Một nhóm tác nhân đe dọa mới có tên Crimson Collective đã nổi lên như một mối lo ngại an ninh đáng kể. Nhóm này nhắm vào các tổ chức sử dụng Amazon Web Services (AWS), áp dụng các kỹ thuật tinh vi để đánh cắp dữ liệu nhạy cảm và tống tiền nạn nhân. Crimson Collective thể hiện năng lực vượt trội trong việc khai thác môi trường đám mây AWS thông qua một cách tiếp cận có phương pháp bắt đầu bằng việc xâm phạm các khóa truy cập dài hạn, mở đường cho các cuộc tấn công AWS phức tạp.

Crimson Collective: Mối Đe Dọa Mạng Mới Nhắm vào AWS

Công ty an ninh mạng Rapid7 đã tài liệu hóa sự gia tăng hoạt động từ nhóm này. Rapid7 gần đây đã công bố chi tiết về các vụ việc mà nhóm nhận trách nhiệm, bao gồm việc xâm nhập vào kho lưu trữ GitLab riêng tư của Red Hat. Rapid7 đã cung cấp phân tích chuyên sâu về nhóm này.

Các nhà nghiên cứu bảo mật đã quan sát các hoạt động của nhóm qua nhiều sự cố vào tháng 9. Các quan sát này đã tiết lộ một mô hình leo thang đặc quyền và đánh cắp dữ liệu có hệ thống.

Giai đoạn Khai thác và Duy trì Truy cập ban đầu

Khai thác Thông tin xác thực ban đầu

Các tác nhân đe dọa khởi động các cuộc tấn công của họ bằng cách sử dụng TruffleHog. Đây là một công cụ bảo mật mã nguồn mở hợp pháp.

TruffleHog được thiết kế để phát hiện các thông tin xác thực AWS bị rò rỉ trong các kho mã. Mặc dù các đội bảo mật thường dùng công cụ này một cách phòng thủ để xác định các khóa truy cập bị lãng quên, Crimson Collective đã vũ khí hóa nó cho mục đích trinh sát độc hại.

Khi TruffleHog xác thực thông tin xác thực bị xâm phạm thông qua API GetCallerIdentity, những kẻ tấn công biết rằng họ có một điểm truy cập hợp lệ vào môi trường mục tiêu.

Duy trì Truy cập và Leo thang Đặc quyền

Sau khi có quyền truy cập ban đầu, nhóm thiết lập sự kiên trì bằng cách tạo tài khoản người dùng mới. Việc này được thực hiện thông qua các lệnh gọi API CreateUser và CreateLoginProfile.

Kỹ thuật này cho phép chúng duy trì quyền truy cập ngay cả khi các thông tin xác thực bị xâm phạm ban đầu được phát hiện và thu hồi.

Những kẻ tấn công liên tục cố gắng tạo người dùng trên tất cả các tài khoản bị xâm phạm. Điều này thể hiện bản chất có hệ thống trong các hoạt động của chúng.

Một khi thiết lập được chỗ đứng, Crimson Collective tập trung vào leo thang đặc quyền. Việc này được thực hiện thông qua API AttachUserPolicy.

Cụ thể, nhóm này nhắm mục tiêu vào chính sách AdministratorAccess có quyền hạn rất cao. Chính sách do AWS quản lý này cấp quyền truy cập toàn diện vào tất cả các dịch vụ và tài nguyên AWS. Điều này hiệu quả là trao cho những kẻ tấn công quyền kiểm soát hoàn toàn hạ tầng đám mây của nạn nhân. Đây là một khía cạnh nguy hiểm của các cuộc tấn công AWS.

Khám phá Hệ thống và Thu thập Dữ liệu trong các Cuộc Tấn công AWS

Khám phá Hạ tầng AWS

Giai đoạn khám phá của nhóm cho thấy sự tinh vi về kỹ thuật đáng kể. Nó bao gồm việc lập bản đồ toàn diện các thành phần hạ tầng AWS.

Họ liệt kê có hệ thống các instance EC2, volume EBS, cơ sở dữ liệu RDS, VPC, và IAM roles. Việc này được thực hiện bằng hàng chục lệnh gọi API trên nhiều dịch vụ AWS khác nhau.

Các lệnh gọi API được quan sát bao gồm:

• Identity and Access Management: ListRoles, GetUser
• Elastic Compute Cloud: DescribeHosts, DescribeInstanceTypes
• Elastic Block Store: DescribeSnapshots, DescribeVolumes
• Relational Database Service: DescribeDBInstances, DescribeDBClusters

Đặc biệt đáng lo ngại là việc trinh sát hạn mức dịch vụ Amazon SES và SMS của họ. Điều này có thể cho phép các chiến dịch lừa đảo quy mô lớn sử dụng chính hạ tầng của nạn nhân để thực hiện.

Việc liệt kê toàn diện này giúp họ xác định các mục tiêu giá trị nhất cho việc trích xuất dữ liệu, là một phần quan trọng của mọi tấn công AWS.

Thu thập và Trích xuất Dữ liệu

Giai đoạn thu thập và trích xuất dữ liệu thể hiện sự hiểu biết nâng cao của Crimson Collective về các dịch vụ AWS.

Họ nhắm mục tiêu vào các cơ sở dữ liệu RDS bằng cách sửa đổi mật khẩu người dùng chính thông qua các lệnh gọi API ModifyDBInstance. Điều này cấp quyền truy cập quản trị vào các hệ thống cơ sở dữ liệu trực tiếp.

