Pioneer Kitten APT šešėlinė grėsmė: kaip nuo jos apsisaugoti
Nedaug aktorių pastaraisiais metais įgijo tiek daug žinomumo kaip „Pioneer Kitten Advanced Persistent Threat“ (APT) grupė. Susieta su Iranu, ši grupė buvo daugelio kibernetinių operacijų priešakyje, nukreipta į daugybę sektorių Jungtinėse Valstijose ir už jos ribų. Bet kuriai organizacijai, siekiančiai apsaugoti savo skaitmeninį turtą, labai svarbu suprasti, kas jie yra, kaip jie veikia ir kokių priemonių galima imtis norint nuo jų apsiginti.
Table of Contents
Kas yra Pioneer Kitten?
„Pioneer Kitten“, taip pat žinoma įvairiais slapyvardžiais, tokiais kaip UNC757, Parisite, Rubidium ir Lemon Sandstorm, yra įsilaužėlių grupė, kurią, kaip manoma, remia Irano vyriausybė. Nors oficiali jų misija tariamai susijusi su Irano geopolitiniais interesais, pavyzdžiui, įsilaužimo ir nutekinimo kampanijomis, kuriomis siekiama pakenkti priešams, pastaraisiais metais jų veikla smarkiai pasikeitė. Buvo pastebėta, kad Pioneer Kitten veikia kaip išpirkos reikalaujančių grupuočių tarpininkas, suteikdamas prieigą prie pažeistų tinklų mainais į neteisėto pelno dalį.
Įdomu tai, kad nors grupė veikia pagal Teherano oficialios priežiūros radarą, yra požymių, kad Irano valstybė gali visiškai nesankcionuoti jų išpirkos reikalaujančios programos. Vietoj to, Pioneer Kitten nariai, veikiantys prisidengę IT kompanija, pavadinta Danesh Novin Sahand, gali savarankiškai įsitraukti į šias finansiškai motyvuotas atakas, nors ir turėdami numanomą apsaugą, kurią jiems suteikia ryšiai su vyriausybe.
Kaip veikia Pioneer Kitten
„Pioneer Kitten“ veikla paprastai prasideda naudojant internetinių paslaugų spragas. Neseniai jie buvo nustatyti naudojant tokius įrankius kaip „Shodan“, prie interneto prijungtų įrenginių paieškos variklis, skirtas pažeidžiamoms sistemoms rasti. Jų taikiniai buvo „Check Point Security Gateway“, „Palo Alto Networks PAN-OS“, „Citrix“ ir „F5 BIG-IP“ įrenginiai. Išnaudojus šias spragas jie gali pažeisti tinklo apsaugą ir gauti pradinę prieigą.
Patekusi į vidų, grupė taiko įvairius metodus, kad padidintų privilegijas ir įsitvirtintų tinkle. Šios taktikos apima prisijungimo kredencialų fiksavimą, žiniatinklio apvalkalų diegimą, vartotojų paskyrų kūrimą arba užgrobimą ir saugos programinės įrangos išjungimą. Žinoma, kad jie teikia pirmenybę tokiems įrankiams kaip „AnyDesk“ nuotolinei prieigai ir „Ligolo“ arba „NGROK“, kad srautas būtų pašalintas iš pažeisto tinklo. „Pioneer Kitten“ taip pat naudoja „PowerShell Web Access“, „Windows“ funkciją, kad galėtų valdyti ir valdyti užkrėstas sistemas.
Užtikrinusi prieigą, grupė dažnai tiesiogiai bendradarbiauja su išpirkos reikalaujančiomis programomis susijusiomis įmonėmis. Jų dalyvavimas apima ne tik prieigos suteikimą; jie aktyviai šifruoja duomenis ir derasi dėl išpirkų. Šis bendradarbiavimo metodas leidžia jiems padidinti savo pajamas, tuo pačiu apsunkina pastangas sekti ir priskirti savo atakas vienam subjektui.
Ginantis nuo pionierių kačiuko
Atsižvelgiant į sudėtingą „Pioneer Kitten“ operacijų pobūdį, norint apsisaugoti nuo jų atakų, reikia aktyvaus ir daugiasluoksnio saugumo požiūrio. Štai keletas pagrindinių strategijų, kurias gali priimti organizacijos:
- Pataisų valdymas : reguliariai atnaujinkite ir pataisykite visą programinę įrangą, ypač su internetu susijusias paslaugas, tokias kaip VPN ir saugos šliuzai. Pioneer Kitten dažnai išnaudoja žinomus pažeidžiamumus, todėl būtina nedelsiant išspręsti šias problemas.
- Nulinio pasitikėjimo architektūra : nulinio pasitikėjimo saugumo modelio įgyvendinimas gali žymiai sumažinti riziką, kad užpuolikas tinkle judės į šoną. Šis metodas reikalauja griežto bet kurio įrenginio ar vartotojo, pasiekiančio tinklo išteklius, patikrinimo.
- Galinių taškų apsauga : naudokite pažangius galinių taškų aptikimo ir atsako (EDR) sprendimus, kad galėtumėte stebėti ir apsaugoti galinius taškus nuo neįprastos veiklos, pvz., privilegijų padidinimo arba saugos įrankių išjungimo.
- Tinklo segmentavimas : padalindamos tinklą į atskirus segmentus, organizacijos gali apriboti žalą pažeidimo atveju. Dėl to užpuolikams sunkiau pereiti iš vienos tinklo dalies į kitą.
- Reguliarūs saugos auditai : atlikite išsamų ir dažną saugumo vertinimą, kad nustatytumėte galimus tinklo apsaugos pažeidžiamumus ir silpnąsias vietas.
- Reagavimo į incidentus planavimas : pasiruoškite galimiems pažeidimams, sukurdami ir reguliariai tikrindami reagavimo į incidentus planą. Šis planas turėtų apimti paveiktų sistemų izoliavimo, bendravimo su suinteresuotosiomis šalimis ir operacijų atkūrimo protokolus.
Kelias priekyje
„Pioneer Kitten“ atspindi augančią tendenciją, kai valstybės remiami veikėjai ištrina ribą tarp šnipinėjimo ir finansiškai motyvuotų elektroninių nusikaltimų. Jų gebėjimas bendradarbiauti su ransomware gaujomis ir atkaklios pastangos išnaudoti pažeidžiamumą kelia didžiulę grėsmę. Tačiau būdamos informuotos apie savo taktiką ir laikydamosi tvirtos kibernetinio saugumo praktikos, organizacijos gali žymiai sumažinti riziką tapti šios sunkiai suprantamos grupės aukomis.
Šiuolaikiniame skaitmeniniame amžiuje svarbiausia yra budrumas ir pasiruošimas. Kadangi Pioneer Kitten ir toliau vystosi, turi būti taikomos strategijos, skirtos apsiginti nuo jų.
