Pioneer Kitten APT

До Mezo року в Розширена постійна загроза (APT) році

Перекласти на:

Pioneer Kitten, група Advanced Persistent Threat (APT), стала грізною силою в кіберпідземному світі. За підтримки уряду Ірану ця група працює як важливий посередник і брокер початкового доступу, сприяючи атакам програм-вимагачів у всьому світі. Діяльність Pioneer Kitten, пов’язана з деякими з найвідоміших угруповань програм-вимагачів, підкреслює зростаючий взаємозв’язок між хакерством, що фінансується державою, і фінансово мотивованою кіберзлочинністю.

Зміст

Підйом кошеня Pioneer APT

Pioneer Kitten, також відомий під різними псевдонімами, такими як UNC757, Parisite, Rubidium і Lemon Sandstorm, був на радарі експертів з кібербезпеки та правоохоронних органів з 2017 року. Спочатку визнаний за його постійні спроби вторгнення в мережу, спрямовані на організації США, група з того часу розширила свою діяльність, ставши ключовим гравцем у глобальній екосистемі програм-вимагачів.

Спонсорована державою кіберзлочинність

Основна місія Pioneer Kitten, що діє під егідою уряду Ірану, полягає в підтримці геополітичних цілей Ірану через кібершпигунство та підривні атаки. Однак останні події вказують на зрушення в бік монетизації, коли група все більше співпрацює з фінансово мотивованими бандами програм-вимагачів.

Modus Operandi: від початкового доступу до розгортання програм-вимагачів

Діяльність Pioneer Kitten зазвичай починається з використання вразливостей у віддалених зовнішніх службах. Група була особливо вміла у виявленні та націленні на активи, що виходять в Інтернет, використовуючи такі інструменти, як Shodan, для визначення місцезнаходження вразливих систем. Останні експлойти включають уразливості в популярних шлюзах безпеки та VPN, таких як системи PAN-OS Palo Alto Networks і Citrix.

Використання вразливостей

Після визначення точки входу Pioneer Kitten використовує веб-оболонки для отримання облікових даних для входу та підвищення привілеїв. Група відома своїм методичним підходом, часто створюючи або викрадаючи облікові записи, обходячи політику нульової довіри та встановлюючи бекдори для постійного доступу. Їх діяльність також включає відключення програмного забезпечення для захисту від зловмисного програмного забезпечення та зниження параметрів безпеки для полегшення розгортання зловмисного програмного забезпечення.

Техніка командування та управління

Pioneer Kitten використовує різні інструменти для підтримки контролю над скомпрометованими мережами. Серед них AnyDesk для віддаленого доступу, PowerShell Web Access для виконання команд і інструменти тунелювання, такі як Ligolo та NGROK для створення вихідних з’єднань. Ці інструменти дозволяють групі підтримувати постійну присутність у мережах жертв, дозволяючи їм розгортати програми-вимагачі у слушний момент.

Співпраця з Ransomware Gangs

Його тісна співпраця з афілійованими програмами-вимагачами відрізняє Pioneer Kitten від інших груп APT. За даними ФБР і CISA, група не тільки продає доступ до скомпрометованих мереж на підпільних ринках, але й безпосередньо допомагає в операціях з програмами-вимагачами. Ця співпраця поширюється на такі відомі групи програм-вимагачів, як ALPHV (BlackCat), NoEscape і RansomHouse.

Фінансові мотиви та розподіл доходів

Участь Pioneer Kitten в атаках програм-вимагачів виходить за рамки простого посередництва доступу. Група тісно співпрацює з афілійованими програмами-вимагачами, щоб забезпечити успішне вимагання, отримуючи частку викупу як компенсацію за свої зусилля. Ця бізнес-модель підкреслює все більш розмиті межі між фінансованими державою кіберопераціями та фінансово мотивованими кіберзлочинами.

Геополітичні наслідки

Діяльність Pioneer Kitten має значні геополітичні наслідки, зокрема в контексті американсько-іранських відносин. Діяльність групи є частиною ширшої стратегії Ірану, спрямованої на поширення влади та впливу через кіберпростір. Однак їх участь в атаках програм-вимагачів на організації США викликає сумніви щодо ступеня контролю Тегерана над своїми кібероператорами.

Шахрайські операції?

Цікаво, що влада США припустила, що діяльність програм-вимагачів Pioneer Kitten може не бути офіційно санкціонованою урядом Ірану. Повідомляється, що група працює під прикриттям ІТ-компанії під назвою Danesh Novin Sahand, але серед її членів є занепокоєння щодо можливого державного контролю за їх фінансовою діяльністю. Ця неоднозначність підвищує ймовірність того, що Pioneer Kitten може працювати з певним ступенем автономності, врівноважуючи державні директиви зі своїми фінансовими інтересами.

Pioneer Kitten представляє нову породу груп APT, які бездоганно поєднують спонсоровані державою цілі з кримінальними підприємствами. Їхня еволюція від шпигунства до активної участі в атаках програм-вимагачів підкреслює зростаючу складність ландшафту кіберзагроз. Оскільки організації продовжують боротися з цими складними загрозами, розуміння тактики, методів і мотивації таких груп, як Pioneer Kitten, має вирішальне значення для розробки ефективних засобів кібербезпеки.