İran’ın devlet destekli Fox Kitten tehdit grubu, FBI ve ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) bu hafta yaptığı açıklamada, ABD ve diğer ülkelerdeki kuruluşlara yönelik saldırılarda fidye yazılımı aktörlerini aktif olarak desteklediği konusunda uyardı.
Devam eden faaliyet, tehdit aktörünün finans, savunma, sağlık ve eğitim dahil olmak üzere birden fazla sektördeki kurban ağlarına erişimini paraya dönüştürme çabası gibi görünüyor. İki hükümet kurumunun söylediğine göre, Fox Kitten’ın ABD, İsrail ve Azerbaycan’daki kuruluşlardan hassas teknik verileri çalmaya yönelik devam eden kampanyalarından ayrıdır. ortak bir siber güvenlik danışma toplantısında Bu hafta.
İlk Erişim Brokeri
FBI ve CISA, “Grubun ABD odaklı siber faaliyetlerinin önemli bir yüzdesi, gelecekteki fidye yazılımı saldırılarını etkinleştirmek için kurban ağlarına teknik erişim elde etme ve sürdürmeyi ilerletmek içindir,” diye uyardı. “Aktörler, dünya çapında çok sayıda ağa tam etki alanı kontrol ayrıcalıklarının yanı sıra etki alanı yönetici kimlik bilgileri de sunuyor.”
Fox Kitten, farklı güvenlik sağlayıcılarının çeşitli şekillerde izlediği nispeten iyi bilinen bir tehdit aktörüdür. Öncü Yavru KediUC757, Parisit, Limon Kum Fırtınası ve Rubidyum. CrowdStrike, grubun faaliyetlerine 2017 yılında başladığına inanıyor ve muhtemelen İran hükümeti için bir yüklenici. FBI ve CISA, grubun Tahran için siber casusluk ve diğer istihbarat toplama operasyonları için bir İran şirketi olan Danesh Novin Sahand’ı kullandığını düşünüyor.
CrowdStrike, 2020’den itibaren grubun, ele geçirdiği ağlara yeraltı forumlarında erişim satmaya çalıştığını gözlemledi. Fox Kitten aktörleri muhtemelen bunu İran hükümeti sponsorlarından herhangi bir onay almadan yapıyorlardı. Fox Kitten’ın bir kurban ağına erişim elde ettiği birçok durumda, bunu bir kuruluşun İnternet’e bakan varlıklarındaki güvenlik açıklarını hedef alan istismarlar aracılığıyla yaptılar.
2021 yılında Fox Kitten’ı Rubidum olarak takip eden Microsoft, tehdit aktörünü şu şekilde tanımladı: İran devlet destekli altı gruptan biri ABD varlıklarına karşı çok çeşitli siber destekli bilgi hırsızlığı, kesinti ve yıkıcı faaliyetlerde bulundu. Bu yılın başlarında, Güvenli Fox Kitten’ı en aktif olarak tanımladığı tehdit aktörleri grubu arasında listeledi VPN güvenlik açıklarını hedefleme ve birden fazla tedarikçiden gelen diğer uzaktan erişim ürünleri.
Bu haftanın CISA-FBI duyurusunda, Fox Kitten’ın ALPHV (veya BlackCat), Ransomhouse ve NoEscape gibi fidye yazılımı türlerinin operatörlerine, toplayabilecekleri herhangi bir fidye karşılığında tehlikeye atılmış ağlara ilk erişimi sağladığı tespit edildi. Birçok durumda, İranlı tehdit grubu, kurban ağlarını şifrelemek için fidye yazılımı iştirakleriyle çalıştı ve onlarla fidye alma konusunda stratejiler geliştirdi. FBI, Fox Kitten aktörlerinin İran’daki konumlarını veya ülkeyle olan bağlarını açıklamadan fidye yazılımı aktörleriyle etkileşime girdiğini söyledi.
Eski Taktikler, Yeni Güvenlik Açıkları
Grubun son saldırılardaki ilk erişim yöntemleri her zamanki gibi aynıydı: VPN aygıtlarındaki ve kurumsal ağlardaki diğer harici olarak ifşa edilmiş hizmetlerdeki güvenlik açıklarından faydalanmak. En son olarak, Fox Kitten aktörleri CVE-2024-24919Check Point VPN’lerinde kurban ağına girmeye çalışmak için artık yamalanmış bir sıfır günlük hata. Tehdit aktörü ayrıca, CVE-2024-3400Palo Alto Networks’ün PAN-OS’unda sıfır günlük bir hata; CVE-2019-19781 Ve CVE-2023-3519 Citrix Netscaler’da; ve CVE-2022-1388 CISA ve FBI, BIG-IP F5 cihazlarında,
Fox Kitten bir ağa erişim sağladığında, ele geçirdiği sistemin türüne bağlı olarak oyun planı; oturum açma kimlik bilgilerini ele geçirmek, Web kabukları dağıtmak, sahte hesaplar oluşturmak, kötü amaçlı yazılım yüklemek, yatay hareket etmek ve ayrıcalıkları artırmaktır.
Birçok kuruluşun Fox Kitten’ın hedef aldığı bazı güvenlik açıklarını azaltmamış olması, tehdit aktörünün saldırılarında yardımcı olabilir. Örneğin, Tenable’ın gerçekleştirdiği bir analiz, Fox Kitten’ın hedef aldığı iki kusur olan CVE-2019-19781 ve CVE-2022-1388’den etkilenen tüm varlıkların neredeyse yarısının giderildiğini buldu. İnternete bağlı cihazları keşfetmek için bir arama motoru olan Shodan.io’da keşfedilebilen ilgili teknolojilerin her biri için on binlerce potansiyel olarak savunmasız cihaz olduğu göz önüne alındığında, tehdit aktörlerinin bu güvenlik açıklarını ilk erişim için kullanması şaşırtıcı değil. Tenable dedi ki Bu haftaki blog yazısında.