“Crimson Collective เจาะระบบ AWS ด้วย TruffleHog — ขโมยข้อมูล 570GB จาก Red Hat และเริ่มขยายเป้าหมายสู่คลาวด์ทั่วโลก”
กลุ่มแฮกเกอร์ Crimson Collective ซึ่งเคยสร้างความเสียหายครั้งใหญ่ให้กับ Red Hat ด้วยการขโมยข้อมูลกว่า 570GB จาก GitLab repository ภายในองค์กร กำลังขยายเป้าหมายไปยังระบบคลาวด์ของ Amazon Web Services (AWS) โดยใช้เครื่องมือโอเพ่นซอร์สชื่อ TruffleHog ในการค้นหาคีย์ลับและข้อมูลรับรองที่หลุดจากโค้ดหรือ repository สาธารณะ
เมื่อได้ข้อมูลรับรองของ AWS แล้ว กลุ่มนี้จะใช้ API เพื่อสร้าง IAM users และ access keys ใหม่ พร้อมแนบ policy ระดับสูงอย่าง AdministratorAccess เพื่อยกระดับสิทธิ์ จากนั้นจะทำการสำรวจโครงสร้างระบบของเหยื่อ เช่น EC2, S3, RDS และ EBS เพื่อวางแผนการขโมยข้อมูลและการเรียกค่าไถ่
ในกรณีของ Red Hat ข้อมูลที่ถูกขโมยรวมถึง Customer Engagement Records (CER) จำนวน 800 รายการ ซึ่งเป็นเอกสารภายในที่มีข้อมูลโครงสร้างระบบของลูกค้า เช่น network architecture, system configuration, credentials และคำแนะนำในการแก้ปัญหา
นักวิจัยจาก Rapid7 พบว่า Crimson Collective ใช้หลาย IP address และมีการ reuse บาง IP ในหลายเหตุการณ์ ทำให้สามารถติดตามพฤติกรรมได้บางส่วน นอกจากนี้ยังมีการส่งอีเมลเรียกค่าไถ่ผ่านระบบ AWS Simple Email Service (SES) ภายในบัญชีที่ถูกเจาะ
AWS แนะนำให้ผู้ใช้ใช้ credentials แบบ short-term และ least privilege พร้อมตั้ง IAM policy ที่จำกัดสิทธิ์อย่างเข้มงวด และหากสงสัยว่าข้อมูลรับรองอาจหลุด ควรดำเนินการตามขั้นตอนที่ AWS แนะนำทันที
ข้อมูลสำคัญจากข่าว
Crimson Collective ขโมยข้อมูล 570GB จาก Red Hat โดยใช้ TruffleHog
ข้อมูลที่ถูกขโมยรวมถึง 800 CER ที่มีข้อมูลโครงสร้างระบบของลูกค้า
กลุ่มนี้ขยายเป้าหมายไปยัง AWS โดยใช้ credentials ที่หลุดจาก repository
ใช้ API สร้าง IAM users และ access keys พร้อมแนบ AdministratorAccess
สำรวจ EC2, S3, RDS, EBS เพื่อวางแผนการขโมยข้อมูล
ส่งอีเมลเรียกค่าไถ่ผ่าน AWS SES ภายในบัญชีที่ถูกเจาะ
Rapid7 พบการใช้หลาย IP และการ reuse IP ในหลายเหตุการณ์
AWS แนะนำให้ใช้ credentials แบบ short-term และ least privilege
หากสงสัยว่าข้อมูลหลุด ควรดำเนินการตามขั้นตอนที่ AWS แนะนำ
ข้อมูลเสริมจากภายนอก
TruffleHog เป็นเครื่องมือโอเพ่นซอร์สที่ใช้ค้นหาคีย์ลับในโค้ดและ repository
IAM (Identity and Access Management) เป็นระบบจัดการสิทธิ์ใน AWS
AdministratorAccess เป็น policy ที่ให้สิทธิ์เต็มรูปแบบในบัญชี AWS
CER ของ Red Hat มักมีข้อมูลละเอียดที่ใช้ในการให้คำปรึกษาแก่ลูกค้าองค์กร
การใช้ SES ภายในบัญชีที่ถูกเจาะช่วยให้แฮกเกอร์ส่งอีเมลได้โดยไม่ถูกบล็อก
https://www.techradar.com/pro/security/red-hat-hackers-crimson-collective-are-now-going-after-aws-instances
