Брандмауэры и VPN служат точкой входа для спонсируемых иранским государством хакеров по прозвищу «Котята-пионеры», которые пытаются получить доступ к американским школам, банкам, больницам, оборонным компаниям и правительственным учреждениям.
Злоумышленники получают доступ через уязвимые устройства от Check Point, Citrix и Palo Alto Networks, говорится в сообщении. совместное заявление опубликовано Федеральным бюро расследований (ФБР), Центром киберпреступности Министерства обороны (DC3) и Агентством кибербезопасности и безопасности инфраструктуры (CISA).
Предполагается, что целью Pioneer Kitten является кража разведывательной информации для кражи данных у американских оборонных подрядчиков, что соответствует более крупным целям иранского правительства. Кроме того, его целью является сбор средств путем предоставления доступа группам программ-вымогателей.
«ФБР считает, что значительная часть операций этих злоумышленников против организаций США направлена на получение и развитие доступа к сети, а затем на сотрудничество с субъектами, связанными с программами-вымогателями, и развертывание программ-вымогателей», — говорится в предупреждении.
Было замечено, что Pioneer Kitten (также отслеживаемый как Fox Kitten, UNC757, Parisite, RUBIDIUM и Lemon Sandstorm) работал с группами вымогателей ALPHV/BlackCat, NoEscape и Ransomhouse, чтобы получить доступ к своим целям.
Компания воспользовалась рядом известных уязвимостей, таких как CVE-2024-24919 для использования устройств, использующих шлюзы безопасности Check Point, а также CVE-2024-3400 использовать непропатченные VPN-ОС Palo Alto Networks и GlobalProtect VPN, отключая антивирусную защиту при перемещении в горизонтальном направлении. Группа также нацелена на организации, базирующиеся в Израиле, Объединенных Арабских Эмиратах и Азербайджане.
Другая группа, спонсируемая иранским государством, также работала от имени Корпуса стражей исламской революции и собирала информацию о спутниковой связи США с помощью специально разработанного вредоносного ПО под названием «Tickler».
«ФБР считает, что значительная часть операций этих злоумышленников против организаций США направлена на получение и развитие доступа к сети, а затем на сотрудничество с партнерами по вымогательству и развертывание программ-вымогателей», — говорится далее в заявлении. «ФБР наблюдало использование этой тактики против академического и оборонного секторов США, но теоретически ее можно использовать против любой организации. ФБР и CISA предупреждают, что как только эти злоумышленники скомпрометируют вашу организацию, они могут использовать ваши учетные записи облачных сервисов для проведения вредоносных кибердействий и нападения на других жертв».
Больше от TechRadar Pro
