Selon Rapid7, un nouveau groupe de menace baptisé « Crimson Collective » intensifie ses attaques contre des environnements cloud AWS, avec deux cas observés en septembre.
— Le groupe débute ses intrusions en compromettant des clés d’accès à long terme AWS et en exploitant les privilèges IAM associés. Une fois l’accès obtenu, il crée de nouveaux utilisateurs et élève les privilèges en attachant des politiques supplémentaires.
— Après compromission, Crimson Collective mène de la reconnaissance pour identifier des données de valeur, puis exfiltre ces informations en s’appuyant sur des services AWS. En cas de succès, les victimes reçoivent une note d’extorsion.
— Le groupe a par ailleurs revendiqué le vol de dépôts privés depuis le GitLab de Red Hat.
TTPs observés (extrait):
- Compromission de clés d’accès AWS à long terme 🔑
- Abus d’IAM: création d’utilisateurs et élévation de privilèges par attachement de politiques
- Reconnaissance des environnements pour localiser des données sensibles
- Exfiltration via des services AWS
- Extorsion post-exfiltration (envoi d’une note)
Produits/technos concernés:
- AWS (IAM, services d’exfiltration)
- GitLab (revendication liée à des dépôts privés de Red Hat)
Type d’article: analyse de menace visant à informer sur l’activité, les techniques et l’objectif du groupe Crimson Collective.
🧠 TTPs et IOCs détectés
TTPs
Compromission de clés d’accès AWS à long terme, Abus d’IAM avec création d’utilisateurs et élévation de privilèges, Reconnaissance des environnements pour localiser des données sensibles, Exfiltration via des services AWS, Extorsion post-exfiltration
IOCs
Non spécifiés dans l’analyse fournie
🔗 Source originale : https://www.rapid7.com/blog/post/tr-crimson-collective-a-new-threat-group-observed-operating-in-the-cloud/