Kelompok ancaman ‘Crimson Collective’ telah menargetkan lingkungan cloud AWS (Amazon Web Services) selama beberapa minggu terakhir, untuk mencuri data dan memeras perusahaan.
Para peretas mengaku bertanggung jawab atas kejadian baru-baru ini Serangan Topi Merahmengatakan bahwa mereka mengambil 570 GB data dari ribuan repositori GitLab pribadi, dan menekan perusahaan perangkat lunak tersebut untuk membayar uang tebusan.
Menyusul terungkapnya kejadian tersebut, Crimson Collective bermitra dengan Pemburu Lapsus$ yang Tersebar untuk meningkatkan tekanan pemerasan pada Red Hat.
Analisis dari para peneliti di Rapid7 memberikan lebih banyak informasi tentang aktivitas Crimson Collective, yang melibatkan kompromi kunci akses AWS jangka panjang dan akun manajemen identitas dan akses (IAM) untuk peningkatan hak istimewa.
Para penyerang menggunakan alat sumber terbuka TruffleHog untuk menemukan kredensial AWS yang terekspos. Setelah mendapatkan akses, mereka membuat pengguna IAM baru dan profil masuk melalui panggilan API dan membuat kunci akses baru.
Berikutnya adalah peningkatan hak istimewa dengan melampirkan kebijakan ‘AdministratorAccess’ ke pengguna yang baru dibuat, memberikan kontrol AWS penuh kepada Crimson Collective.

Sumber: Rapid7
Pelaku ancaman memanfaatkan tingkat akses ini untuk menghitung pengguna, instance, bucket, lokasi, cluster database, dan aplikasi, untuk merencanakan fase pengumpulan dan eksfiltrasi data.
Mereka memodifikasi kata sandi utama RDS (Relational Database Service) untuk mendapatkan akses database, membuat snapshot, dan kemudian mengekspornya ke S3 (Simple Storage Service) untuk eksfiltrasi melalui panggilan API.
Rapid7 juga mengamati cuplikan volume EBS (Elastic Block Store), diikuti dengan peluncuran instans EC2 (Elastic Compute Cloud) baru. Volume EBS kemudian dilampirkan di bawah kelompok keamanan permisif untuk memfasilitasi transfer data.
Setelah menyelesaikan langkah ini, Crimson Collective mengirimkan catatan pemerasan kepada korban melalui AWS Simple Email Service (SES) dalam lingkungan cloud yang dibobol, serta ke akun email eksternal.

Sumber: Rapid7
Para peneliti mencatat bahwa Crimson Collective menggunakan beberapa alamat IP dalam operasi pencurian datanya dan menggunakan kembali beberapa alamat IP di seluruh insiden, sehingga memudahkan pelacakan.
AWS memberi tahu BleepingComputer bahwa pelanggan harus “menggunakan kredensial jangka pendek dengan hak paling rendah dan menerapkan kebijakan IAM yang ketat.”
“Jika pelanggan mencurigai kredensial mereka telah terekspos, mereka dapat memulai dengan mengikuti langkah-langkah yang tercantum di sini pos,” kata pemasok layanan cloud. Jika pelanggan memiliki pertanyaan tentang keamanan akun mereka, mereka disarankan untuk menghubungi Dukungan AWS.
Pada bulan Januari 2025, Halcyon melaporkan tentang serangan ransomware yang menargetkan lingkungan AWS oleh pelaku ancaman bernama “Codefinger,” yang, berbeda dengan Crimson Collective, mengenkripsi bucket S3 yang ditargetkan.
Memperbarui [13:37 ET]: Artikel diperbarui dengan pernyataan dari AWS.
Untuk memitigasi serangan ini dan mencegah pelanggaran besar akibat kebocoran rahasia AWS, disarankan untuk memindai lingkungan Anda dari paparan yang tidak diketahui menggunakan alat sumber terbuka seperti Pemindai S3cretsatau lainnya.
Rapid7 mencatat bahwa ukuran dan komposisi Crimson Collective masih belum diketahui; namun, aktivitas dan taktik pemerasan kelompok ancaman tidak boleh diabaikan.
Acara Validasi Keamanan Tahun Ini: Picus BAS Summit
Bergabunglah dengan KTT Simulasi Pelanggaran dan Serangan dan mengalami masa depan validasi keamanan. Dengarkan dari pakar terkemuka dan lihat caranya BAS bertenaga AI sedang mengubah simulasi pelanggaran dan serangan.
Jangan lewatkan acara yang akan membentuk masa depan strategi keamanan Anda








