Irański APT przyłapany na działaniu jako pośrednik dostępu dla ekip ransomware

cyberfeed.pl 2 miesięcy temu


Hakerzy sponsorowani przez rząd Iranu działają jako pośrednicy i brokerzy dostępu początkowego do atakowania środowisk w imieniu finansowo motywowanych gangów ransomware, w tym tak znanych marek jak ALPHV/Czarny Kotostrzega Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury Bezpieczeństwa Stanów Zjednoczonych (CISA).

W opublikowanym w tym tygodniu komunikacie CISA i jej partnerzy w organach ścigania, w tym FBI, ujawnili, iż irański zaawansowane trwałe zagrożenie Grupa cyberprzestępcza (APT), znana pod nazwami Pioneer Kitten, UNC757, Parisite, Rubidium i Lemon Sandstorm, przeprowadza złośliwe operacje cybernetyczne mające na celu wdrażanie ataków ransomware w celu uzyskania, utrzymania i rozwijania dostępu do sieci.

„Dzięki tym operacjom cyberprzestępcy mogą dalej współpracować z podmiotami stowarzyszonymi w celu dalszego wdrażania systemu ransomware” – oświadczyła CISA.

„Niniejszy komunikat opisuje działania określonej grupy irańskich cyberaktorów, którzy od 2017 r. aż do sierpnia 2024 r. przeprowadzili dużą liczbę prób włamań do sieci komputerowych przeciwko organizacjom z USA. Wśród zagrożonych organizacji znalazły się szkoły z siedzibą w USA, władze miejskie, instytucje finansowe i placówki opieki zdrowotnej”.

FBI wcześniej zaobserwowało, iż grupa ta próbuje zarabiać na dostępie do organizacji ofiar na podziemnych rynkach, a w tej chwili ocenia, iż ​​„znaczny procent” jej aktywności – przynajmniej w USA – jest ukierunkowany na sprzedaż tego dostępu rosyjskojęzycznym gangom cyberprzestępczym.

Ale teraz są dowody, iż ta relacja wydaje się być jeszcze głębsza. Rzeczywiście, władze federalne uważają teraz, iż Pioneer Kitten „współpracuje bezpośrednio” z podmiotami powiązanymi z ransomware, aby otrzymać część płatności okupu w zamian za ich pomoc.

„Ci aktorzy współpracowali z firmami powiązanymi z ransomware Bez ucieczki, Dom Ransomów„i ALPHV (znany również jako BlackCat)” – oświadczyła CISA.

„Zaangażowanie irańskich cyberprzestępców w ataki ransomware wykracza poza zapewnianie dostępu; ściśle współpracują oni z podmiotami powiązanymi z ransomware, aby blokować sieci ofiar i opracowywać strategie wymuszenia od nich pieniędzy.

„FBI ocenia, iż ​​ci aktorzy nie ujawniają swojej lokalizacji w Iranie swoim kontaktom powiązanym z ransomware i celowo nie podają dokładnej narodowości i pochodzenia”.

Utrudnianie życia kociakowi

Atak ransomware wykorzystujący robaka Pioneer Kitten zwykle zaczyna się od wykorzystania zdalnych usług zewnętrznych w zasobach dostępnych z poziomu Internetu.

W ostatnich tygodniach zaobserwowano, iż gang używa Shodan do identyfikowania adresów IP hostujących bramki bezpieczeństwa Check Point podatny na CVE-2024-24919ale wiadomo też, iż wykorzystał lukę CVE-2024-3400 w sieciach Palo Alto Networks PAN-OS i GlobalProtect VPNjak również starsze luki w zabezpieczeniach Citrix I F5 DUŻY IPZajęcie się tymi problemami powinno być priorytetem numer jeden dla zespołów ds. bezpieczeństwa w organizacjach narażonych na ryzyko.

Po pokonaniu tej pierwszej przeszkody modus operandi grupy jest w większości przypadków dość standardowy – stara się ona realizować swoje cele, przechwytując dane logowania na urządzeniach Netscaler za pośrednictwem wdrożonej powłoki internetowej, podnosi swoje uprawnienia, przechwytując lub tworząc nowe konta, często z wyjątkami od zasad zerowego zaufania, umieszcza tylne furtki do ładowania złośliwego systemu i próbuje wyłączyć oprogramowanie antywirusowe i obniżyć ustawienia zabezpieczeń. Ustawia również codzienne zadanie usługi Windows w celu zapewnienia trwałości w miarę występowania łagodzenia.

Jeśli chodzi o polecenia i kontrolę, Pioneer Kitten jest znany z używania programu zdalnego dostępu AnyDesk i umożliwiania serwerom korzystania z Windows PowerShell Web Access. Preferuje również Ligolo, narzędzie do tunelowania open source, i NGROK do tworzenia połączeń wychodzących.

Ten pełne doradztwo CISA zawiera więcej szczegółów technicznych na temat łańcucha ataków.

Czy Pioneer Kitten stał się nieuczciwy?

Co ciekawe, władze USA stwierdziły również, iż działania ransomware Pioneer Kitten mogą nie być oficjalnie sankcjonowane przez Teheran, a sami członkowie grupy – którzy używają nazwy irańskiej firmy Danesh Novin Sahand jako przykrywki dla firmy informatycznej – od czasu do czasu wyrażali obawy, iż irański rząd może monitorować ich działania związane z praniem pieniędzy.

Oficjalnym zadaniem Pioneer Kitten, jak twierdzi CISA, wydaje się być prowadzenie kampanii hakerskich i wycieków, kradzież danych i ich publikowanie, nie w celu zarabiania pieniędzy, ale w celu osłabienia ofiar jako części irańskich operacji informacyjnych. Wydaje się, iż ta działalność była w dużej mierze skupiona na ofiarach w Izraelu i innych regionalnych mocarstwach interesujących Iran, w tym Azerbejdżanie i Zjednoczonych Emiratach Arabskich.



Source link

Idź do oryginalnego materiału