Categories: AMEAÇAS ATUAIS

Credenciais de rede corporativa roubadas à venda

O que aconteceu?

O grupo APT iraniano tem atacado VPNs corporativas nos últimos meses e recentemente foi visto vendendo credenciais de rede corporativa em fóruns de hackers.

  • Os alvos da Pioneer Kitten são organizações norte-americanas e israelenses em vários setores que representam algum tipo de interesse de inteligência para o governo iraniano.
  • De acordo com Crowdstrike , isso indica que o grupo APT provavelmente está procurando uma fonte adicional de renda, além de suas intrusões direcionadas em apoio ao governo iraniano.

Entidades alvo

Ativo desde pelo menos 2017, Pioneer Kitten está interessado principalmente em ciberespionagem para oferecer uma vantagem para a equipe de inteligência iraniana.

  • No início de agosto de 2020 , o Pioneer Kitten foi encontrado atacando o setor privado e governamental dos EUA, com a tarefa principal de fornecer uma cabeça de ponte inicial para outros grupos de hackers iranianos, a saber APT33 (Shamoon), Oilrig (APT34) ou Chafer.
  • O grupo visa principalmente os setores de governo, defesa, tecnologia e saúde na América do Norte e Israel.
  • Além disso, foi acusado de plantar backdoors na aviação, varejo, mídia e engenharia também.

Modo de operação

  • Para intrusão na rede, o Pioneer Kitten conta com o tunelamento SSH, ferramentas de código aberto e uma ferramenta personalizada chamada SSHMinion.
  • O grupo aproveita várias explorações críticas em VPNs comerciais e equipamentos de rede, incluindo VPNs corporativos Pulse Secure Connect (CVE-2019-11510), servidores Citrix e gateways de rede (CVE-2019-19781) e balanceadores de carga F5 Networks BIG-IP (CVE -2020-5902).

O resultado final

A venda de dados roubados em fóruns de hackers pela Pioneer Kitten é um risco importante para as organizações. Como seus segredos corporativos estão disponíveis comercialmente, isso pode resultar em várias ameaças ou riscos adicionais para as organizações. Para reduzir esses riscos, as organizações são recomendadas a atualizar suas credenciais de segurança em intervalos regulares e continuar avaliando sua infraestrutura de segurança.

Fonte: https://cyware.com/news/stolen-corporate-network-credentials-on-sale-26a49908

Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.

Share
Published by
Ninja
6 anos ago

Recent Posts

Falsos instaladores do OpenClaw ganham destaque no Bing AI e espalham malware

Como o golpe funcionava- O atacante publicou um projeto “parecido com legítimo” no GitHub, usando…

1 semana ago

Falha crítica no better-auth permite criação não autenticada de API keys e risco de takeover

Falha crítica no better-auth permite criar API keys sem autenticação para usuários arbitrários, com risco…

3 semanas ago

Spyware Graphite da Paragon volta ao foco após achados forenses e vazamentos em debate

Graphite, spyware ligado à Paragon, volta ao foco com evidências forenses de ataques zero-click a…

3 semanas ago

SmartLoader usa servidor MCP trojanizado da Oura para espalhar StealC e mirar credenciais de devs

Nova campanha SmartLoader manipula a confiança em repositórios e diretórios de MCP para distribuir StealC.…

3 semanas ago

CISA adiciona CVE-2024-7694 ao KEV: falha no ThreatSonar pode permitir execução remota de comandos

A CISA incluiu o CVE-2024-7694 no catálogo KEV após confirmação de exploração em ambiente real.…

3 semanas ago

Dragos: grupo ligado à China manteve acesso a redes de energia dos EUA para possível sabotagem

Relatório da Dragos indica que operadores ligados à China mantiveram acesso persistente a redes de…

3 semanas ago