กลุ่มแฮกเกอร์ Crimson Collective ซึ่งเคยสร้างความเสียหายครั้งใหญ่ให้กับ Red Hat ด้วยการขโมยข้อมูลกว่า 570GB จาก GitLab repository ภายในองค์กร กำลังขยายเป้าหมายไปยังระบบคลาวด์ของ Amazon Web Services (AWS) โดยใช้เครื่องมือโอเพ่นซอร์สชื่อ TruffleHog ในการค้นหาคีย์ลับและข้อมูลรับรองที่หลุดจากโค้ดหรือ repository สาธารณะ
เมื่อได้ข้อมูลรับรองของ AWS แล้ว กลุ่มนี้จะใช้ API เพื่อสร้าง IAM users และ access keys ใหม่ พร้อมแนบ policy ระดับสูงอย่าง AdministratorAccess เพื่อยกระดับสิทธิ์ จากนั้นจะทำการสำรวจโครงสร้างระบบของเหยื่อ เช่น EC2, S3, RDS และ EBS เพื่อวางแผนการขโมยข้อมูลและการเรียกค่าไถ่
ในกรณีของ Red Hat ข้อมูลที่ถูกขโมยรวมถึง Customer Engagement Records (CER) จำนวน 800 รายการ ซึ่งเป็นเอกสารภายในที่มีข้อมูลโครงสร้างระบบของลูกค้า เช่น network architecture, system configuration, credentials และคำแนะนำในการแก้ปัญหา
นักวิจัยจาก Rapid7 พบว่า Crimson Collective ใช้หลาย IP address และมีการ reuse บาง IP ในหลายเหตุการณ์ ทำให้สามารถติดตามพฤติกรรมได้บางส่วน นอกจากนี้ยังมีการส่งอีเมลเรียกค่าไถ่ผ่านระบบ AWS Simple Email Service (SES) ภายในบัญชีที่ถูกเจาะ
AWS แนะนำให้ผู้ใช้ใช้ credentials แบบ short-term และ least privilege พร้อมตั้ง IAM policy ที่จำกัดสิทธิ์อย่างเข้มงวด และหากสงสัยว่าข้อมูลรับรองอาจหลุด ควรดำเนินการตามขั้นตอนที่ AWS แนะนำทันที
ข้อมูลสำคัญจากข่าว
Crimson Collective ขโมยข้อมูล 570GB จาก Red Hat โดยใช้ TruffleHog
ข้อมูลที่ถูกขโมยรวมถึง 800 CER ที่มีข้อมูลโครงสร้างระบบของลูกค้า
กลุ่มนี้ขยายเป้าหมายไปยัง AWS โดยใช้ credentials ที่หลุดจาก repository
ใช้ API สร้าง IAM users และ access keys พร้อมแนบ AdministratorAccess
สำรวจ EC2, S3, RDS, EBS เพื่อวางแผนการขโมยข้อมูล
ส่งอีเมลเรียกค่าไถ่ผ่าน AWS SES ภายในบัญชีที่ถูกเจาะ
Rapid7 พบการใช้หลาย IP และการ reuse IP ในหลายเหตุการณ์
AWS แนะนำให้ใช้ credentials แบบ short-term และ least privilege
หากสงสัยว่าข้อมูลหลุด ควรดำเนินการตามขั้นตอนที่ AWS แนะนำ
ข้อมูลเสริมจากภายนอก
TruffleHog เป็นเครื่องมือโอเพ่นซอร์สที่ใช้ค้นหาคีย์ลับในโค้ดและ repository
IAM (Identity and Access Management) เป็นระบบจัดการสิทธิ์ใน AWS
AdministratorAccess เป็น policy ที่ให้สิทธิ์เต็มรูปแบบในบัญชี AWS
CER ของ Red Hat มักมีข้อมูลละเอียดที่ใช้ในการให้คำปรึกษาแก่ลูกค้าองค์กร
การใช้ SES ภายในบัญชีที่ถูกเจาะช่วยให้แฮกเกอร์ส่งอีเมลได้โดยไม่ถูกบล็อก
https://www.techradar.com/pro/security/red-hat-hackers-crimson-collective-are-now-going-after-aws-instances
🛡️ “Crimson Collective เจาะระบบ AWS ด้วย TruffleHog — ขโมยข้อมูล 570GB จาก Red Hat และเริ่มขยายเป้าหมายสู่คลาวด์ทั่วโลก”
