Crimson Collective
Crimson Collective ist eine aufstrebende Cyber-Erpressergruppe, die sich auf cloud Eindringlinge spezialisiert hat, die hauptsächlich AWS-Umgebungen ins Visier nehmen, um sensible Daten zu stehlen und die Opfer durch öffentliche Bloßstellung und Lösegeldforderungen unter Druck zu setzen.
Der Ursprung des Crimson Collective
Die Crimson Collective ist eine aufstrebende Bedrohungsgruppe, die gezielte Angriffe gegen cloud mit dem Ziel der Datenexfiltration und Erpressung durchführt. Die Gruppe erlangte erstmals Aufmerksamkeit, nachdem sie sich zu einem Angriff auf Red Hat bekannte , bei dem sie angeblich private GitLab-Repositorys stahl. Ihre Operationen spiegeln ein tiefes Verständnis der AWS-Architektur, der IAM-Konfigurationen und der cloud Dienste wider - sie nutzen diese legitimen Komponenten, um unentdeckt zu bleiben, bis die Exfiltration stattfindet.
Crimson Collective ist ein neu aufgetauchter, erpresserisch motivierter Akteur, der es auf cloud abgesehen hat und sich auf Datendiebstahl statt auf Verschlüsselung konzentriert. Die Gruppe hat sich öffentlich dazu bekannt, in eine GitLab-Instanz von Red Hat Consulting eingedrungen zu sein und einen großen Bestand an internen Repositories exfiltriert zu haben. Red Hat hat den unbefugten Zugriff auf dieses Consulting GitLab bestätigt, die sensationellen Diebstahlsvorwürfe jedoch nicht bestätigt. Open-Source-Berichte stellen eine Verbindung zwischen den Aktivitäten Crimson Collective und der systematischen Erkundung von AWS und dem Export von cloud her, was mit den Beobachtungen von Rapid7 zu den jüngsten AWS-Eingriffen übereinstimmt.
Es gibt Anzeichen für eine Zusammenarbeit oder Angleichung an breitere Cyber-Erpressungssysteme (z. B. ShinyHunters/"Scattered Lapsus$ Hunters"), obwohl die genaue operative Beziehung fließend und nicht schlüssig definiert ist.
Zielländer des Crimson Collective
Die Auswirkungen scheinen global zu sein, da sowohl US-amerikanische als auch europäische Organisationen erfasst und benachrichtigt wurden (einschließlich einer Risikoberatung der belgischen Behörde für Cybersicherheit im Zusammenhang mit dem Vorfall).
Zielbranchen des Crimson Collective
Bisher wurden in den Berichten Unternehmen mit großen cloud und wertvollem Quellcode oder Kundenartefakten namentlich genannt - vor allem Softwareanbieter und ihre Beratungsdienste. In den Medien wurden auch große Unternehmen und öffentliche Einrichtungen als angebliche Risikofaktoren erwähnt, aber diese spezifischen Behauptungen wurden von Red Hat nicht bestätigt.
Die Opfer des Crimson Collective
Auf die private GitLab-Instanz von Red Hat Consulting wurde unbefugt zugegriffen und Daten wurden kopiert. Nicht verifiziert, aber vom Akteur behauptet: massiver Repository-/CER-Diebstahl und nachgelagerte Kompromittierung von Beratungskunden.
Angriffsphasen und Aktivitäten
Die Akteure sammeln und validieren durchgesickerte langfristige AWS-Zugangsschlüssel mit TruffleHog (sichtbar über die GetCallerIdentity Aufruf und "TruffleHog" Benutzer-Agent in CloudTrail). Sie erstellen dann IAM-Benutzer (CreateUser, CreateLoginProfile, CreateAccessKey) für die Persistenz. Wenn die Erstellung fehlschlägt, prüfen sie die Berechtigungen mit SimulatePrincipalPolicy.
Sie befestigen AdministratorZugang für neue Benutzer (AttachUserPolicy) und die Umgebung umfassend inventarisieren: IAM, EC2/EBS/S3, VPC/Route53/ELB, RDS, CloudWatch/Costs, SES/SNS-Kontingente und Anwendungsinventare (eine lange Liste von Beschreiben*, Liste*und Hol* dienstübergreifende Anrufe).
Sie spinnen permissive EC2-Instanzen (RunInstances, CreateSecurityGroup) und Volumen anhängen (AttachVolume), um die kopierten Daten zur Bearbeitung oder Weitergabe zu montieren.
Sie setzen RDS-Master-Passwörter zurück (ÄndernDBInstanz), RDS-Snapshots erstellen (CreateDBSnapshot) und exportieren Sie sie in S3 (StartExportAufgabe). Sie erstellen EBS-Snapshots (CreateSnapshot) als Datenbereitstellung.
Die Exfiltration erfolgt über den Zugriff auf S3-Objekte (GetObject) und möglicherweise von EC2-Instanzen, die von Angreifern kontrolliert werden.
Die Auswirkungen sind erpresserisch: Die Opfer erhalten E-Mails (auch über den eigenen SES), in denen sie über die gestohlenen Daten informiert und zur Zahlung aufgefordert werden; der öffentliche Druck wird durch die Medien und die Veröffentlichung von Leaks durch verbündete Gruppen verstärkt.
Die Akteure sammeln und validieren durchgesickerte langfristige AWS-Zugangsschlüssel mit TruffleHog (sichtbar über die GetCallerIdentity Aufruf und "TruffleHog" Benutzer-Agent in CloudTrail). Sie erstellen dann IAM-Benutzer (CreateUser, CreateLoginProfile, CreateAccessKey) für die Persistenz. Wenn die Erstellung fehlschlägt, prüfen sie die Berechtigungen mit SimulatePrincipalPolicy.
