红队APT组织利用泄露的IAM密钥劫持AWS账户实施数据窃取
💡
原文中文,约2300字,阅读约需6分钟。
📝
内容提要
Rapid7发现了一个名为Crimson Collective的新型网络犯罪组织,专门攻击亚马逊云服务(AWS),通过泄露的AWS密钥入侵系统,提升权限并窃取数据,最终发送勒索信。
🎯
关键要点
- Rapid7发现了一个名为Crimson Collective的新型网络犯罪组织,专门攻击亚马逊云服务(AWS)。
- 该组织通过泄露的AWS密钥入侵系统,窃取敏感数据并勒索受害者。
- Crimson Collective展现出对AWS云操作及身份与访问管理(IAM)机制的深刻理解。
- 攻击手法包括滥用泄露的AWS访问密钥,使用开源工具TruffleHog扫描凭证。
- 红队通过创建新的IAM用户和访问密钥来提升权限并建立持久性控制。
- 攻击者进行深度侦察,系统性枚举云资产,收集有关EC2实例、RDS数据库等信息。
- 一旦识别出有价值的资产,红队会修改RDS配置以窃取数据库内容。
- 攻击者使用AWS服务导出数据,并通过受害者的AWS基础设施发送勒索信。
- 该组织的目标是数据窃取、勒索和声誉损害,而非直接部署勒索软件。
➡️
