra kendi EC2 örneklerini RunInstances ve CreateSecurityGroup API çağrılarını kullanarak izin veren güvenlik gruplarıyla dağıtırlar.
Bu yeni oluşturulan bu örnekler, saldırganların uzlaşmış EBS anlık görüntülerini ataşum çağrıları aracılığıyla ekledikleri ve kontrollü altyapıları aracılığıyla mağdur verilerine etkili bir şekilde erişim sağladıkları evreleme ortamları olarak hizmet ediyor.
Nihai eksfiltrasyon için, Crimson Collective Leveres GetObject API, S3 kovalarından seçilen verileri indirmeye çağırır. Bu teknik, toplu veri transferleri yoluyla tespitten kaçınırken en değerli bilgileri seçici olarak çalmalarını sağlar.
Başarılı veri hırsızlığının ardından Crimson Collective, kurbanın kendi AWS basit e -posta hizmeti altyapısı ve harici e -posta hesapları da dahil olmak üzere birden fazla kanal aracılığıyla gasp talepleri sunar.
Bu çift kanallı yaklaşım, tehlikeye atılan sistemler üzerindeki kontrollerini gösterirken mağdur bildirim olasılığını arttırır.
Tehdit grubunun operasyonel güvenliği, bireysel aktörlerden ziyade iyi organize edilmiş bir cezai girişim önermektedir.
Aynı IP adreslerini sürekli olarak birden fazla uzlaşma boyunca kullanırlar ve kendilerini toplu olarak gasp iletişiminde “biz” olarak adlandırırlar. Bununla birlikte, grubun kesin kompozisyonu ve coğrafi konumu güvenlik araştırmacılarında belirsizliğini korumaktadır.
Birincil hedefleri, hem kurumsal operasyonları hem de müşteri gizliliğini önemli ölçüde etkileyebilecek veritabanları, proje depoları ve tescilli verileri içerir.
Red Hat’in Gitlab depolarının başarılı bir şekilde ihlali, bu saldırıların yazılım geliştirme organizasyonlarına verebileceği potansiyel hasar kapsamını örneklendirir.
Güvenlik etkileri
Güvenlik uzmanları, Crimson Collection’ın başarısının büyük ölçüde yetersiz kimlik bilgisi yönetimine ve aşırı izin veren IAM yapılandırmalarına bağlı olduğunu vurgulamaktadır.
Kuruluşlar, IAM rolleri aracılığıyla geçici kimlik bilgileri lehine uzun vadeli erişim anahtarlarını ortadan kaldırarak saldırı yüzeylerini önemli ölçüde azaltabilir.
En az ayrıcalık ilkesinin uygulanması, kimlik bilgisi uzlaşmalarının etkisini sınırlamak için çok önemlidir.
Ayrıca, kuruluşlar şüpheli API etkinliğini, özellikle de kullanıcı oluşturma, politika eki ve veri erişiminin olağandışı kalıplarını tespit etmek için kapsamlı izleme ve uyarma sistemlerini dağıtmalıdır.
Proaktif güvenlik önlemleri, kod depolarındaki maruz kalan kimlik bilgileri için düzenli tarama, hassas kaynaklar için IP adresi kısıtlamalarının uygulanmasını ve uzlaşma göstergeleri için CloudTrail günlüklerinin sürekli izlenmesini içermelidir.
Crimson Collective’in ortaya çıkışı, bulut yerli organizasyonların karşılaştığı gelişen tehdit manzarasının ve güçlü bulut güvenlik uygulamalarının kritik öneminin altını çizmektedir.
Bu tehdit grubunun gösterdiği sofistike, bulut odaklı siber suçlu operasyonların gelişmeye devam edeceğini ve kuruluşların uyanıklığı sürdürmesini ve AWS ortamlarını benzer saldırılardan korumak için kapsamlı güvenlik çerçeveleri uygulamalarını gerektirdiğini gösteriyor.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.