Door de Iraanse staat gesponsorde hackers zijn toegangsmakelaars geworden voor ransomware-gangsca

Posted on by Vaseline

Door de Iraanse staat gesteunde actoren die opereren onder aliassen als “Pioneer Kitten” richten zich steeds meer op kritieke infrastructuur – en breiden hun activiteiten uit naar het bemiddelen van toegang voor ransomware-partners.

Belangrijkste punten

  • Een groep door de Iraanse staat gesponsorde hackers is uitgegroeid tot toegangsmakelaars voor ransomware-bendes. Ze richten zich op belangrijke sectoren van de VS en bondgenoten, zoals onderwijs, financiën, gezondheidszorg en defensie.
  • De FBI, CISA en DC3 hebben een gezamenlijk advies uitgebracht waarin de nadruk wordt gelegd op het dubbele karakter van de activiteiten van deze dreigingsactoren. Ze maken zowel winst met de toegang tot netwerken als spionage die in lijn is met de belangen van de Iraanse overheid.
  • De hackers, bekend onder namen als “Pioneer Kitten” en “Lemon Sandstorm,” zijn zeer adaptief en ontwikkelen voortdurend hun methoden om kwetsbaarheden in veelgebruikte netwerkapparaten te exploiteren en domeincontrole te verkopen aan ransomwaregroepen als ALPHV (BlackCat) en NoEscape.
  • Naast ransomware houdt de groep zich ook bezig met hack- en lekkenoperaties die erop gericht zijn reputatieschade te veroorzaken in plaats van losgeld te eisen. Dit duidt op een verschuiving naar informatieoorlogvoering.
  • In het advies worden organisaties dringend verzocht om bekende kwetsbaarheden onmiddellijk te verhelpen, waakzaam te blijven en te letten op tekenen van inbreuk, waaronder ongeautoriseerde installaties en uitgaand verkeer naar verdachte domeinen.

Overzicht

Ze bewegen zich geruisloos door netwerken, maken gebruik van elke kwetsbaarheid die nog niet is gepatcht en exploiteren gaten met chirurgische precisie. De groep van in Iran gevestigde dreigingsactoren, die sinds ten minste 2017 actief is, is een hardnekkige en formidabele dreiging geworden, die zich richt op Amerikaanse organisaties in vitale sectoren zoals onderwijs, financiën, gezondheidszorg en defensie. Deze cybercriminelen zijn niet alleen geïsoleerde hackers; ze opereren met een niveau van verfijning dat suggereert dat ze door de staat worden gesponsord, en hun uiteindelijke doelen zijn verstrekkend en zeer zorgwekkend.

De FBI, de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en het Department of Defense Cyber ​​Crime Center (DC3) hebben een gezamenlijke waarschuwing uitgegeven over deze in Iran gevestigde actoren. Hun activiteiten onthullen een dubbel doel: het geldelijk maken van netwerktoegang door samen te werken met ransomware-filialen en het uitvoeren van spionageactiviteiten die aansluiten bij de belangen van de Iraanse overheid. Amerikaanse organisaties, met name die in kritieke infrastructuur, worden dringend verzocht actie te ondernemen en hun verdediging te versterken.

Technische details

De dreigingsgroep, bekend onder verschillende namen zoals “Pioneer Kitten,” “Fox Kitten,” “Lemon Sandstorm,” en meer recent, “xplfinder,” heeft aanpassingsvermogen in zijn tactieken getoond. Van het uitbuiten van kwetsbaarheden in veelgebruikte netwerkapparaten tot het verkopen van domeincontroleprivileges op dark web-marktplaatsen, ze hebben hun methoden voortdurend ontwikkeld om voorop te blijven lopen op defensieve maatregelen.

Hun modus operandi omvat niet alleen het verkrijgen van toegang, maar ook het behouden ervan, vaak voor toekomstige ransomware-aanvallen. Ze bieden volledige domeincontrole aan ransomware-groepen zoals ALPHV (ook bekend als BlackCat) en NoEscape, en ontvangen een deel van de losgeldbetalingen. Deze actoren zijn niet alleen poortwachters van gecompromitteerde netwerken, maar ook actieve deelnemers aan het plannen en uitvoeren van ransomware-campagnes.

