Pioneer Kittenとして知られるイランを拠点とするハッキンググループが、米国全土の防衛、教育、金融、ヘルスケア組織に侵入し、複数のランサムウェア作戦の関連会社と協力して被害者を恐喝している。
この脅威グループ(Fox Kitten、UNC757、Parisiteとしても追跡されている)は少なくとも2017年から活動しており、イラン政府との関連が疑われている。
CISA、FBI、および国防総省のサイバー犯罪センターが本日共同勧告で警告したように、攻撃者は「Br0k3r」、さらに最近では「xplfinder」というハンドルネームを使用しながら、サイバーマーケットプレイスでドメイン管理者資格情報と完全なドメイン制御権限を販売することによって、侵害された組織のネットワークへのアクセスを収益化している。
「さらに最近、FBIは、これらの行為者がランサムウェアの関連会社と直接協力し、身代金の支払いの一定割合と引き換えに暗号化操作を可能にしていることを確認しました。これらの行為者は、ランサムウェアの関連会社であるNoEscape、Ransomhouse、ALPHV(別名BlackCat)と協力している」と連邦政府機関は述べている。
「これらのランサムウェア攻撃へのイランのサイバーアクターの関与は、アクセスを提供するだけにとどまらず、ランサムウェアの関連会社と緊密に連携して被害者ネットワークをロックし、被害者を恐喝するアプローチについて戦略を練っている。
これらの攻撃でランサムウェアのオペレーターと密接に協力する一方で、脅威アクターは一緒に働くランサムウェアのオペレーターに国籍や出自を明かさないため、Pioneer Kittenはその「パートナー」を闇に葬る。
2024年7月現在、Pioneer Kitten の脅威アクターは、CVE-2024-24919 の脆弱性が存在する可能性のある Check Point Security Gateway をスキャンしています。
また、2024年4月以降、彼らはPalo Alto NetworksのPAN-OSおよびGlobalProtect VPNデバイスの大量スキャンも実施しており、これは最大重大度のコマンドインジェクション脆弱性(CVE-2024-3400)に対して脆弱なデバイスを探索する一環であると考えられます。
歴史的に、この脅威グループは、Citrix NetscalerCVE-2019-19781およびCVE-2023-3519エクスプロイト、ならびにBIG-IP F5デバイスに対するCVE-2022-1388エクスプロイトを活用することで組織を標的としていることで知られています。
Pioneer Kittenはまた、2020年7月にアンダーグラウンドのフォーラムで侵害されたネットワークへのアクセスを販売しようとしているところを目撃されており、ハッキンググループの収益源を多様化させる試みであることが指摘されています。
CISAとFBIは、2020年9月に発表した別の共同勧告で、Pioneer Kitten脅威グループが「被害者ネットワークにランサムウェアを展開する能力があり、その意図がある可能性が高い」と警告し、「侵害されたネットワークインフラへのアクセス権をオンラインハッカーフォーラムで販売している」ことが確認されたと述べています。
FBIの分析によると、イランを拠点とするハッカーはイラン政府(GOI)と関係があり、「ダネッシュ・ノビン・サハンド」というイランの会社名を隠れ蓑にしている。彼らはまた、GOIの利益を支援するため、イスラエルとアゼルバイジャンの組織を標的にしたデータ窃盗攻撃にも関係している。
Comments