Volgens een nieuw rapport van CrowdStrike lijkt een vermoedelijke door de Iraanse staat gesteunde hackers groep actief te zijn geweest om extra inkomsten te genereren .

De security onderzoekers beweerde dat de nieuw ontdekte 'Pioneer Kitten' actief is sinds ten minste 2017 en voornamelijk gericht is op het stelen van informatie die strategisch nuttig zou zijn voor Teheran.

Overheid Iran

Volgens Alex Orleans, senior inlichtingenanalist van CrowdStrike, is de kans groter dat deze hackers rechtstreeks bij de overheid in dienst zijn, dit omdat er aanwijzingen zijn dat de groep onlangs reclame heeft gemaakt op het darkweb met aangeboden gehackte netwerken.

"Die activiteit duidt op een mogelijke poging tot diversificatie van de inkomstenstroom door Pioneer Kitten, naast zijn gerichte inbraken ter ondersteuning van de Iraanse regering", stelde Orleans. Als zodanig richt het zich meestal op de gezondheidszorg, de overheid, technologie- en defensiebedrijven.

“De tegenstander is vooral geïnteresseerd in exploits met betrekking tot VPN's en netwerkapparatuur, waaronder CVE-2019-11510, CVE-2019-19781 en meest recentelijk CVE-2020-5902; afhankelijkheid van dit soort exploits leent zich voor een opportunistisch operationeel model, ” vervolgde Orleans.

"Pioneer Kitten's naamgenoot operationele kenmerk is zijn afhankelijkheid van SSH-tunneling, via open-source tools zoals Ngrok en de aangepaste tool SSHMinion van de tegenstander, voor communicatie met implantaten en hands-on-keyboard-activiteit via Remote Desktop Protocol (RDP)."

Kwetsbaarheden

Sommige van de vermelde CVE's die door de groep worden uitgebuit, houden verband met bugs in producten van Pulse Secure en Citrix die eerder dit jaar op grote schaal werden misbruikt, met name bij ransomware aanvallen.

Volgens CrowdStrike bevonden de doelen van Pioneer Kitten zich tot dusver voornamelijk in Noord-Amerika en Israël. De groep is ook bekend onder de namen "Parasite", "UNC757" en "Fox Kitten".

Bron: infosecurity-magazine.com, crowdstrike.com