Sau đó, họ tạo các snapshot cơ sở dữ liệu bằng cách sử dụng CreateDBSnapshot và xuất chúng sang các S3 bucket thông qua StartExportTask. Đây là bước chuẩn bị dữ liệu nhạy cảm cho việc đánh cắp.

Nhóm cũng tạo các snapshot của các volume EBS hiện có. Các volume này chứa thông tin tiềm năng có giá trị từ các máy ảo.

Họ triển khai các instance EC2 của riêng mình với các nhóm bảo mật cho phép, sử dụng các lệnh gọi API RunInstances và CreateSecurityGroup.

Các instance mới tạo này đóng vai trò là môi trường dàn dựng. Tại đây, những kẻ tấn công đính kèm các snapshot EBS bị xâm phạm thông qua các lệnh gọi AttachVolume. Điều này giúp họ truy cập dữ liệu của nạn nhân thông qua hạ tầng được kiểm soát của mình.

Để trích xuất cuối cùng, Crimson Collective tận dụng các lệnh gọi API GetObject. Điều này cho phép tải xuống dữ liệu được chọn từ các S3 bucket.

Kỹ thuật này cho phép họ lựa chọn đánh cắp thông tin có giá trị nhất. Đồng thời có thể tránh bị phát hiện thông qua việc chuyển dữ liệu hàng loạt. Đây là một phần quan trọng trong chiến lược tấn công AWS của nhóm.

Yêu cầu Tống tiền và Phương thức Hoạt động của Crimson Collective

Sau khi đánh cắp dữ liệu thành công, Crimson Collective đưa ra các yêu cầu tống tiền. Họ sử dụng nhiều kênh, bao gồm hạ tầng Amazon Simple Email Service (SES) của nạn nhân và các tài khoản email bên ngoài.

Cách tiếp cận hai kênh này làm tăng khả năng nạn nhân nhận được thông báo. Đồng thời thể hiện quyền kiểm soát của nhóm đối với các hệ thống bị xâm phạm.

An ninh hoạt động của nhóm đe dọa cho thấy một tổ chức tội phạm có tổ chức tốt hơn là các cá nhân riêng lẻ. Họ nhất quán sử dụng cùng một địa chỉ IP xuyên suốt nhiều vụ xâm phạm. Đồng thời tự gọi mình là “chúng tôi” trong các thông báo tống tiền.

Tuy nhiên, thành phần và vị trí địa lý chính xác của nhóm vẫn chưa rõ ràng đối với các nhà nghiên cứu bảo mật. Các mục tiêu chính của nhóm bao gồm cơ sở dữ liệu, kho lưu trữ dự án, và dữ liệu độc quyền. Những dữ liệu này có thể ảnh hưởng đáng kể đến hoạt động của công ty và quyền riêng tư của khách hàng.

Vụ xâm phạm thành công kho lưu trữ GitLab của Red Hat là một ví dụ minh họa phạm vi thiệt hại tiềm tàng mà những cuộc tấn công AWS này có thể gây ra cho các tổ chức phát triển phần mềm.

Biện pháp Giảm thiểu và Phòng ngừa để Tăng cường An ninh Mạng

Các chuyên gia bảo mật nhấn mạnh rằng thành công của Crimson Collective phần lớn phụ thuộc vào quản lý thông tin xác thực không đầy đủ và các cấu hình IAM quá rộng rãi.

Các tổ chức có thể giảm đáng kể bề mặt tấn công của mình bằng cách loại bỏ các khóa truy cập dài hạn. Thay vào đó, hãy sử dụng thông tin xác thực tạm thời thông qua các vai trò IAM (IAM roles).

Việc triển khai nguyên tắc đặc quyền tối thiểu (principle of least privilege) vẫn rất quan trọng. Nó giúp hạn chế tác động của việc thông tin xác thực bị xâm phạm. Đây là yếu tố then chốt để củng cố an ninh mạng trong môi trường AWS. Các biện pháp này là cần thiết để đối phó hiệu quả với các chiến dịch tấn công AWS ngày càng tinh vi.

Quản lý Đặc quyền và Thông tin xác thực

Các biện pháp chủ động nên bao gồm việc quét thường xuyên để tìm thông tin xác thực bị lộ trong các kho mã.

Việc triển khai các hạn chế địa chỉ IP cho các tài nguyên nhạy cảm cũng là một bước bảo vệ quan trọng.

Giám sát và Phát hiện Chủ động

Ngoài ra, các tổ chức nên triển khai các hệ thống giám sát và cảnh báo toàn diện. Mục tiêu là phát hiện hoạt động API đáng ngờ.

Đặc biệt là các mẫu bất thường về việc tạo người dùng, đính kèm chính sách và truy cập dữ liệu. Giám sát liên tục các nhật ký CloudTrail để tìm các chỉ báo thỏa hiệp là điều cần thiết.

Sự xuất hiện của Crimson Collective nhấn mạnh bối cảnh mối đe dọa đang phát triển mà các tổ chức cloud-native phải đối mặt. Nó cũng cho thấy tầm quan trọng cực kỳ lớn của các thực hành bảo mật đám mây mạnh mẽ.

Sự tinh vi được thể hiện bởi nhóm đe dọa này cho thấy rằng các hoạt động tội phạm mạng tập trung vào đám mây sẽ tiếp tục phát triển. Điều này đòi hỏi các tổ chức phải duy trì cảnh giác và triển khai các khuôn khổ bảo mật toàn diện để bảo vệ môi trường AWS của họ khỏi các cuộc tấn công AWS tương tự.