Onde a China vai, o Irã vai atrás: alertam sobre hackers de ‘contrato’ explorando VPNs Citrix, Pulse Secure e F5

Por favor, apenas “remende” sua infraestrutura, implora US-CISA.

O aviso reflete um alerta  emitido no início desta semana para exatamente os mesmos fornecedores, exceto com a China como parte malévola, em vez do Irã.

“A CISA e o FBI estão cientes de uma campanha difundida de um ciber ator mal-intencionado baseado no Irã que visa vários setores associados principalmente aos setores de tecnologia da informação, governo, saúde, financeiro, seguros e mídia nos Estados Unidos”, disseram as agências em um comunicado.

O ator da ameaça usa o nmap para fazer a varredura das redes alvo antes de explorar qualquer um de um host de CVEs para forçar sua entrada. Esses incluem CVE-2019-11510 (entrada remota vuln do Pulse Secure Connect), CVE-2019-11539 (injeção de código remoto Pulse Secure), CVE-2019-19781 (Citrix directory traversal) e CVE-2020-5902 (F5’s BIG- IP takeover vuln)

Uma vez dentro da rede de destino, os iranianos fazem a coisa usual: ganham uma posição, estabelecem persistência e então roubam dados. Ao fazer isso, eles também usam o shell da web China Chopper, lançado como um comunicado separado pela US CISA. Esse shell também implanta um script Powershell que rouba senhas criptografadas do aplicativo gerenciador de senhas KeePass, bem como outro utilitário que estabelece uma sessão de área de trabalho remota de saída.

Os iranianos fazem uso “significativo” do ngrok, que aparece como conexões da porta 443 TCP para “infraestrutura baseada em nuvem externa”, bem como FRPC sobre a porta 7557 da rede. CISA alertou o mundo para corrigir os CVEs, especialmente o Citrix falha de passagem de diretório detalhada em 2019-19781.

É significativo que os iranianos, identificados apenas como Pioneer Kitten ou UNC 757, pareçam estar copiando os TTPs chineses. Crowdstrike disse em um rodeio que a tripulação está ativa desde 2017 , descrevendo-os como “Altamente oportunistas com foco em Tecnologia, Governo, Defesa e Saúde” e especulando que eles podem ser empreiteiros privados operando para o estado iraniano, ao invés de unidades de o próprio governo iraniano.

O grupo também teria oferecido a venda de acesso a redes comprometidas em “um fórum clandestino”, algo que Crowdstrike pensava que pode ter sido um movimento não oficial do trabalho do governo iraniano. 

Fonte: https://www.theregister.com/2020/09/16/iran_targets_citrix_pulse_secure_f5_vpns/