0
0
Onde os hackers chineses exploram, os iranianos não estão muito atrás. Assim diz a Agência de Segurança Cibernética e Segurança de Infraestrutura dos EUA, que está alertando que pessoas mal-intencionadas do Irã estão explorando uma série de abutres em produtos VPN da Citrix, F5 Networks e Pulse Secure.
O aviso espelha um emitido no início desta semana para exatamente os mesmos fornecedores, exceto com a China como o partido malévolo em vez do Irã.
“A CISA e o FBI estão cientes de uma campanha generalizada de um ator cibernético malicioso baseado no Irã que tem como alvo vários setores associados principalmente aos setores de tecnologia da informação, governo, saúde, financeiro, seguros e mídia nos Estados Unidos”, disseram as agências em um comunicado conjunto.
O ator de ameaças usa nmap para digitalizar redes de destino antes de explorar qualquer uma série de CVEs para forçar seu caminho dentro. Entre eles estão cve-2019-11510 (vuln de entrada remota do Pulse Secure Connect), CVE-2019-11539 (injeção de código remoto Pulse Secure), CVE-2019-19781 (citrix diretório traversal) e CVE-2020-5902 (vuln de aquisição BIG-IP da F5)
Uma vez dentro da rede alvo, os iranianos fazem a coisa usual: ganhar uma posição, estabelecer persistência e, em seguida, roubar dados. Ao fazê-lo, eles também fazem uso do web shell China Chopper, lançado como um aviso separado pela CISA dos EUA. Esse shell também implanta um script Powershell que rouba senhas criptografadas do aplicativo de gerenciador de senhas KeePass, bem como outro utilitário que estabelece uma sessão de desktop remota de saída.
Dizem que os iranianos fazem uso “significativo” do ngrok, que aparece como porta TCP 443 conexões para “infraestrutura externa baseada em nuvem”, bem como FRPC sobre a porta de rede 7557. A CISA alertou o mundo para corrigir os CVEs, especialmente a falha transversal do diretório Citrix detalhada em 2019-19781.
É significativo que os iranianos, identificados apenas como Pioneer Kitten ou UNC 757, pareçam estar copiando TTPs chineses. Crowdstrike disse em um roundup que a tripulação está ativa desde 2017,descrevendo-os como “altamente oportunistas com foco em Tecnologia, Governo, Defesa e Saúde” e especulando que eles podem ser empreiteiros privados que operam para o Estado iraniano, em vez de unidades do próprio governo iraniano.
O grupo também diz ter se oferecido para vender acesso a redes comprometidas em “um fórum subterrâneo”, algo que Crowdstrike pensou que pode ter sido uma agitação não oficial do trabalho do governo iraniano.
FONTE: THE REGISTER