Credenciais de rede corporativa roubadas à venda

O que aconteceu?

O grupo APT iraniano tem atacado VPNs corporativas nos últimos meses e recentemente foi visto vendendo credenciais de rede corporativa em fóruns de hackers.

• Os alvos da Pioneer Kitten são organizações norte-americanas e israelenses em vários setores que representam algum tipo de interesse de inteligência para o governo iraniano.
• De acordo com Crowdstrike , isso indica que o grupo APT provavelmente está procurando uma fonte adicional de renda, além de suas intrusões direcionadas em apoio ao governo iraniano.

Entidades alvo

Ativo desde pelo menos 2017, Pioneer Kitten está interessado principalmente em ciberespionagem para oferecer uma vantagem para a equipe de inteligência iraniana.

• No início de agosto de 2020 , o Pioneer Kitten foi encontrado atacando o setor privado e governamental dos EUA, com a tarefa principal de fornecer uma cabeça de ponte inicial para outros grupos de hackers iranianos, a saber APT33 (Shamoon), Oilrig (APT34) ou Chafer.
• O grupo visa principalmente os setores de governo, defesa, tecnologia e saúde na América do Norte e Israel.
• Além disso, foi acusado de plantar backdoors na aviação, varejo, mídia e engenharia também.

Modo de operação

• Para intrusão na rede, o Pioneer Kitten conta com o tunelamento SSH, ferramentas de código aberto e uma ferramenta personalizada chamada SSHMinion.
• O grupo aproveita várias explorações críticas em VPNs comerciais e equipamentos de rede, incluindo VPNs corporativos Pulse Secure Connect (CVE-2019-11510), servidores Citrix e gateways de rede (CVE-2019-19781) e balanceadores de carga F5 Networks BIG-IP (CVE -2020-5902).

O resultado final

A venda de dados roubados em fóruns de hackers pela Pioneer Kitten é um risco importante para as organizações. Como seus segredos corporativos estão disponíveis comercialmente, isso pode resultar em várias ameaças ou riscos adicionais para as organizações. Para reduzir esses riscos, as organizações são recomendadas a atualizar suas credenciais de segurança em intervalos regulares e continuar avaliando sua infraestrutura de segurança.

Fonte: https://cyware.com/news/stolen-corporate-network-credentials-on-sale-26a49908