Por favor, apenas “remende” sua infraestrutura, implora US-CISA.
O aviso reflete um alerta emitido no início desta semana para exatamente os mesmos fornecedores, exceto com a China como parte malévola, em vez do Irã.
“A CISA e o FBI estão cientes de uma campanha difundida de um ciber ator mal-intencionado baseado no Irã que visa vários setores associados principalmente aos setores de tecnologia da informação, governo, saúde, financeiro, seguros e mídia nos Estados Unidos”, disseram as agências em um comunicado.
O ator da ameaça usa o nmap para fazer a varredura das redes alvo antes de explorar qualquer um de um host de CVEs para forçar sua entrada. Esses incluem CVE-2019-11510 (entrada remota vuln do Pulse Secure Connect), CVE-2019-11539 (injeção de código remoto Pulse Secure), CVE-2019-19781 (Citrix directory traversal) e CVE-2020-5902 (F5’s BIG- IP takeover vuln)
Uma vez dentro da rede de destino, os iranianos fazem a coisa usual: ganham uma posição, estabelecem persistência e então roubam dados. Ao fazer isso, eles também usam o shell da web China Chopper, lançado como um comunicado separado pela US CISA. Esse shell também implanta um script Powershell que rouba senhas criptografadas do aplicativo gerenciador de senhas KeePass, bem como outro utilitário que estabelece uma sessão de área de trabalho remota de saída.
Os iranianos fazem uso “significativo” do ngrok, que aparece como conexões da porta 443 TCP para “infraestrutura baseada em nuvem externa”, bem como FRPC sobre a porta 7557 da rede. CISA alertou o mundo para corrigir os CVEs, especialmente o Citrix falha de passagem de diretório detalhada em 2019-19781.
É significativo que os iranianos, identificados apenas como Pioneer Kitten ou UNC 757, pareçam estar copiando os TTPs chineses. Crowdstrike disse em um rodeio que a tripulação está ativa desde 2017 , descrevendo-os como “Altamente oportunistas com foco em Tecnologia, Governo, Defesa e Saúde” e especulando que eles podem ser empreiteiros privados operando para o estado iraniano, ao invés de unidades de o próprio governo iraniano.
O grupo também teria oferecido a venda de acesso a redes comprometidas em “um fórum clandestino”, algo que Crowdstrike pensava que pode ter sido um movimento não oficial do trabalho do governo iraniano.
Fonte: https://www.theregister.com/2020/09/16/iran_targets_citrix_pulse_secure_f5_vpns/
CVE-2025-20352 no SNMP do IOS/IOS XE permite DoS e até execução como root; aplique os…
Um novo e inteligente golpe do ClickFix está usando um instalador falso do AnyDesk e…
Pesquisadores descobriram que agentes de ameaças exploram o Grok, IA integrada ao X (antigo Twitter),…
As explorações permitem backdooring persistente quando os alvos abrem arquivos armadilhados.
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…