Firewalls e VPNs estão sendo utilizados como ponto de entrada por hackers patrocinados pelo estado iraniano, rastreados como Pioneer Kitten, que buscam obter acesso a escolas, bancos, hospitais, empresas do setor de defesa e agências governamentais americanas.
Os atacantes estão obtendo acesso através de dispositivos vulneráveis da Check Point, Citrix e Palo Alto Networks, segundo um comunicado conjunto do Federal Bureau of Investigation (FBI), do Departamento de Defesa Cyber Crime Center (DC3) e da Cybersecurity and Infrastructure Security Agency (CISA).
Os objetivos do Pioneer Kitten provavelmente incluem operações de coleta de inteligência para roubar dados de contratantes de defesa dos EUA, de acordo com os interesses mais amplos do governo iraniano, além de arrecadação de fundos ao fornecer acesso a grupos de ransomware.
“O FBI avalia que uma percentagem significativa das operações desses atores de ameaça contra organizações dos EUA visa obter e desenvolver acesso à rede para depois colaborar com atores afiliados ao ransomware para implementar ransomware”, afirma o aviso.
Pioneer Kitten (também rastreado como Fox Kitten, UNC757, Parisite, RUBIDIUM e Lemon Sandstorm) tem sido observado trabalhando com grupos de ransomware como ALPHV/BlackCat, NoEscape e Ransomhouse, fornecendo acesso a seus alvos.
O grupo tem explorado várias vulnerabilidades conhecidas, como a CVE-2024-24919, para explorar dispositivos usando Check Point Security Gateways, bem como a CVE-2024-3400, para tirar proveito de VPNs PAN-OS e GlobalProtect da Palo Alto Networks que não foram corrigidas, desativando antivírus e se movendo lateralmente à medida que avançam. O grupo também tem como alvo organizações baseadas em Israel, Emirados Árabes Unidos e Azerbaijão.
Outro grupo patrocinado pelo estado iraniano tem agido em nome do Corpo da Guarda Revolucionária Islâmica do Irã para reunir inteligência sobre comunicações via satélite dos EUA usando um malware personalizado chamado Tickler.
“O FBI avalia que uma percentagem significativa das operações desses atores de ameaça contra organizações dos EUA visa obter e desenvolver acesso à rede para depois colaborar com atores afiliados ao ransomware para implementar ransomware”, continuou a declaração. “O FBI observou o uso dessa técnica contra os setores acadêmico e de defesa dos EUA, mas teoricamente poderia ser usada contra qualquer organização. O FBI e a CISA alertam que se esses atores comprometerem sua organização, eles podem estar utilizando as contas de serviços em nuvem para realizar atividades cibernéticas maliciosas e atingir outras vítimas.”