De tactieken van de groep reiken verder dan traditionele cybercriminaliteit. In sommige gevallen hebben ze hack-and-leak-operaties uitgevoerd, waarbij ze gevoelige informatie openbaar maken om hun doelwitten te destabiliseren en onder druk te zetten. De Pay2Key-campagne in 2020, die gericht was op Israëlische organisaties, is zo’n voorbeeld. Door gestolen gegevens op het dark web te lekken en mediakanalen te taggen, wilden ze reputatieschade veroorzaken in plaats van losgeld te eisen, wat een strategische verschuiving naar informatieoorlogvoering signaleert.

Naast Israël zijn ook Azerbeidzjan en de VAE doelwit geweest.

De methoden van de dreigingsactoren worden nauwkeurig in kaart gebracht in het MITRE ATT&CK-framework, een algemeen erkende matrix die cyberaanvalstactieken en -technieken categoriseert. Initiële inbraken vinden vaak plaats via internetgerichte middelen zoals firewalls en VPN’s, waarbij de groep bekende kwetsbaarheden zoals CVE-2024-3400 in Palo Alto Networks’ PAN-OS exploiteert. Eenmaal binnen gebruiken ze tools zoals Shodan om kwetsbare apparaten te identificeren en webshells te implementeren om inloggegevens te verzamelen, wat de basis legt voor diepere infiltratie.

De TA’s hebben ook persistentie onder de knie gekregen door backdoors te implementeren en nieuwe gebruikersaccounts te creëren, vaak vermomd als legitieme services. Hun vermogen om detectie te ontwijken en langdurige toegang te behouden, maakt ze bijzonder gevaarlijk, omdat ze op elk moment kunnen toeslaan, vaak wanneer je het het minst verwacht.

Het FBI en CISA-advies biedt een gedetailleerde lijst met indicatoren van compromis (IOC’s) en aanbevelingen voor het beperken van de dreiging die deze actoren vormen. Organisaties worden dringend verzocht om onmiddellijk patches toe te passen voor bekende kwetsbaarheden en hun logs te controleren op tekenen van compromis, met name op zoek naar uitgaand verkeer naar verdachte domeinen. Het gebruik van tools zoals NGROK voor tunneling en Ligolo voor het onderhouden van externe toegang vereist constante netwerkcontrole om ongeautoriseerde activiteiten te detecteren.

Conclusie

De evoluerende tactieken van deze op Iran gebaseerde cyberactoren benadrukken de groeiende complexiteit en het gevaar van cyberdreigingen vandaag de dag. Organisaties in de VS en geallieerde landen moeten zich niet alleen verdedigen tegen ransomware, maar ook voorbereid zijn op door de staat gesponsorde spionage en informatieoorlogvoering. Naarmate de grens tussen criminele en nationale activiteiten vervaagt, worden de belangen voor cyberbeveiliging zijn nog nooit zo hoog geweest.

Voor bedrijven in cruciale sectoren is het nu tijd om actie te ondernemen.

MITRE ATT&CK-tactieken en -technieken

Zien Tabel 1 naar Tabel 9 voor alle genoemde tactieken en technieken van bedreigingsactoren.

