APT: “Pioneer Kitten” vende acesso à redes corporativas
O APT com sede no Irã se infiltrou em várias VPNs usando ferramentas de código aberto e explorações conhecidas.
Um grupo APT conhecido como Pioneer Kitten, ligado ao Irã, foi flagrado vendendo credenciais de rede corporativa em fóruns de hackers. As credenciais permitiriam que outros grupos cibercriminosos e APTs executassem ciberespionagem e outras atividades cibernéticas nefastas.
Pioneer Kitten é um grupo de hackers especializado em se infiltrar em redes corporativas usando ferramentas de código aberto para comprometer serviços externos remotos. Os pesquisadores observaram um ator associado ao grupo anunciando acesso a redes comprometidas em um fórum clandestino em julho, de acordo com uma postagem de blog de Alex Orleans, analista sênior de inteligência da CrowdStrike Intelligence.
O trabalho do Pioneer Kitten está relacionado a outros grupos patrocinados ou administrados pelo governo iraniano, que antes eram vistos hackeando VPNs e plantando backdoors em empresas ao redor do mundo.
De fato, as vendas de credenciais em fóruns de hackers parecem sugerir “uma tentativa potencial de diversificação do fluxo de receita” para complementar “suas intrusões direcionadas em apoio ao governo iraniano”, escreveu Orleans. No entanto, o Pioneer Kitten, que existe desde 2017, não parece ser operado diretamente pelo governo iraniano, mas é bastante simpático ao regime e provavelmente um empreiteiro privado, observou Orleans.
O principal modo de operações do Pioneer Kitten é sua confiança no tunelamento SSH, usando ferramentas de código aberto como o Ngrok e uma ferramenta personalizada chamada SSHMinion, escreveu ele. O grupo usa essas ferramentas para se comunicar “com implantes e atividades de teclado via Remote Desktop Protocol (RDP)” para explorar vulnerabilidades em VPNs e aparelhos de rede para fazer o trabalho sujo, explicou Orleans.
CrowdStrike observou o grupo aproveitando vários exploits críticos em particular – CVE-2019-11510 , CVE-2019-19781 e, mais recentemente, CVE-2020-5902 . Todos os três são exploits que afetam VPNs e equipamentos de rede, incluindo VPNs corporativos Pulse Secure “Connect”, servidores Citrix e gateways de rede e balanceadores de carga F5 Networks BIG-IP, respectivamente.
Os alvos da Pioneer Kitten são organizações norte-americanas e israelenses em vários setores que representam algum tipo de interesse de inteligência para o governo iraniano, de acordo com CrowdStrike. Os setores-alvo variam e incluem tecnologia, governo, defesa, saúde, aviação, mídia, acadêmica, engenharia, consultoria e serviços profissionais, química, manufatura, serviços financeiros, seguros e varejo.
Embora não seja tão conhecido ou difundido em sua atividade como outras ameaças de estado-nação, como China e Rússia, o Irã emergiu nos últimos anos como um formidável ciberinimigo, reunindo uma série de APTs para montar ataques contra seus adversários políticos.
Destes, Charming Kitten – que também atende pelos nomes APT35, Ajax ou Phosphorus – parece ser o mais ativo e perigoso, enquanto outros com nomes semelhantes parecem ser spin-offs ou grupos de apoio. O Irã em geral parece estar aumentando sua atividade cibernética recentemente. O relatório de CrowdStrike na verdade vem na esteira da notícia de que Charming Kitten também ressurgiu recentemente. Uma nova campanha está usando o LinkedIn e o WhatsApp para convencer os alvos – incluindo acadêmicos israelenses e funcionários do governo dos Estados Unidos – a clicar em um link malicioso que pode roubar credenciais.
Em operação desde 2014, o Charming Kitten é conhecido por ataques com motivação política e engenharia social e costuma usar o phishing como seu ataque preferido. Os alvos da APT, que usa engenhosa engenharia social para prender as vítimas, são contas de e-mail vinculadas à campanha de reeleição Trump 2020 e figuras públicas e ativistas de direitos humanos , entre outros.
Fonte: https://threatpost.com/pioneer-kitten-apt-sells-corporate-network-access/158833/