Selon un billet référencé de GitGuardian, plusieurs organisations criminelles ont formé une coalition pour mener des attaques cloud systématiques visant des identifiants exposés, notamment AWS, avec des campagnes d’extorsion orchestrées via une nouvelle plateforme de fuites.
— Aperçu général —
- Des groupes comme Crimson Collective, ShinyHunters et Scattered Lapsus$ Hunters coordonnent des opérations d’extorsion et d’intrusion cloud.
- La campagne s’appuie sur des identifiants AWS comme vecteurs d’accès initiaux, exploitant la prolifération de secrets (secrets sprawl), en particulier dans les cabinets de conseil servant de points d’agrégation d’identifiants.
- Le contexte inclut la fuite Red Hat exposant 570 Go issus de 28 000 dépôts et affectant 800+ organisations, alimentant une exploitation en chaîne via un nouveau site de leaks. ☁️🔐
— Méthodologie d’attaque (TTPs) —
- Récolte à grande échelle de clés d’accès AWS via des outils open source.
- Persistance: création de comptes utilisateurs à privilèges.
- Découverte: inventaire de ressources (bases de données, volumes).
- Collecte: exploitation de snapshots et sauvegardes.
- Exfiltration: via buckets S3 ou instances EC2 internes.
- Ciblage explicite de crédentiels hautement privilégiés et d’IAM sur‑permissives. 🧩🪪📦📤
— Impact et portée —
- Les dépôts des cabinets de conseil contiendraient 8 à 10 fois plus de secrets que les dépôts publics, facilitant des mouvements latéraux vers des centaines d’environnements clients.
- La fuite Red Hat illustre un effet de cascade où des secrets exposés permettent un accès transversal et l’extorsion multi‑organisationnelle.
— IOCs et TTPs —
- IOCs: aucun indiqué.
- TTPs clés: récolte massive d’identifiants, création de comptes persistants à privilèges, découverte d’actifs cloud, collecte via snapshots/sauvegardes, exfiltration via S3/EC2, exploitation d’IAM mal configurées, coalition et plateforme de fuites pour l’extorsion.
Conclusion: Il s’agit d’une analyse de menace décrivant une campagne coordonnée exploitant des secrets exposés pour l’accès initial, la persistance et l’exfiltration dans des environnements cloud, avec un objectif principal d’extorsion.
🧠 TTPs et IOCs détectés
TTPs
Récolte massive d’identifiants, création de comptes persistants à privilèges, découverte d’actifs cloud, collecte via snapshots/sauvegardes, exfiltration via S3/EC2, exploitation d’IAM mal configurées, coalition et plateforme de fuites pour l’extorsion
IOCs
aucun indiqué
🔗 Source originale : https://blog.gitguardian.com/how-cybercriminal-organizations-weaponize-exposed-secrets/