1. Verkenning
Techniek Titel identiteitsbewijs Gebruik of beoordeeld gebruik
Zoeken in open technische databases T1596 Iraanse cyberactoren gebruiken Shodan (Shodan(.)io) om internetinfrastructuur te identificeren die apparaten host die kwetsbaar zijn voor bepaalde CVE’s.
2. Initiële toegang
Techniek Titel identiteitsbewijs Gebruik of beoordeeld gebruik
Maak gebruik van openbare applicaties T1190 Iraanse cyberactoren scannen en exploiteren openbare netwerkapparaten, waaronder de volgende apparaten en bijbehorende CVE’s: Citrix Netscaler (CVE’s-2019-19781 en CVE-2023-3519) F5 BIG-IP (CVE-2022-1388) Pulse Secure/Ivanti VPN’s (CVE-2024-21887) PanOS-firewalls (CVE-2024-3400) Check Point Security Gateways (CVE-2024-24919)
Externe externe services T1133 Iraanse cyberactoren maken een /xui/common/images/ directory aan op specifieke IP-adressen.
3. Volharding
Techniek Titel identiteitsbewijs Gebruik of beoordeeld gebruik
Serversoftwarecomponent: Web Shell T1505.003 Iraanse cyberactoren bemachtigen inloggegevens op gecompromitteerde Netscaler-apparaten via geïmplementeerde webshell. Ze maken een directory op Netscaler-apparaten voor implementatie van webshell. Ze implementeren webshells op gecompromitteerde Netscaler-apparaten in twee directory’s (nauwlettend in de gaten houden na het patchen van het systeem). Vervolgens plaatsen ze de schadelijke backdoor version.dll.
Account aanmaken (lokaal account) T1136.001 Iraanse cyberactoren maken lokale accounts aan op slachtoffernetwerken.
Accountmanipulatie T1098 Iraanse cyberactoren vragen vrijstellingen aan voor zero-trusttoepassingen voor de tools die zij willen inzetten.
Geplande taak/job T1053 Iraanse cybercriminelen implementeren een geplande taak die gebruikmaakt van een DLL-sideloadingtechniek en een geplande taak die malware via achterdeurtjes laadt.
Serversoftwarecomponent T1505 Iraanse cyberactoren implementeren de dagelijkse creatie van een Windows-servicetaak voor persistentie terwijl detectie en beperking plaatsvinden.
4. Escalatie van privileges
Techniek Titel identiteitsbewijs Gebruik of beoordeeld gebruik
Geldige accounts: lokale accounts T1078.003 Iraanse cybercriminelen misbruiken gecompromitteerde inloggegevens (bijvoorbeeld van een Netscaler-apparaat) om in te loggen op andere applicaties.
Geldige accounts: domeinaccounts T1078.002 Iraanse cybercriminelen misbruiken de beheerdersreferenties van netwerkbeheerders om in te loggen op domeincontrollers en andere infrastructuur.
5. Ontwijking van verdediging
Techniek Titel identiteitsbewijs Gebruik of beoordeeld gebruik
Verdedigingsmechanismen aantasten: hulpmiddelen uitschakelen of wijzigen T1562.001 Iraanse cybercriminelen gebruiken beheerdersreferenties om antivirus- en beveiligingssoftware uit te schakelen.
Verdedigingsmechanismen aantasten: hulpmiddelen uitschakelen of wijzigen T1562.001 Iraanse cyberactoren proberen tickets voor veiligheidsvrijstelling in te dienen bij het netwerkbeveiligingsapparaat of de contractant om hun tools op de toegestane lijst te krijgen.
Verzwak de verdediging: verlaag de aanval T1562.010 Iraanse cyberactoren verlagen PowerShell-beleid naar een minder veilig niveau.
6. Toegang tot inloggegevens
Techniek Titel identiteitsbewijs Gebruik of beoordeeld gebruik
Invoer vastleggen T1056 Iraanse cybercriminelen bemachtigen inloggegevens op gecompromitteerde Netscaler-apparaten via een geïmplementeerde webshell.
7. Uitvoering
Techniek Titel identiteitsbewijs Gebruik of beoordeeld gebruik
Opdracht en scripting T1059.001 Iraanse cybercriminelen gebruiken een beheerdersaccount om een ​​externe bureaubladsessie te starten en Microsoft Windows PowerShell ISE te starten.
Commando- en scriptinterpreter T1059.001 Iraanse cybercriminelen zorgen ervoor dat servers Windows PowerShell Web Access kunnen gebruiken.
8. Ontdekking
Techniek Titel identiteitsbewijs Gebruik of beoordeeld gebruik
Queryregister T1012 Iraanse cyberactoren exporteren registerbestanden en netwerkfirewallconfiguraties.
Domeinvertrouwensdetectie T1482 Iraanse cybercriminelen stelen gebruikersnamen van accounts van de domeincontroller en krijgen toegang tot configuratiebestanden en logboeken.
9. Commando en controle
Techniek Titel identiteitsbewijs Gebruik of beoordeeld gebruik
Software voor externe toegang T1219 Iraanse cyberactoren installeren het remote access-programma “AnyDesk”. Iraanse cyberactoren zetten Meshcentral in om verbinding te maken met gecompromitteerde servers voor remote access.
Protocoltunneling T1572 Iraanse cyberactoren gebruiken ligolo / ligolo-ng voor open source tunneling en ngrok(.)io NGROK om uitgaande verbindingen te maken met een willekeurig subdomein.

