Pioneer Kitten APT

До Mezo през Усъвършенствана постоянна заплаха (APT)г

Превод на:

Pioneer Kitten, група за усъвършенствана постоянна заплаха (APT), се превърна в огромна сила в подземния кибер свят. Подкрепена от иранското правителство, тази група работи като критичен посредник и брокер за първоначален достъп, улеснявайки атаките с ransomware в световен мащаб. С връзки с някои от най-известните банди за рансъмуер, дейностите на Pioneer Kitten подчертават нарастващата пресечна точка между спонсорираното от държавата хакерство и финансово мотивираната киберпрестъпност.

Съдържание

Възходът на Pioneer Kitten APT

Pioneer Kitten, известен също с различни псевдоними като UNC757, Parisite, Rubidium и Lemon Sandstorm, е на радара на експертите по киберсигурност и правоприлагащите органи от 2017 г. Първоначално признат за постоянните си опити за проникване в мрежата, насочени към американски организации, групата оттогава разшири дейността си, превръщайки се в решаващ играч в глобалната екосистема на ransomware.

Спонсорирана от държавата киберпрестъпност

Действайки под егидата на иранското правителство, основната мисия на Pioneer Kitten изглежда е да подкрепя геополитическите цели на Иран чрез кибер шпионаж и разрушителни атаки. Въпреки това, последните развития показват преминаване към монетизация, като групата все повече си сътрудничи с финансово мотивирани банди за рансъмуер.

Начин на действие: От първоначален достъп до внедряване на Ransomware

Операциите на Pioneer Kitten обикновено започват с използване на уязвимости в отдалечени външни услуги. Групата е особено умела в идентифицирането и насочването към интернет активи, използвайки инструменти като Shodan за локализиране на уязвими системи. Скорошните експлойти включват уязвимости в популярни шлюзове за сигурност и VPN, като системите PAN-OS на Palo Alto Networks и Citrix.

Използване на уязвимости

След като бъде идентифицирана входна точка, Pioneer Kitten използва web shells, за да улови идентификационни данни за влизане и да повиши привилегиите. Групата е известна със своя методичен подход, често създавайки или отвличайки акаунти, заобикаляйки политиките за нулево доверие и създавайки задни вратички за непрекъснат достъп. Техните дейности включват също така деактивиране на софтуера против злонамерен софтуер и понижаване на настройките за сигурност, за да се улесни внедряването на злонамерен софтуер.

Техники за командване и контрол

Pioneer Kitten използва различни инструменти за поддържане на контрол над компрометирани мрежи. Те включват AnyDesk за отдалечен достъп, PowerShell Web Access за изпълнение на команди и инструменти за тунелиране като Ligolo и NGROK за създаване на изходящи връзки. Тези инструменти позволяват на групата да поддържа постоянно присъствие в мрежите на жертвите, което им позволява да разположат рансъмуер в подходящ момент.

Сътрудничество с Ransomware Gangs

Неговото дълбоко сътрудничество с филиали на ransomware отличава Pioneer Kitten от другите APT групи. Според ФБР и CISA, групата не само продава достъп до компрометирани мрежи на подземни пазари, но също така директно подпомага операциите на ransomware. Това сътрудничество се простира до добре известни групи за рансъмуер като ALPHV (BlackCat), NoEscape и RansomHouse.

Финансови мотиви и споделяне на приходите

Участието на Pioneer Kitten в атаките на ransomware надхвърля обикновеното посредничество за достъп. Групата работи в тясно сътрудничество с филиали на ransomware, за да осигури успешно изнудване, като получава дял от плащанията на откупа като компенсация за усилията си. Този бизнес модел подчертава все по-размитите линии между държавно спонсорираните кибероперации и финансово мотивираните киберпрестъпления.

Геополитически последици

Дейностите на Pioneer Kitten имат значителни геополитически последици, особено в контекста на отношенията между САЩ и Иран. Операциите на групата са част от по-широка стратегия на Иран за проектиране на власт и влияние чрез киберпространството. Въпреки това участието им в атаки с ransomware срещу американски организации повдига въпроси относно степента на контрол на Техеран върху своите кибероператори.

Измамнически операции?

Интересното е, че властите на САЩ предполагат, че дейностите на Pioneer Kitten с ransomware може да не са официално санкционирани от иранското правителство. Съобщава се, че групата работи под прикритието на ИТ компания на име Danesh Novin Sahand, но има опасения сред нейните членове относно потенциален правителствен контрол върху техните финансови дейности. Тази неяснота повдига възможността Pioneer Kitten да работи с известна степен на автономност, балансирайки държавните директиви с техните финансови интереси.

Pioneer Kitten представлява нова порода APT групи, които безпроблемно съчетават спонсорирани от държавата цели с престъпни предприятия. Тяхната еволюция от шпионаж до активно участие в атаки с ransomware подчертава нарастващата сложност на пейзажа на киберзаплахите. Докато организациите продължават да се борят с тези сложни заплахи, разбирането на тактиките, техниките и мотивацията на групи като Pioneer Kitten е от решаващо значение за разработването на ефективна защита на киберсигурността.