Pioneer Kitten APT

Autorius Mezo, Išplėstinė nuolatinė grėsmė (APT)

Versti į:

„Pioneer Kitten“, „Advanced Persistent Threat“ (APT) grupė, pasirodė kaip didžiulė jėga kibernetiniame požeminiame pasaulyje. Ši grupė, remiama Irano vyriausybės, veikia kaip svarbus tarpininkas ir pradinis prieigos tarpininkas, palengvinantis išpirkos reikalaujančių programų atakas visame pasaulyje. Dėl ryšių su kai kuriomis žinomiausiomis išpirkos reikalaujančiomis gaujomis, Pioneer Kitten veikla pabrėžia didėjantį valstybės remiamo įsilaužimo ir finansiškai motyvuotų elektroninių nusikaltimų sankirtą.

Turinys

Pionieriaus kačiuko kilimas APT

The Pioneer Kitten, taip pat žinomas įvairiais slapyvardžiais, tokiais kaip UNC757, Parisite, Rubidium ir Lemon Sandstorm, nuo 2017 m. buvo kibernetinio saugumo ekspertų ir teisėsaugos agentūrų radaras. Iš pradžių buvo pripažinta dėl nuolatinių bandymų įsilaužti į tinklą, nukreiptą prieš JAV organizacijas. nuo to laiko išplėtė savo veiklą ir tapo itin svarbiu pasaulinės išpirkos reikalaujančios programinės įrangos ekosistemos žaidėju.

Valstybės remiamas elektroninis nusikaltimas

Panašu, kad Irano vyriausybei globojamo Pioneer Kitten pagrindinė misija yra remti Irano geopolitinius tikslus per kibernetinį šnipinėjimą ir ardomąsias atakas. Tačiau naujausi įvykiai rodo perėjimą prie pajamų gavimo, o grupė vis dažniau bendradarbiauja su finansiškai motyvuotomis išpirkos programų gaujomis.

Modus Operandi: nuo pradinės prieigos iki Ransomware diegimo

„Pioneer Kitten“ veikla paprastai prasideda nuo nuotolinių išorinių paslaugų pažeidžiamumo išnaudojimo. Grupė ypač gerai identifikavo ir nukreipė į internetą nukreiptą turtą, naudodama tokius įrankius kaip Shodan, kad nustatytų pažeidžiamas sistemas. Naujausi išnaudojimai apima populiarių saugos šliuzų ir VPN, pvz., „Palo Alto Networks PAN-OS“ ir „Citrix“ sistemų, spragas.

Pažeidžiamumų išnaudojimas

Nustačius įėjimo tašką, Pioneer Kitten naudoja žiniatinklio apvalkalus, kad užfiksuotų prisijungimo duomenis ir padidintų privilegijas. Grupė yra žinoma dėl savo metodiško požiūrio, dažnai kuriant ar užgrobiant paskyras, apeinant nulinio pasitikėjimo politiką ir sukuriant užpakalines duris nuolatinei prieigai. Jų veikla taip pat apima apsaugos nuo kenkėjiškų programų programinės įrangos išjungimą ir saugos nustatymų mažinimą, kad būtų lengviau įdiegti kenkėjiškas programas.

Valdymo ir valdymo metodai

„Pioneer Kitten“ naudoja įvairius įrankius, leidžiančius valdyti pažeistus tinklus. Tai apima „AnyDesk“, skirtą nuotolinei prieigai, „PowerShell Web Access“, skirtą komandoms vykdyti, ir tuneliavimo įrankius, tokius kaip „Ligolo“ ir „NGROK“, skirtus išeinantiems ryšiams kurti. Šie įrankiai leidžia grupei nuolat būti aukų tinkluose, leidžiant jiems tinkamu momentu įdiegti išpirkos reikalaujančią programinę įrangą.

Bendradarbiavimas su Ransomware Gangs

Gilus bendradarbiavimas su išpirkos programinės įrangos filialais išskiria Pioneer Kitten iš kitų APT grupių. Pasak FTB ir CISA, grupė ne tik parduoda prieigą prie pažeistų tinklų požeminėse rinkose, bet ir tiesiogiai padeda vykdyti išpirkos reikalaujančių programų operacijas. Šis bendradarbiavimas apima gerai žinomas ransomware grupes, tokias kaip ALPHV (BlackCat), NoEscape ir RansomHouse.

Finansinė motyvacija ir pajamų pasidalijimas

„Pioneer Kitten“ dalyvavimas išpirkos reikalaujančiose programinės įrangos atakose yra ne tik prieigos tarpininkavimas. Grupė glaudžiai bendradarbiauja su ransomware filialais, kad užtikrintų sėkmingą turto prievartavimą, gaudama dalį išpirkos mokesčių kaip kompensaciją už savo pastangas. Šis verslo modelis pabrėžia vis labiau neryškias ribas tarp valstybės remiamų kibernetinių operacijų ir finansiškai motyvuotų elektroninių nusikaltimų.

Geopolitinės pasekmės

Pioneer Kitten veikla turi reikšmingų geopolitinių pasekmių, ypač JAV ir Irano santykių kontekste. Grupės operacijos yra platesnės Irano strategijos, kuria siekiama projektuoti galią ir įtaką per kibernetinę erdvę, dalis. Tačiau jų dalyvavimas išpirkos reikalaujančiose programinės įrangos atakose prieš JAV organizacijas kelia klausimų, kiek Teheranas kontroliuoja savo kibernetinius darbuotojus.

Nesąžiningos operacijos?

Įdomu tai, kad JAV valdžios institucijos užsiminė, kad Irano vyriausybė negali oficialiai sankcionuoti „Pioneer Kitten“ išpirkos reikalaujančių programų. Pranešama, kad grupė veikia prisidengdama IT įmone, pavadinta Danesh Novin Sahand, tačiau jos nariai nerimauja dėl galimos vyriausybės vykdomos jų finansinės veiklos kontrolės. Šis dviprasmiškumas padidina galimybę, kad Pioneer Kitten gali veikti su tam tikra autonomija, suderindamas valstybės direktyvas su savo finansiniais interesais.

Pioneer Kitten yra nauja APT grupių rūšis, kurios sklandžiai derina valstybės remiamus tikslus su nusikalstamomis įmonėmis. Jų evoliucija nuo šnipinėjimo iki aktyvaus dalyvavimo išpirkos reikalaujančiose programinės įrangos atakose pabrėžia didėjantį kibernetinės grėsmės kraštovaizdį. Organizacijoms ir toliau kovojant su šiomis sudėtingomis grėsmėmis, norint sukurti veiksmingą kibernetinio saugumo apsaugą, labai svarbu suprasti tokių grupių kaip Pioneer Kitten taktiką, metodus ir motyvus.