Indicatoren van Compromise (IOC’s)

Lijst met geëxploiteerde openbare netwerkapparaten en bijbehorende CVE’s:

  • Citrix Netscaler (CVEs-2019-19781 en CVE-2023-3519)
  • F5 GROOT-IP (CVE-2022-1388)
  • Pulse Secure/Ivanti VPN’s (CVE-2024-21887)
  • PanOS-firewalls (CVE-2024-3400)
  • Beveiligingsgateways van Check Point (CVE-2024-24919)

Controleer op ongeautoriseerde installatie van:

  • “AnyDesk”-programma voor externe toegang
  • Meshcentraal
  • Open source tunneltool Ligolo (ligolo/ligolo-ng)
  • ngrok(.)io NGROK om uitgaande verbindingen te maken naar een willekeurig subdomein

IP-adres en domeinidentificatiegegevens

De onderstaande IP-adressen en domeinen werden door de kwaadwillende actoren in de opgegeven tijdsperioden in 2024 gebruikt.

Recente IOC’s
Indicator Voor het eerst gezien Meest recent waargenomen datum
138.68.90(.)19 Januari 2024 Augustus 2024
167.99.202(.)130 Januari 2024 Augustus 2024
78.141.238(.)182 Juli 2024 Augustus 2024
51.16.51(.)81 Januari 2024 Augustus 2024
51.20.138(.)134 Februari 2024 Augustus 2024
134.209.30(.)220 Maart 2024 Augustus 2024
13.53.124(.)246 Februari 2024 Augustus 2024
api.gupdate(.)net September 2022 Augustus 2024
githubapp(.)net Februari 2024 Augustus 2024

De onderstaande tabel geeft de historische IP-adressen en domeinen weer die aan deze actoren zijn gekoppeld.

Historische IOC’s
Indicator Voor het eerst gezien Meest recent waargenomen datum
18.134.0(.)66 September 2023 November 2023
193.149.190(.)248 September 2023 Januari 2024
45.76.65(.)42 September 2023 December 2023
206.71.148(.)78 Oktober 2023 Januari 2024
193.149.187(.)41 Oktober 2023 November 2023
inloggen.forticloud(.)online Oktober 2023 November 2023
fortigate.forticloud(.)online Oktober 2023 November 2023
cloud.sophos(.)een Oktober 2023 November 2023

De FBI heeft ook de bitcoinadressen opgesomd die aan de Iraanse dreigingsactoren zijn gekoppeld:

  • bc1q8n7jjgdepuym825zwwftr3qpem3tnjx3m50ku0
  • bc1qlwd94gf5uhdpu4gynk6znc5j3rwk9s53c0dhjs
  • bc1q2egjjzmchtm3q3h3een37zsvpph86hwgq4xskh
  • bc1qjzw7sh3pd5msgehdaurzv04pm40hm9ajpwjqky
  • bc1qn5tla384qxpl6zt7kd068hvl7y4a6rt684ufqp
  • bc1ql837eewad47zn0uzzjfgqjhsnf2yhkyxvxyjjc
  • bc1qy8pnttrfmyu4l3qcy59gmllzqq66gmr446ppcr
  • bc1q6620fmev7cvkfu82z43vwjtec6mzgcp5hjrdne
  • bc1qr6h2zcxlntpcjystxdf7qy2755p25yrwucm4lq
  • bc1qx9tteqhama2x2w9vwqsyny6hldh8my8udx5jlm
  • bc1qz75atxj4dvgezyuspw8yz9khtkuk5jpdgfauq8
  • bc1q6w2an66vrje747scecrgzucw9ksha66x9zt980
  • bc1qsn4l6h3mhyhmr72vw4ajxf2gr74hwpalks2tp9
  • bc1qtjhvqkun4uxtr4qmq6s3f7j49nr4sp0wywp489

Avatar for Vaseline
Vaseline https://newspowergreen.biz.id

You May Also Like

More From Author