Categories: AMEAÇAS ATUAIS

Credenciais de rede corporativa roubadas à venda

O que aconteceu?

O grupo APT iraniano tem atacado VPNs corporativas nos últimos meses e recentemente foi visto vendendo credenciais de rede corporativa em fóruns de hackers.

  • Os alvos da Pioneer Kitten são organizações norte-americanas e israelenses em vários setores que representam algum tipo de interesse de inteligência para o governo iraniano.
  • De acordo com Crowdstrike , isso indica que o grupo APT provavelmente está procurando uma fonte adicional de renda, além de suas intrusões direcionadas em apoio ao governo iraniano.

Entidades alvo

Ativo desde pelo menos 2017, Pioneer Kitten está interessado principalmente em ciberespionagem para oferecer uma vantagem para a equipe de inteligência iraniana.

  • No início de agosto de 2020 , o Pioneer Kitten foi encontrado atacando o setor privado e governamental dos EUA, com a tarefa principal de fornecer uma cabeça de ponte inicial para outros grupos de hackers iranianos, a saber APT33 (Shamoon), Oilrig (APT34) ou Chafer.
  • O grupo visa principalmente os setores de governo, defesa, tecnologia e saúde na América do Norte e Israel.
  • Além disso, foi acusado de plantar backdoors na aviação, varejo, mídia e engenharia também.

Modo de operação

  • Para intrusão na rede, o Pioneer Kitten conta com o tunelamento SSH, ferramentas de código aberto e uma ferramenta personalizada chamada SSHMinion.
  • O grupo aproveita várias explorações críticas em VPNs comerciais e equipamentos de rede, incluindo VPNs corporativos Pulse Secure Connect (CVE-2019-11510), servidores Citrix e gateways de rede (CVE-2019-19781) e balanceadores de carga F5 Networks BIG-IP (CVE -2020-5902).

O resultado final

A venda de dados roubados em fóruns de hackers pela Pioneer Kitten é um risco importante para as organizações. Como seus segredos corporativos estão disponíveis comercialmente, isso pode resultar em várias ameaças ou riscos adicionais para as organizações. Para reduzir esses riscos, as organizações são recomendadas a atualizar suas credenciais de segurança em intervalos regulares e continuar avaliando sua infraestrutura de segurança.

Fonte: https://cyware.com/news/stolen-corporate-network-credentials-on-sale-26a49908

Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.

Share
Published by
Ninja
6 anos ago

Recent Posts

Qualys alerta: avalanche de CVEs e janela de exploração negativa entram na era Mythos

IA está comprimindo a janela entre divulgação e exploração a ponto de ficar negativa. A…

3 semanas ago

NoVoice no Google Play: malware com rootkit infectou 2,3 milhões e mira Androids desatualizados

Operação NoVoice espalhou-se por mais de 50 apps do Google Play e explorou falhas antigas…

3 semanas ago

Criminosos dizem ter hackeado a cidade de Meriden (EUA) e roubado dados

Grupo Inc reivindica ataque contra a prefeitura de Meriden, Connecticut. A cidade desligou serviços e…

3 semanas ago

Alemanha expõe líder do REvil/GandCrab e reacende debate sobre guerra ao ransomware

A Alemanha expôs o líder ligado a GandCrab/REvil e reforçou o alerta sobre rebrandings no…

3 semanas ago

Exploit zero‑day BlueHammer atinge Windows Defender e dá acesso SYSTEM

BlueHammer é um zero‑day LPE que explora o Windows Defender e eleva um usuário comum…

3 semanas ago

Drift suspende serviços após ataque que pode ter levado mais de US$ 285 milhões

Drift Protocol suspendeu depósitos e saques após ataque na Solana. Estimativas apontam perdas entre US$…

3 semanas ago