Por favor, apenas “remende” sua infraestrutura, implora US-CISA.
O aviso reflete um alerta emitido no início desta semana para exatamente os mesmos fornecedores, exceto com a China como parte malévola, em vez do Irã.
“A CISA e o FBI estão cientes de uma campanha difundida de um ciber ator mal-intencionado baseado no Irã que visa vários setores associados principalmente aos setores de tecnologia da informação, governo, saúde, financeiro, seguros e mídia nos Estados Unidos”, disseram as agências em um comunicado.
O ator da ameaça usa o nmap para fazer a varredura das redes alvo antes de explorar qualquer um de um host de CVEs para forçar sua entrada. Esses incluem CVE-2019-11510 (entrada remota vuln do Pulse Secure Connect), CVE-2019-11539 (injeção de código remoto Pulse Secure), CVE-2019-19781 (Citrix directory traversal) e CVE-2020-5902 (F5’s BIG- IP takeover vuln)
Uma vez dentro da rede de destino, os iranianos fazem a coisa usual: ganham uma posição, estabelecem persistência e então roubam dados. Ao fazer isso, eles também usam o shell da web China Chopper, lançado como um comunicado separado pela US CISA. Esse shell também implanta um script Powershell que rouba senhas criptografadas do aplicativo gerenciador de senhas KeePass, bem como outro utilitário que estabelece uma sessão de área de trabalho remota de saída.
Os iranianos fazem uso “significativo” do ngrok, que aparece como conexões da porta 443 TCP para “infraestrutura baseada em nuvem externa”, bem como FRPC sobre a porta 7557 da rede. CISA alertou o mundo para corrigir os CVEs, especialmente o Citrix falha de passagem de diretório detalhada em 2019-19781.
É significativo que os iranianos, identificados apenas como Pioneer Kitten ou UNC 757, pareçam estar copiando os TTPs chineses. Crowdstrike disse em um rodeio que a tripulação está ativa desde 2017 , descrevendo-os como “Altamente oportunistas com foco em Tecnologia, Governo, Defesa e Saúde” e especulando que eles podem ser empreiteiros privados operando para o estado iraniano, ao invés de unidades de o próprio governo iraniano.
O grupo também teria oferecido a venda de acesso a redes comprometidas em “um fórum clandestino”, algo que Crowdstrike pensava que pode ter sido um movimento não oficial do trabalho do governo iraniano.
Fonte: https://www.theregister.com/2020/09/16/iran_targets_citrix_pulse_secure_f5_vpns/
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem…
O Google implementou uma nova funcionalidade de "Detecção de Golpes" com inteligência artificial no aplicativo…