Fox Kitten (diğer adıyla Pioneer Kitten veya Parisite), en az 2017’den beri aktif olan bir İran siber tehdit grubudur. Bu grup, öncelikli olarak hem ABD’li hem de uluslararası kuruluşları hedef almaktadır.
Censys Data/Search’ün Küresel Lideri Matt Lembright, yakın zamanda Fox Kitten’ın gizli altyapısını ve yeni IOC’lerini ortaya çıkardı.
Fox Kitten’ın Gizli Altyapısı
FBI, CISA ve DC3, Ağustos 2024’te “Fox Kitten” tarafından devam eden siber saldırılar konusunda uyarıda bulundukları ortak bir Siber Güvenlik Danışma Bülteni yayınladı.
CISO’larla tanışın, uyumluluğu öğrenmek için Sanal Panele katılın – Ücretsiz katılın
Danışmada 12 IP adresi ve 5 alan adı da dahil olmak üzere 17 Tehlike Göstergesi listelenmiştir. Censys, bu IOC’leri küresel internet perspektifini kullanarak analiz etmiştir.
Ana bilgisayarlar arasında paylaşılan coğrafi konumlar (çoğunlukla Londra, İngiltere), ortak ASN’ler (AS14061 ve AS16509) ve belirli yazılımlarla (Mirth Connect, Ivanti Connect Secure, Ray Dashboard) çok sayıda açık HTTP portu gibi ayırt edici yapılandırmalar gibi benzersiz kalıplar ortaya çıkardılar.
Censys ayrıca “futureenergy.us” ve “next-finance.mil” gibi görünüşte rastgele isimlere sahip, kendi kendine imzalanmış garip “sertifikalar” buldu.
Analizleri, orijinal duyuruda bahsedilmeyen, benzer kalıplara sahip küresel çaptaki “38.862 ana bilgisayar” da dahil olmak üzere potansiyel ek kötü amaçlı altyapıyı ortaya çıkardı.
Ayrıca, bildirilen zaman dilimlerinin dışında kalan bazı sunuculardaki etki alanı IOC’lerinin daha önce “bilinmeyen saldırı sürelerini” açıkça gösterdiği gözlemlendi. Ayrıca, bu etki alanı IOC’lerini içeren 64 geçerli sertifika tespit edildi.
Bunun dışında, bildirilen saldırılardan önce, saldırı sırasında ve saldırılardan sonra ana bilgisayar ve sertifika profillerinin analizi sonucunda Otonom Sistemler, coğrafi konumlar, barındırma sağlayıcıları, yazılımlar, port dağıtımları ve sertifika özelliklerinde çeşitli ortak noktalar tespit edildi.
Bu yaklaşım, II. Dünya Savaşı’nda askerlerin Morse kodu operatörlerinin benzersiz “yumruklarını” nasıl tanımladıklarına benziyor ve bu sayede savunmacılar tehdit aktörlerinin hareketlerini önceden tahmin edebiliyor.
Burada Censys, CISA Danışma Belgesi’nde belirtilen IOC’leri, eğilimleri ve kalıpları aramak için tarama veri setindeki ayrıştırılmış alanları kullandı.
Belirtilen zaman dilimlerindeki IOC’leri doğrulamak ve daha önce gözlemlenmemiş evreleme veya kötü niyetli etkinlik dönemlerini belirlemek için geçmiş ana bilgisayar profillerini kullandılar.
Bağlantı diyagramı analizi, IOC’ler, ana bilgisayarlar, sertifikalar ve çeşitli ayrıştırılmış alanlar arasında benzerlikleri keşfetmek için kullanıldı.
Bu metodoloji, siber güvenlik araştırmacılarının, tehdit aktörlerinin karartma ve rastgeleleştirme girişimlerine rağmen, tehditlerin daha önce belirlenen teknikleri kullanarak nasıl yeni altyapılar oluşturduğunu gözlemlemek için genel tarama veri kümelerinden yararlanmalarını sağlar.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial