Siber güvenlik araştırmacıları tarafından Pioneer Kitten olarak adlandırılan bir grup İranlı hacker, devletle sözleşmeli siber casusluk grubu ile çeşitli fidye yazılımı gruplarının iştiraklerine ilk erişim sağlayıcısı (ve suç ortağı) arasında bir çizgide ilerliyor.
ABD güvenlik kurumları, “FBI, bu aktörlerin İran merkezli konumlarını fidye yazılımıyla bağlantılı kişilere açıklamadıklarını ve milliyetleri ve kökenleri konusunda kasıtlı olarak belirsiz davrandıklarını değerlendiriyor” diyor.
Ayrıca, “grubun fidye yazılımı faaliyetlerinin muhtemelen ABD tarafından onaylanmadığı” [Government of Iran (GOI)]Aktörler, kötü niyetli faaliyetleriyle ilişkili kripto para birimi hareketlerinin hükümet tarafından izlenmesi konusunda endişelerini dile getirdiler.”
İranlı hackerlar fidye yazılımı iştirakleriyle çalışıyor
Siber güvenlik araştırma topluluğunda Fox Kitten, UNC757, Parisite, RUBIDIUM ve Lemon Sandstorm olarak da bilinen Pioneer Kitten, kendisini “xplfinder” ve daha yakın zamanlarda “Br0k3r” olarak adlandıran bir gruptur.
2017’den bu yana ABD’deki okullar, belediye yönetimleri, finans kuruluşları ve sağlık tesislerinin yanı sıra ABD savunma sektörü ağları ile İsrail, Azerbaycan ve Birleşik Arap Emirlikleri’ndeki şirketlerin ağlarına sızmanın yollarını buluyorlar.
İran devleti adına ve çıkarı için gerçekleştirilen saldırılar genellikle hassas bilgileri çalmayı hedefliyor. FBI’ın değerlendirmesine göre, bazen İsrail merkezli siber altyapının güvenliğini baltalamayı da hedefliyorlar (örneğin, Pay2Key fidye yazılımıyla).
Ama aynı zamanda bu “kiralık silahlar” kendi ceplerini doldurmaya da kararlıdır.
“Aktörler, dünya çapındaki çok sayıda ağa tam etki alanı kontrol ayrıcalıklarının yanı sıra etki alanı yönetici kimlik bilgileri de sunuyor. Daha yakın zamanda, FBI bu aktörlerin doğrudan fidye yazılımı iştirakleriyle işbirliği yaptığını tespit etti [NoEscape, RansomHouse, ALPHV] FBI, CISA ve Savunma Bakanlığı, “Fidye ödemelerinin bir yüzdesi karşılığında şifreleme işlemlerinin etkinleştirilmesini sağlamak için” ifadelerini kullandı.
“[Their] Bu fidye yazılımı saldırılarına katılım, erişim sağlamanın ötesine geçiyor; kurbanların ağlarını kilitlemek ve kurbanlardan para sızdırmak için yaklaşım stratejileri geliştirmek amacıyla fidye yazılımı iştirakleriyle yakın bir şekilde çalışıyorlar.”
Pioneer Kitten’ın TTP’leri
Gruplar, saldırılarına, belirli n-günlük güvenlik açıklarına karşı savunmasız olan internet altyapısı barındırma cihazlarını (tarihsel olarak Citrix Netscaler ve F5 BIG-IP, daha yakın zamanda Pulse Secure/Ivanti VPN’leri, Palo Alto Networks güvenlik duvarları ve Check Point Güvenlik Ağ Geçitleri) arayarak başlıyor.
Bu kusurları istismar edip cihazları tehlikeye attıktan sonra, oturum açma kimlik bilgilerini ele geçirmeye, web kabukları yüklemeye, kurban ağlarında hesaplar oluşturmaya, arka kapılar kurmaya vb. devam ediyorlar.
Tehlikeye atılan kimlik bilgilerini ve oluşturulan hesapları kullanarak diğer uygulamalara ve etki alanı denetleyicilerine giriş yapıyorlar, güvenlik yazılımlarını devre dışı bırakıyorlar, uzak masaüstü oturumları başlatıyorlar, PowerShell politikalarını daha az güvenli bir düzeye düşürüyorlar ve saldırı araçlarını izin verilenler listesine almaya çalışıyorlar.
Yedekleme erişim yöntemi olarak meşru AnyDesk yazılımını, protokol tünellemesi için Ligolo’yu ve giden bağlantılar oluşturmak için Ngrok’u kullanmalarıyla bilinirler.
Kurumlar, savunmacıların saldırıları tespit edip engellemesine yardımcı olmak için hem hafifletici önlemleri hem de son tehdit göstergelerini, hem de izleme ve atıf amaçları için geçmiş tehdit göstergelerini paylaştı.