Source: Rapid7 Labs — Rapid7 présente l’observation d’un nouveau groupe de menace, « Crimson Collective », actif contre des environnements AWS avec un objectif d’exfiltration de données suivie d’extorsion. Le groupe revendique notamment une attaque contre Red Hat, affirmant avoir dérobé des dépôts GitLab privés.

🚨 Nature de l’attaque: le groupe exploite des clés d’accès long-terme AWS divulguées, s’authentifie (via l’UA TruffleHog), puis tente d’établir une persistance en créant des utilisateurs IAM et des clés d’accès. Lorsque possible, il attache la politique AdministratorAccess pour obtenir un contrôle total. Dans les comptes moins privilégiés, il teste l’étendue des permissions via SimulatePrincipalPolicy.

🕵️ Découverte et cartographie: une fois administrateur, le groupe dresse un inventaire poussé de l’infrastructure via CloudTrail/API (EC2, EBS, VPC, RDS, S3, SES/SMS quotas, coûts/usage, IAM rôles et identités, alarmes). Des appels typiques observés incluent: IAM (ListRoles, GetUser), EC2/EBS (DescribeInstances, DescribeSnapshots), S3 (ListBuckets), RDS, CloudWatch/Cost Explorer, et messagerie (SES/SMS).

📦 Exfiltration de données: sur RDS, le groupe modifie le mot de passe du master (ModifyDBInstance), crée des snapshots (CreateDBSnapshot) puis les exporte vers S3 (StartExportTask). Il crée aussi des snapshots EBS, déploie ses propres instances EC2 et groupes de sécurité permissifs, attache les volumes (AttachVolume) et récupère/transpose les données. L’exfiltration S3 est effectuée via GetObject sur les buckets accessibles. En cas de succès, une note d’extorsion est envoyée, y compris via Amazon SES du compte victime et une adresse externe.

✉️ Extorsion: le message informe la victime de l’étendue des données exfiltrées; le groupe se désigne au pluriel (« nous »), et des IPs récurrentes sont partagées entre les cas observés.

IOC (Indicateurs réseau)

  • 45.148.10[.]141
  • 195.201.175[.]210
  • 5.9.108[.]250
  • 3.215.23[.]185

MITRE ATT&CK TTPs

  • T1078.004 — Valid Accounts: Cloud Accounts
  • T1136.003 — Create Account: Cloud Account
  • T1578.001 — Modify Cloud Compute Infrastructure: Create Snapshot
  • T1578.002 — Modify Cloud Compute Infrastructure: Create Cloud Instance
  • T1578.005 — Modify Cloud Compute Infrastructure: Modify Cloud Compute Configurations
  • T1087.004 — Account Discovery: Cloud Account
  • T1069.003 — Permission Groups Discovery: Cloud Groups
  • T1580 — Cloud Infrastructure Discovery
  • T1526 — Cloud Service Discovery
  • T1619 — Cloud Storage Object Discovery
  • T1021.007 — Remote Services: Cloud Services
  • T1530 — Data from Cloud Storage
  • T1074.002 — Data Staged: Remote Data Staging
  • T1213.003 — Data from Information Repositories: Code Repositories
  • T1567 — Exfiltration Over Web Service

Il s’agit d’une analyse technique et d’une analyse de menace visant à documenter les modes opératoires, l’infrastructure et les indicateurs associés au groupe « Crimson Collective ».

🧠 TTPs et IOCs détectés

TTP

[‘T1078.004 — Valid Accounts: Cloud Accounts’, ‘T1136.003 — Create Account: Cloud Account’, ‘T1578.001 — Modify Cloud Compute Infrastructure: Create Snapshot’, ‘T1578.002 — Modify Cloud Compute Infrastructure: Create Cloud Instance’, ‘T1578.005 — Modify Cloud Compute Infrastructure: Modify Cloud Compute Configurations’, ‘T1087.004 — Account Discovery: Cloud Account’, ‘T1069.003 — Permission Groups Discovery: Cloud Groups’, ‘T1580 — Cloud Infrastructure Discovery’, ‘T1526 — Cloud Service Discovery’, ‘T1619 — Cloud Storage Object Discovery’, ‘T1021.007 — Remote Services: Cloud Services’, ‘T1530 — Data from Cloud Storage’, ‘T1074.002 — Data Staged: Remote Data Staging’, ‘T1213.003 — Data from Information Repositories: Code Repositories’, ‘T1567 — Exfiltration Over Web Service’]

IOC

[‘45.148.10[.]141’, ‘195.201.175[.]210’, ‘5.9.108[.]250’, ‘3.215.23[.]185’]

🔗 Source originale : https://www.rapid7.com/blog/post/tr-crimson-collective-a-new-threat-group-observed-operating-in-the-cloud/