红队APT组织利用泄露的IAM密钥劫持AWS账户实施数据窃取
💡
原文中文,约2300字,阅读约需6分钟。
📝
内容提要
Rapid7发现了一个名为Crimson Collective的新型网络犯罪组织,专门攻击亚马逊云服务(AWS),通过泄露的AWS密钥入侵系统,提升权限并窃取数据,最终发送勒索信。
🎯
关键要点
- Rapid7发现了一个名为Crimson Collective的新型网络犯罪组织,专门攻击亚马逊云服务(AWS)。
- 该组织通过泄露的AWS密钥入侵系统,窃取敏感数据并勒索受害者。
- Crimson Collective展现出对AWS云操作及身份与访问管理(IAM)机制的深刻理解。
- 攻击手法包括滥用泄露的AWS访问密钥,使用开源工具TruffleHog扫描凭证。
- 红队通过创建新的IAM用户和访问密钥来提升权限并建立持久性控制。
- 攻击者进行深度侦察,系统性枚举云资产,收集有关EC2实例、RDS数据库等信息。
- 一旦识别出有价值的资产,红队会修改RDS配置以窃取数据库内容。
- 攻击者使用AWS服务导出数据,并通过受害者的AWS基础设施发送勒索信。
- 该组织的目标是数据窃取、勒索和声誉损害,而非直接部署勒索软件。
❓
延伸问答
Crimson Collective是什么组织?
Crimson Collective是一个新型网络犯罪组织,专门攻击亚马逊云服务(AWS),窃取数据并勒索受害者。
Crimson Collective如何入侵AWS账户?
该组织通过滥用泄露的AWS访问密钥入侵系统,提升权限并窃取数据。
Crimson Collective使用了哪些工具进行攻击?
他们使用开源工具TruffleHog扫描泄露的AWS凭证,以便进行攻击。
攻击者如何提升权限并建立持久性控制?
攻击者通过创建新的IAM用户和访问密钥,确保即使原始凭证被撤销也能持续访问。
Crimson Collective的最终目标是什么?
该组织的最终目标是数据窃取、勒索和声誉损害,而非直接部署勒索软件。
红队是如何发送勒索信的?
他们通常利用受害者的AWS基础设施,通过Amazon简单电子邮件服务(SES)发送勒索信。
➡️