Sie befestigen AdministratorZugang für neue Benutzer (AttachUserPolicy) und die Umgebung umfassend inventarisieren: IAM, EC2/EBS/S3, VPC/Route53/ELB, RDS, CloudWatch/Costs, SES/SNS-Kontingente und Anwendungsinventare (eine lange Liste von Beschreiben*, Liste*und Hol* dienstübergreifende Anrufe).
Sie spinnen permissive EC2-Instanzen (RunInstances, CreateSecurityGroup) und Volumen anhängen (AttachVolume), um die kopierten Daten zur Bearbeitung oder Weitergabe zu montieren.
Sie setzen RDS-Master-Passwörter zurück (ÄndernDBInstanz), RDS-Snapshots erstellen (CreateDBSnapshot) und exportieren Sie sie in S3 (StartExportAufgabe). Sie erstellen EBS-Snapshots (CreateSnapshot) als Datenbereitstellung.
Die Exfiltration erfolgt über den Zugriff auf S3-Objekte (GetObject) und möglicherweise von EC2-Instanzen, die von Angreifern kontrolliert werden.
Die Auswirkungen sind erpresserisch: Die Opfer erhalten E-Mails (auch über den eigenen SES), in denen sie über die gestohlenen Daten informiert und zur Zahlung aufgefordert werden; der öffentliche Druck wird durch die Medien und die Veröffentlichung von Leaks durch verbündete Gruppen verstärkt.
Die TTPs des Crimson Collective
Erkennen von Crimson Collective mit Vectra AI AI
Häufig gestellte Fragen
Ist das Crimson Collective eine ransomware ?
Crimson Collective ist eine Erpressergruppe, die keine ransomware zur Verschlüsselung der Daten verwendet. Ihre Haupttätigkeit ist Datendiebstahl und Erpressung ("doppelte Erpressung" ohne Schließfach).
Was ist ihr erster Schritt innerhalb von AWS?
Sie validieren durchgesickerte Langzeitschlüssel mit TruffleHog; CloudTrail zeigt GetCallerIdentity mit einem TruffleHog-Benutzer-Agenten, gefolgt von Versuchen, IAM-Benutzer und Zugriffsschlüssel zu erstellen.
Wie können sie ihre Privilegien erweitern?
Durch das Anhängen von AWS managed AdministratorZugang für neu angelegte Benutzer (AttachUserPolicy). Wenn sie blockiert sind, prüfen sie die effektiven Berechtigungen mit SimulatePrincipalPolicy.
Welche Daten sind ihnen am wichtigsten?
Live-Datenbanken (RDS), Inhalte von EBS-Volumes, S3-Buckets und Quellcode / CER-ähnliche Artefakte, die Umgebungsdetails und Zugriffstoken offenbaren (Red Hat bestätigt den Zugriff auf das beratende GitLab; der Umfang der CER-Exposition bleibt offen).
Wie werden die Daten bereitgestellt und exfiltriert?
→ RDS CreateDBSnapshot + StartExportAufgabe nach S3; EBS → CreateSnapshot dann an die vom Angreifer kontrollierte EC2 anhängen; S3 → GetObject zum direkten Greifen.
Wirken sie sich auf E-Mail/SMS aus?
Sie zählen die SES/SNS-Kontingente auf und könnten sie für Erpressungsversand oder Spam aus der Opferumgebung missbrauchen.
Welche Sofortmaßnahmen sollten wir im Verdachtsfall ergreifen?
Widerrufen Sie alle langfristigen AWS-Schlüssel; deaktivieren/rotieren Sie kompromittierte Principals; blockieren Sie die von Ihnen freigegebenen IOCs; stellen Sie vom Angreifer erstellte IAM-Benutzer und Zugriffsschlüssel unter Quarantäne; stoppen Sie In-Flight StartExportAufgabeS3-Bucket-Richtlinien sperren; forensische Schnappschüsse erstellen, dann die Datenbank-Master-Creds rotieren. (Allgemeine bewährte Verfahren, die mit den Vorfallsberichten übereinstimmen).
Wie kann man sich gegen Wiederholungsversuche wappnen?
Abschaffung langfristiger Benutzerschlüssel zugunsten kurzlebiger Rollenberechtigungen; Durchsetzung der geringsten Rechte; Einschränkung des Konsolen-/API-Zugriffs nach Quell-IP/VPC-Endpunkten; Aktivierung von GuardDuty, CloudTrail-Seeabfragen und Budget-/CUR-Anomalie-Warnungen; Scannen von Repos und Objektspeichern nach Geheimnissen (TruffleHog/GGShield u. a.) und Gate mit Pre-Commit/CI.
Stehen sie in Verbindung mit "Scattered Lapsus$ Hunters"?
Berichte deuten auf eine Koordinierung/Verbindung hin (z. B. Erpressungsverstärkung und undichte Stellen), aber die operative Tiefe ist nicht eindeutig geklärt; eher als Nachbarschaft des Ökosystems zu betrachten als als erwiesene Befehls- und Kontrollfunktion.
Ist Crimson Collective mit The Com verbunden?
Da Crimson Collective mit Scattered Lapsus$ Hunters assoziiert ist, können wir davon ausgehen, dass sie Teil ihrer größeren Gemeinschaft namens The Com sind.