IAM

Source: Rapid7 Labs — Rapid7 présente l’observation d’un nouveau groupe de menace, « Crimson Collective », actif contre des environnements AWS avec un objectif d’exfiltration de données suivie d’extorsion. Le groupe revendique notamment une attaque contre Red Hat, affirmant avoir dérobé des dépôts GitLab privés. 🚨 Nature de l’attaque: le groupe exploite des clés d’accès long-terme AWS divulguées, s’authentifie (via l’UA TruffleHog), puis tente d’établir une persistance en créant des utilisateurs IAM et des clés d’accès. Lorsque possible, il attache la politique AdministratorAccess pour obtenir un contrôle total. Dans les comptes moins privilégiés, il teste l’étendue des permissions via SimulatePrincipalPolicy. ...

Selon Rapid7, un nouveau groupe de menace baptisé « Crimson Collective » intensifie ses attaques contre des environnements cloud AWS, avec deux cas observés en septembre. — Le groupe débute ses intrusions en compromettant des clés d’accès à long terme AWS et en exploitant les privilèges IAM associés. Une fois l’accès obtenu, il crée de nouveaux utilisateurs et élève les privilèges en attachant des politiques supplémentaires. — Après compromission, Crimson Collective mène de la reconnaissance pour identifier des données de valeur, puis exfiltre ces informations en s’appuyant sur des services AWS. En cas de succès, les victimes reçoivent une note d’extorsion. ...

Selon Varonis (référence citée), Salesforce introduit une nouvelle fonctionnalité d’API Access Control visant à contrer les attaques de phishing OAuth en imposant une pré-approbation administrative des applications connectées. Cette évolution marque un passage d’une posture réactive à une gouvernance proactive de la sécurité SaaS. Au niveau opérationnel, la fonction bloque par défaut les applications non gérées 🚫, applique des restrictions d’accès au niveau utilisateur (principe du moindre privilège) et instaure des processus manuels de validation de confiance. L’objectif est de réduire la surface d’attaque en contrôlant quelles applications peuvent se connecter à l’environnement Salesforce et en limitant finement les permissions. ...