ក្រុមគំរាមកំហែង ‘Crimson Collective’ បានកំពុងតែកំណត់គោលដៅលើ AWS (Amazon Web Services) Cloud Environments កាលពីប៉ុន្មានសប្តាហ៍មុន ដើម្បីលួចទិន្នន័យ និងចាប់ជម្រិតទារប្រាក់ក្រុមហ៊ុន។
ហេគឃ័របានថ្លែងទទួលខុសត្រូវលើការវាយប្រហារ Red Hat នាពេលថ្មីៗនេះ ដែលនិយាយថា ពួកគេបានលួចទិន្នន័យទំហំ 570GB ពី GitLab Repositories ឯកជនរាប់ពាន់ និងបានដាក់សម្ពាធលើក្រុមហ៊ុនឱ្យបង់ប្រាក់លោះ។ បន្ទាប់ពីការលាតត្រដាងពីឧប្បត្តិហេតុ ក្រុម Crimson Collective បានសហការជាមួយក្រុម Scattered Lapsus$ Hunters ដើម្បីដាក់សម្ពាធលើក្រុមហ៊ុន Red Hat។
អ្នកស្រាវជ្រាវនៅ Rapid7 ផ្តល់ព័ត៌មានបន្ថែមអំពីសកម្មភាពរបស់ក្រុម Crimson Collective ដែល ពាក់ព័ន្ធនឹងការគ្រប់គ្រងលើ Long-term AWS Access Keys និង Identity រួមទាំង Access Management (IAM) Accounts សម្រាប់បង្កើនសិទ្ធិ។ អ្នកវាយប្រហារប្រើ Open-source Tool TruffleHog ដើម្បីស្វែងរកអត្តសញ្ញាណ AWS ដែលត្រូវបានលាតត្រដាង។ បន្ទាប់ពីការចូលដំណើរការ ពួកបានគេបង្កើត IAM user ហើយធ្វើការ Login Profiles តាមរយៈ API Calls និងបង្កើត Access Keys ថ្មី។ បន្ទាប់មកបង្កើនសិទ្ធិ ដោយការភ្ជាប់ ‘AdministratorAccess’ Policy លើ Created Users ថ្មី ដែលផ្តល់សិទ្ធិឱ្យ Crimson Collective សម្រាប់គ្រប់គ្រងលើ AWS យ៉ាងពេញលេញ។
ហេគឃ័រទាញយកផលប្រយោជន៍ពីកម្រិតនៃដំណើរការនេះចូលទៅកាន់អ្នកប្រើប្រាស់, Instances, Buckets, ទីតាំង, Database Clusters និង Application ដើម្បីរៀបចំផែនការប្រមូលទិន្នន័យចេញដោយគ្មានការអនុញ្ញាត។ ពួកគេកែប្រែ RDS (Relational Database Service) Masters Passwords ដើម្បីទទួលបានដំណើរការ Database បង្កើត Snapshots បន្ទាប់មកបញ្ជូនទិន្នន័យចេញទៅកាន់ S3 (Simple Storage Service) សម្រាប់បញ្ជូនចេញតាមរយៈ API Calls។ Rapid7 ក៏បានសង្កេតឃើញ Snapshots របស់ EBS (Elastic Block Store) Volumes ក្រោយដាក់ចេញ EC2 (Elastic Compute Cloud) Instances។ បន្ទាប់មក EBS Volumes ត្រូវបានភ្ជាប់ក្រោមក្រុមសន្តិសុខដែលអនុញ្ញាត ដើម្បីជួយសម្រួលដល់ការផ្ទេរទិន្នន័យ។ បន្ទាប់ពីបញ្ចប់ដំណាក់កាលនេះ Crimson Collective ផ្ញើសារជម្រិតទារប្រាក់ទៅជនរងគ្រោះតាមរយៈ AWS Simple Email Service (SES) នៅក្នុងមជ្ឈដ្ឋាន Cloud ដែលបានលាតត្រដាង ក៏ដូចជាទៅកាន់គណនីអ៊ីម៉ែល External ផងដែរ។
អ្នកស្រាវជ្រាវកត់សម្គាល់ថា Crimson Collective បានប្រើប្រាស់អាសយដ្ឋាន IP ចម្រុះនៅក្នុងប្រតិបត្តិការលួចទិន្នន័យរបស់ពួកគេ ហើយបានប្រើ IP Address ស្ទួនគ្នាខ្លះនៅក្នុងឧប្បត្តិហេតុ ដែលធ្វើឱ្យការតាមដានមានភាពងាយស្រួល។ AWS បានប្រាប់ BleepingComputer ថា អតិថិជនគួរតែប្រើ ព័ត៌មានសម្ងាត់ដែលមានសិទ្ធិតិចតួចបំផុតនៅក្នុងរយៈពេលខ្លី និងអនុវត្តគោលនយោបាយរឹតបន្តឹង IAM ។ ប្រសិនបើអតិថិជនមានចម្ងល់អំពីសុវត្ថិភាពគណនីរបស់ពួកគេ ពួកគេត្រូវបានណែនាំឱ្យទាក់ទងទៅកាន់ផ្នែកជំនួយ AWS។ កាលពីដើមឆ្នាំ២០២៥ Halcyon បានរាយការណ៍អំពីការវាយប្រហារដោយមេរោគចាប់ជម្រិតដែលមានគោលដៅលើមជ្ឈដ្ឋាន AWS ពីសំណាក់ហេគឃ័រ Codefinger ដែលខុសពី Crimson Collective ដោយបានអ៊ីនគ្រីប S3 Buckets លើគោលដៅ។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៨ ខែតុលា ឆ្នាំ២០២៥
