Pioneer Kitten olarak bilinen İran merkezli bir hack grubu, Amerika Birleşik Devletleri genelinde savunma, eğitim, finans ve sağlık kuruluşlarını ihlal ediyor ve kurbanları zorlamak için çeşitli fidye yazılımı operasyonlarının bağlı kuruluşlarıyla çalışıyor.
Tehdit grubu (Fox Kitten, UNC757 ve Parisite olarak da izlenen) en az 2017'den beri aktiftir ve İran hükümetine şüpheli bir bağı olduğuna inanılmaktadır.
CISA, FBI ve Savunma Bakanlığı'nın Siber Suç Merkezi bugün ortak bir danışmanlıkta uyarıldığında, saldırganlar 'BR0K3R' kullanırken alan adını yönetici kimlik bilgileri ve siber pazarlarda tam alan kontrol ayrıcalıklarını satarak uzlaşmış kuruluşların ağlarına erişimlerinden para kazanıyorlar. Ve daha yakın zamanda, 'Xplfinder' kulplar.
"FBI, bu aktörleri fidye ödemelerinin bir yüzdesi karşılığında şifreleme operasyonlarını sağlamak için doğrudan fidye yazılımı iştirakleriyle işbirliği yapan bu aktörleri tespit etti. Dedi.
Diyerek şöyle devam etti: "İran siber aktörlerinin bu fidye yazılımı saldırılarına katılımı erişim sağlamanın ötesine geçiyor; kurban ağlarını kilitlemek ve kurbanlara yönelik yaklaşımlar üzerinde strateji yapmak için fidye yazılımı bağlı kuruluşlarıyla yakın bir şekilde çalışıyorlar."
Bu saldırılardaki fidye yazılımı operatörleriyle yakın çalışırken, Pioneer Kitten, tehdit aktörleri uyruklarını ve kökenlerini birlikte çalıştıkları fidye yazılım operatörlerine açıklamadığından "ortaklarını" karanlıkta tutar.
Temmuz 2024 itibariyle Pioneer Kitten Tehdit Oyuncuları, CVE-2024-24919'a karşı potansiyel olarak savunmasız olan Check Point Güvenlik Ağ Geçitleri için tarıyor.
Ayrıca, Nisan 2024'ten bu yana, Palo Alto Networks Pan-OS ve GlobalProtect VPN cihazları için, muhtemelen maksimum şiddet komutu enjeksiyon kırılganlığına (CVE-2024-3400) savunmasız cihazların bir parçası olarak kütle taramaları gerçekleştirdiler.
Tarihsel olarak, tehdit grubu, Citrix NetScaler CVE-2019-19781 ve CVE-2023-3519 istismarları ve CVE-2022-1388'in BIG-IP F5 cihazlarına karşı istismarlarını kullanarak kuruluşları hedeflemekle bilinmektedir.
Pioneer Kitten, Temmuz 2020'de yeraltı forumlarındaki tehlikeye atılan ağlara erişim satmaya çalışırken, hackleme grubunun gelir akışını çeşitlendirme girişimine işaret etti.
Eylül 2020'de yayınlanan başka bir ortak danışma alanında, CISA ve FBI, Pioneer Kitten Tehdit Grubunun "kurban ağlarına fidye yazılımlarını dağıtma yeteneğine sahip olduğu ve muhtemelen niyetine sahip olduğu" ve "tehlikeye atılan ağa erişim satmak" konusunda uyardı. Çevrimiçi bir hacker forumunda altyapı. "
FBI'Sanalysys'e göre, İran merkezli bilgisayar korsanları İran Hükümeti (GOI) ile ilişkilidir ve 'Danesh Novin Sahand' İran şirket adını bir kapak olarak kullanır. Ayrıca, Goi'nin çıkarlarını desteklemek için İsrail ve Azerbaycan'daki organizasyonları hedefleyen veri hırsızlığı saldırılarıyla da bağlantılıdırlar.
FBI: Ransomhub fidye yazılımı Şubat ayından bu yana 210 kurbanı ihlal etti
ABD İranlı Bilgisayar Hacker'ları Etkili Operasyonları Artan Uyarıyor
FBI: 500 milyon doların üzerinde fidye taleplerinin arkasında blacksuit fidye yazılımı
CISA ve FBI: DDOS saldırıları ABD seçim bütünlüğünü etkilemeyecek
CISA, fidye yazılımı saldırılarında sömürülen VMware ESXI hatası konusunda uyarıyor
Kaynak: Bleeping Computer