ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), İran hükümeti tarafından desteklenen bilgisayar korsanlarının, ALPHV/BlackCat gibi büyük isimlerin de aralarında bulunduğu finansal amaçlı fidye yazılımı çeteleri adına ortamları hedef almak için aracı ve ilk erişim aracısı olarak hareket ettiği konusunda uyardı.
CISA ve FBI da dahil olmak üzere kolluk kuvvetleri ortakları, bu hafta yayınladıkları bir duyuruda, Pioneer Kitten, UNC757, Parisite, Rubidium ve Lemon Sandstorm gibi çeşitli isimlerle takip edilen İranlı gelişmiş sürekli tehdit (APT) grubunun, ağ erişimini elde etmek, sürdürmek ve geliştirmek için fidye yazılımı saldırıları dağıtmayı amaçlayan kötü amaçlı siber operasyonlar yürüttüğünü ortaya koydu.
CISA, “Bu operasyonlar, kötü niyetli siber aktörlerin, fidye yazılımlarını dağıtmaya devam etmek için bağlı aktörlerle daha fazla işbirliği yapmasına yardımcı oluyor” dedi.
“Bu duyuru, 2017’den bu yana ve en son Ağustos 2024’te ABD kuruluşlarına karşı yüksek hacimli bilgisayar ağı saldırı girişimleri gerçekleştiren belirli bir İran siber aktör grubunun faaliyetlerini ana hatlarıyla açıklıyor. Tehlikeye atılan kuruluşlar arasında ABD merkezli okullar, belediye yönetimleri, finans kuruluşları ve sağlık tesisleri yer alıyor.”
FBI daha önce grubun yeraltı pazarlarında mağdur örgütlere erişimini paraya dönüştürmeye çalıştığını gözlemlemişti ve şimdi faaliyetlerinin “önemli bir yüzdesinin” -en azından ABD’de- bu erişimi Rusça konuşan siber suç çetelerine satmaya odaklandığını değerlendiriyor.
Ancak artık bu ilişkinin daha da derinleştiğine dair kanıtlar var. Gerçekten de, Federal ajanlar artık Pioneer Kitten’ın fidye yazılımı iştirakleriyle “doğrudan işbirliği” yaparak yardımları karşılığında fidye ödemelerinden bir pay aldığına inanıyor.
CISA, “Bu aktörler, fidye yazılımı iştirakleri olan NoEscape, RansomHouse ve ALPHV (diğer adıyla BlackCat) ile işbirliği yaptı” dedi.
“İranlı siber aktörlerin bu fidye yazılımı saldırılarındaki rolü erişim sağlamanın ötesine geçiyor; kurbanların ağlarını kilitlemek ve kurbanlardan para sızdırmak için stratejiler geliştirmek amacıyla fidye yazılımı iştirakleriyle yakın bir şekilde çalışıyorlar.
“FBI, bu aktörlerin İran merkezli konumlarını fidye yazılımı iştirakçilerine açıklamadıklarını ve milliyetleri ve kökenleri konusunda kasıtlı olarak belirsiz davrandıklarını değerlendiriyor.”
Yavru Kediyi Engellemek
Pioneer Kitten tarafından gerçekleştirilen bir fidye yazılımı saldırısı genellikle internete bağlı varlıklardaki uzak harici hizmetlerin istismar edilmesiyle başlıyor gibi görünüyor.
Son haftalarda çetenin, CVE-2024-24919’a karşı savunmasız Check Point Güvenlik Ağ Geçitlerini barındıran IP adreslerini belirlemek için Shodan’ı kullandığı gözlemlendi, ancak Palo Alto Networks PAN-OS ve GlobalProtect VPN’deki CVE-2024-3400’ü ve Citrix ve F5 BIG-IP’deki eski güvenlik açıklarını da istismar ettiği biliniyor. Bu sorunları ele almak, risk altındaki kuruluşlardaki güvenlik ekipleri için bir numaralı öncelik olmalıdır.
Bu ilk engel aşıldığında, grubun işleyiş biçimi çoğu açıdan oldukça standarttır: dağıtılmış bir web kabuğu aracılığıyla Netscaler aygıtlarındaki oturum açma kimlik bilgilerini ele geçirerek hedeflerini ilerletmeye çalışır, genellikle sıfır güven politikalarına muafiyetlerle yeni hesaplar ele geçirerek veya oluşturarak ayrıcalıklarını yükseltir, kötü amaçlı yazılım yüklemek için arka kapılar yerleştirir ve antivirüs yazılımını devre dışı bırakmaya ve güvenlik ayarlarını düşürmeye çalışır. Ayrıca, azaltma gerçekleştiğinde kalıcılık için günlük bir Windows hizmet görevi kurar.
Komuta ve kontrol söz konusu olduğunda, Pioneer Kitten’ın AnyDesk uzaktan erişim programını kullandığı ve sunucuların Windows PowerShell Web Access’i kullanmasını sağladığı bilinmektedir. Ayrıca, açık kaynaklı bir tünelleme aracı olan Ligolo’yu ve giden bağlantılar oluşturmak için NGROK’u tercih eder.
CISA duyurusunun tamamında saldırı zincirine ilişkin daha teknik ayrıntılar yer alıyor.
Pioneer Kitten yoldan mı çıktı?
İlginçtir ki, ABD yetkilileri Pioneer Kitten’ın fidye yazılımı faaliyetlerinin Tahran tarafından resmi olarak onaylanmamış olabileceğini ve İranlı şirket adı Danesh Novin Sahand’ı paravan bilişim şirketi olarak kullanan grubun üyelerinin zaman zaman İran hükümetinin kara para aklama faaliyetlerini izlediği yönündeki endişelerini dile getirdiklerini söyledi.
CISA’ya göre Pioneer Kitten’ın resmi görevi, para kazanmak için değil, İran bilgi operasyonlarının bir parçası olarak kurbanlarını zayıflatmak için hack-and-leak kampanyaları yürütmek, veri çalmak ve bunları kamuoyuna duyurmak gibi görünüyor. Bu faaliyet büyük ölçüde İsrail’deki ve İran’ın ilgisini çeken Azerbaycan ve Birleşik Arap Emirlikleri gibi diğer bölgesel güçlerdeki kurbanlara odaklanmış görünüyor.