กลุ่มแฮกเกอร์ Crimson Collective ซึ่งเคยสร้างความเสียหายครั้งใหญ่ให้กับ Red Hat ด้วยการขโมยข้อมูลกว่า 570GB จาก GitLab repository ภายในองค์กร กำลังขยายเป้าหมายไปยังระบบคลาวด์ของ Amazon Web Services (AWS) โดยใช้เครื่องมือโอเพ่นซอร์สชื่อ TruffleHog ในการค้นหาคีย์ลับและข้อมูลรับรองที่หลุดจากโค้ดหรือ repository สาธารณะ
เมื่อได้ข้อมูลรับรองของ AWS แล้ว กลุ่มนี้จะใช้ API เพื่อสร้าง IAM users และ access keys ใหม่ พร้อมแนบ policy ระดับสูงอย่าง AdministratorAccess เพื่อยกระดับสิทธิ์ จากนั้นจะทำการสำรวจโครงสร้างระบบของเหยื่อ เช่น EC2, S3, RDS และ EBS เพื่อวางแผนการขโมยข้อมูลและการเรียกค่าไถ่
ในกรณีของ Red Hat ข้อมูลที่ถูกขโมยรวมถึง Customer Engagement Records (CER) จำนวน 800 รายการ ซึ่งเป็นเอกสารภายในที่มีข้อมูลโครงสร้างระบบของลูกค้า เช่น network architecture, system configuration, credentials และคำแนะนำในการแก้ปัญหา
นักวิจัยจาก Rapid7 พบว่า Crimson Collective ใช้หลาย IP address และมีการ reuse บาง IP ในหลายเหตุการณ์ ทำให้สามารถติดตามพฤติกรรมได้บางส่วน นอกจากนี้ยังมีการส่งอีเมลเรียกค่าไถ่ผ่านระบบ AWS Simple Email Service (SES) ภายในบัญชีที่ถูกเจาะ
AWS แนะนำให้ผู้ใช้ใช้ credentials แบบ short-term และ least privilege พร้อมตั้ง IAM policy ที่จำกัดสิทธิ์อย่างเข้มงวด และหากสงสัยว่าข้อมูลรับรองอาจหลุด ควรดำเนินการตามขั้นตอนที่ AWS แนะนำทันที
✅ ข้อมูลสำคัญจากข่าว
➡️ Crimson Collective ขโมยข้อมูล 570GB จาก Red Hat โดยใช้ TruffleHog
➡️ ข้อมูลที่ถูกขโมยรวมถึง 800 CER ที่มีข้อมูลโครงสร้างระบบของลูกค้า
➡️ กลุ่มนี้ขยายเป้าหมายไปยัง AWS โดยใช้ credentials ที่หลุดจาก repository
➡️ ใช้ API สร้าง IAM users และ access keys พร้อมแนบ AdministratorAccess
➡️ สำรวจ EC2, S3, RDS, EBS เพื่อวางแผนการขโมยข้อมูล
➡️ ส่งอีเมลเรียกค่าไถ่ผ่าน AWS SES ภายในบัญชีที่ถูกเจาะ
➡️ Rapid7 พบการใช้หลาย IP และการ reuse IP ในหลายเหตุการณ์
➡️ AWS แนะนำให้ใช้ credentials แบบ short-term และ least privilege
➡️ หากสงสัยว่าข้อมูลหลุด ควรดำเนินการตามขั้นตอนที่ AWS แนะนำ
✅ ข้อมูลเสริมจากภายนอก
➡️ TruffleHog เป็นเครื่องมือโอเพ่นซอร์สที่ใช้ค้นหาคีย์ลับในโค้ดและ repository
➡️ IAM (Identity and Access Management) เป็นระบบจัดการสิทธิ์ใน AWS
➡️ AdministratorAccess เป็น policy ที่ให้สิทธิ์เต็มรูปแบบในบัญชี AWS
➡️ CER ของ Red Hat มักมีข้อมูลละเอียดที่ใช้ในการให้คำปรึกษาแก่ลูกค้าองค์กร
➡️ การใช้ SES ภายในบัญชีที่ถูกเจาะช่วยให้แฮกเกอร์ส่งอีเมลได้โดยไม่ถูกบล็อก
https://www.techradar.com/pro/security/red-hat-hackers-crimson-collective-are-now-going-after-aws-instances
0 Comments
0 Shares
49 Views
0 Reviews
Thai