O Pioneer Kitten do Irã chega às redes dos EUA por meio de equipamentos com bugs da Check Point e da Palo Alto

Cibercriminosos apoiados pelo governo iraniano têm invadido redes dos EUA e estrangeiras neste mês para roubar dados confidenciais e implantar ransomware, e estão invadindo por meio de dispositivos VPN e firewall vulneráveis ​​da Check Point, Citrix, Palo Alto Networks e outros fabricantes, de acordo com o Tio Sam.

Em um comunicado de segurança conjunto emitido hoje, o Federal Bureau of Investigation (FBI), a Cybersecurity and Infrastructure Security Agency (CISA) e o Department of Defense Cyber ​​Crime Center (DC3) alertaram os defensores da rede que a Pioneer Kitten continua a explorar escolas, bancos, hospitais, organizações do setor de defesa e agências governamentais americanas, além de alvos em Israel, Azerbaijão e Emirados Árabes Unidos.

Esses ataques incluem invasões de rede para roubar dados técnicos confidenciais de empresas de defesa dos EUA, juntamente com organizações sediadas em Israel e no Azerbaijão, em apoio ao governo iraniano, segundo nos disseram.

No entanto, a maioria dos ataques contra alvos americanos tem motivação financeira e não é sancionada pelo Estado, de acordo com o FBI e amigos.

“O FBI avalia que uma porcentagem significativa das operações desses agentes de ameaças contra organizações dos EUA visam obter e desenvolver acesso à rede para então colaborar com agentes afiliados de ransomware para implantar ransomware”, diz o alerta conjunto.

Recentemente, agências federais de segurança flagraram a Pioneer Kitten (também conhecida como Fox Kitten, UNC757, Parisite, RUBIDIUM e Lemon Sandstorm) trabalhando com gangues de ransomware como serviço NoEscape, Ransomhouse e ALPHV/BlackCat.

“O envolvimento dos ciberatores iranianos nesses ataques de ransomware vai além de fornecer acesso; eles trabalham em estreita colaboração com afiliados de ransomware para bloquear redes de vítimas e elaborar estratégias sobre abordagens para extorquir vítimas”, de acordo com o Agências dos EUA. “O FBI avalia que esses atores não revelam sua localização no Irã aos seus contatos afiliados de ransomware e são intencionalmente vagos quanto à sua nacionalidade e origem.”

Este novo aviso segue-se a várias instâncias de apontar o dedo contra o Irão pelas suas atividades cibernéticas maliciosas. Na semana passada, as autoridades dos EUA chamado Irã como a provável fonte de um recente ataque de hack-and-leak contra o ex-presidente dos EUA e atual candidato Donald Trump em meio a vários relatos de equipes iranianas intensificando seus ataques. esforços de interferência eleitoral.

No início deste mês, a OpenAI baniu contas do ChatGPT ligado a uma tripulação iraniana suspeito de espalhar notícias falsas em sites de mídia social sobre as campanhas presidenciais dos EUA, e ambos Google e Microsoft alertaram sobre ataques em andamento contra candidatos de ambos os partidos políticos.

O alerta de hoje, no entanto, se concentra em uma gangue diferente apoiada pelo governo, que a CISA e o FBI dizem estar ativa desde 2017.

Gatinho Pioneiro

Em 2020, a CISA e o FBI publicaram uma aviso semelhante sobre a Pioneer Kitten invadindo uma gama igualmente ampla de setores da indústria dos EUA para roubar credenciais e outras informações confidenciais.

O grupo se refere a si mesmo como “Br0k3r” e “xplfinder” em seus sites Tor e de mídia social, e também usa uma empresa de TI iraniana, Danesh Novin Sahand, provavelmente como disfarce para suas atividades cibernéticas maliciosas.

Embora a Pioneer Kitten tenha historicamente abusado de bugs de anos em dispositivos Citrix Netscaler (CVE-2019-19781 e CVE-2023-3519) e BIG-IP F5 (CVE-2022-1388) para obter acesso inicial às organizações vítimas. Desde julho, eles têm escaneado o mecanismo de busca Shodan em busca de endereços IP que hospedam dispositivos Check Point Security Gateways que são vulneráveis ​​ao CVE-2024-24919, que o fornecedor do software alertou em junho que era sob exploração ativa.

Poucos meses antes, em abril, os federais flagraram os iranianos escaneando as VPNs vulneráveis ​​Palo Alto Networks PAN-OS e GlobalProtect. A equipe provavelmente estava realizando reconhecimento e sondando dispositivos sem patch vulneráveis ​​ao CVE-2024-3400, um falha crítica de injeção de comando que recebeu uma classificação de gravidade CVSS de 10 em 10.

Nota lateral: múltiplo existem explorações de prova de conceito para CVE-2024-3400, então se você ainda não atualizou seu firewall/VPN da Palo Alto Networks, se o Irã não estiver no seu dispositivo agora, provavelmente outra pessoa está.

Após explorar com sucesso um dispositivo vulnerável, o Pioneer Kitten realiza as atividades criminosas usuais. Eles usam webshells para roubar informações de login e manter o acesso à rede. Com as credenciais de nível de administrador roubadas, os bandidos desabilitam antivírus e outros softwares de segurança.

Eles também criam novas contas — os nomes observados incluem “sqladmin$,” “adfsservice,” “IIS_Admin,” “iis-admin,” e “John McCain” — e solicitam isenções das políticas de segurança e aplicativos de confiança zero para várias ferramentas que pretendem implantar. E então, eles instalam backdoors para carregar malware e exfiltrar dados.

No alerta conjunto do governo federal, eles incluem uma lista de endereços IP e domínios que o Pioneer Kitten tem usado este ano, então é uma boa ideia verificar a lista e então bloquear — ou pelo menos investigar — qualquer um desses endereços.

No entanto, os hackers iranianos também são conhecidos por invadir ambientes de nuvem de empresas e usar essa infraestrutura para operações de espionagem cibernética visando outras organizações.

“O FBI observou o uso dessa arte comercial contra os setores acadêmico e de defesa dos EUA, mas teoricamente poderia ser usada contra qualquer organização”, observa o alerta. “O FBI e a CISA alertam que se esses atores comprometeram sua organização, eles podem estar alavancando suas contas de serviços em nuvem para conduzir atividades cibernéticas maliciosas e atingir outras vítimas.” ®