Pioneer Kitten olarak bilinen İran merkezli bir bilgisayar korsanlığı grubu, ABD genelindeki savunma, eğitim, finans ve sağlık kuruluşlarına sızıyor ve kurbanlardan haraç almak için çeşitli fidye yazılımı operasyonlarının iştirakleriyle birlikte çalışıyor.
Tehdit grubu (Fox Kitten, UNC757 ve Parisite olarak da biliniyor) en az 2017’den beri aktif ve İran hükümetiyle şüpheli bir bağlantısı olduğuna inanılıyor.
CISA, FBI ve Savunma Bakanlığı Siber Suç Merkezi’nin bugün yayınladıkları ortak bildiride, saldırganların siber pazar yerlerinde ‘Br0k3r’ ve daha yakın zamanda ‘xplfinder’ kullanıcı adlarını kullanarak etki alanı yönetici kimlik bilgilerini ve tam etki alanı kontrol ayrıcalıklarını satarak, tehlikeye atılmış kuruluşların ağlarına erişimlerini paraya dönüştürdükleri uyarısı yapıldı.
“Daha yakın zamanda, FBI bu aktörlerin fidye ödemelerinin bir yüzdesi karşılığında şifreleme işlemlerini etkinleştirmek için fidye yazılımı iştirakleriyle doğrudan işbirliği yaptığını tespit etti. Bu aktörler fidye yazılımı iştirakleri NoEscape, Ransomhouse ve ALPHV (diğer adıyla BlackCat) ile işbirliği yaptı,” dedi federal kurumlar.
“İranlı siber aktörlerin bu fidye yazılımı saldırılarına katılımı erişim sağlamanın ötesine geçiyor; kurbanların ağlarını kilitlemek ve kurbanlardan para sızdırmak için stratejiler geliştirmek amacıyla fidye yazılımı iştirakleriyle yakın bir şekilde çalışıyorlar.”
Bu saldırılarda fidye yazılımı operatörleriyle yakın bir şekilde çalışan Pioneer Kitten, tehdit aktörlerinin milliyetlerini ve kökenlerini birlikte çalıştıkları fidye yazılımı operatörlerine açıklamaması nedeniyle “ortaklarını” karanlıkta bırakıyor.
Temmuz 2024 itibarıyla Pioneer Kitten tehdit aktörleri, CVE-2024-24919’a karşı potansiyel olarak savunmasız olan Check Point Güvenlik Ağ Geçitlerini tarıyor.
Ayrıca, Nisan 2024’ten bu yana, muhtemelen maksimum şiddette komut enjeksiyonu güvenlik açığına (CVE-2024-3400) karşı savunmasız cihazları araştırmanın bir parçası olarak, Palo Alto Networks PAN-OS ve GlobalProtect VPN cihazları için de toplu taramalar gerçekleştirdiler.
Tarihsel olarak, tehdit grubunun Citrix Netscaler CVE-2019-19781 ve CVE-2023-3519 istismarlarını ve BIG-IP F5 cihazlarına karşı CVE-2022-1388 istismarlarını kullanarak kuruluşları hedef aldığı biliniyor.
Pioneer Kitten’ın ayrıca Temmuz 2020’de yeraltı forumlarında ele geçirilen ağlara erişimi satmaya çalıştığı görüldü; bu durum, hacker grubunun gelir akışını çeşitlendirme girişimine işaret ediyor.
Eylül 2020’de yayınlanan bir diğer ortak duyuruda CISA ve FBI, Pioneer Kitten tehdit grubunun “kurban ağlarına fidye yazılımı dağıtma kapasitesine ve büyük ihtimalle niyetine sahip olduğu” ve “çevrimiçi bir hacker forumunda tehlikeye atılmış ağ altyapısına erişim sattıkları” konusunda uyarıda bulundu.
FBI’ın analizine göre, İran merkezli hackerlar İran Hükümeti (GOI) ile bağlantılıdır ve ‘Danesh Novin Sahand’ İran şirket adını bir örtü olarak kullanırlar. Ayrıca, GOI’nin çıkarlarını desteklemek için İsrail ve Azerbaycan’daki kuruluşları hedef alan veri hırsızlığı saldırılarıyla da ilişkilendirildiler.