29 de abril de 2024

Credenciais de rede corporativa roubadas à venda

3 de setembro de 2020

Pioneer Kitten (também conhecido como Fox Kitten) é conhecido por usar ferramentas de código aberto para comprometer serviços externos remotos e se infiltrar em redes corporativas.

O que aconteceu?

O grupo APT iraniano tem atacado VPNs corporativas nos últimos meses e recentemente foi visto vendendo credenciais de rede corporativa em fóruns de hackers.

  • Os alvos da Pioneer Kitten são organizações norte-americanas e israelenses em vários setores que representam algum tipo de interesse de inteligência para o governo iraniano.
  • De acordo com Crowdstrike , isso indica que o grupo APT provavelmente está procurando uma fonte adicional de renda, além de suas intrusões direcionadas em apoio ao governo iraniano.

Entidades alvo

Ativo desde pelo menos 2017, Pioneer Kitten está interessado principalmente em ciberespionagem para oferecer uma vantagem para a equipe de inteligência iraniana.

  • No início de agosto de 2020 , o Pioneer Kitten foi encontrado atacando o setor privado e governamental dos EUA, com a tarefa principal de fornecer uma cabeça de ponte inicial para outros grupos de hackers iranianos, a saber APT33 (Shamoon), Oilrig (APT34) ou Chafer.
  • O grupo visa principalmente os setores de governo, defesa, tecnologia e saúde na América do Norte e Israel.
  • Além disso, foi acusado de plantar backdoors na aviação, varejo, mídia e engenharia também.

Modo de operação

  • Para intrusão na rede, o Pioneer Kitten conta com o tunelamento SSH, ferramentas de código aberto e uma ferramenta personalizada chamada SSHMinion.
  • O grupo aproveita várias explorações críticas em VPNs comerciais e equipamentos de rede, incluindo VPNs corporativos Pulse Secure Connect (CVE-2019-11510), servidores Citrix e gateways de rede (CVE-2019-19781) e balanceadores de carga F5 Networks BIG-IP (CVE -2020-5902).

O resultado final

A venda de dados roubados em fóruns de hackers pela Pioneer Kitten é um risco importante para as organizações. Como seus segredos corporativos estão disponíveis comercialmente, isso pode resultar em várias ameaças ou riscos adicionais para as organizações. Para reduzir esses riscos, as organizações são recomendadas a atualizar suas credenciais de segurança em intervalos regulares e continuar avaliando sua infraestrutura de segurança.

Fonte: https://cyware.com/news/stolen-corporate-network-credentials-on-sale-26a49908

Matérias Relacionadas

Comentários do GitHub são usados ​​para enviar malware por meio de repositório da Microsoft

23 de abril de 2024

Malware Androxgh0st compromete servidores em todo o mundo por ataque de botnet

23 de abril de 2024

Ex-engenheiro de segurança condenado a 3 anos de prisão por roubo de criptomoedas no valor de US$ 12,3 milhões

15 de abril de 2024

Veja mais..

Na teia obscura, segredos médicos à venda

26 de abril de 2024

Criminosos colocam a venda bilhões de mensagens privadas de usuários do Discord

24 de abril de 2024

Estudo: Agente GPT-4 pode explorar vulnerabilidades não corrigidas

24 de abril de 2024

Siemens está trabalhando na correção de dispositivos afetados por bug do Firewall de Palo Alto

24 de abril de 2024

Vulnerabilidade de ‘confusão de dependência’ é encontrada no projeto Apache

23 de abril de 2024