We use cookies to ensure that we give you the best experience on our website.

伊朗网络攻击:Fox Kitten 在美国助长勒索软件

新的联合网络安全咨询美国联邦调查局、网络安全和基础设施安全局以及国防部网络犯罪中心曝光了有关臭名昭著的伊朗威胁组织“Fox Kitten”的新信息。

该组织出售他们在网络犯罪分子地下论坛中获得的企业访问权限,并与勒索软件附属机构积极合作,协助勒索受害者。最近几周,威胁行为者已将目光投向渗透美国和其他外国组织。

狐狸小猫是谁?

狐狸小猫— 也称为 Pioneer Kitten、UNC757、Parasite、Rubidium 和 Lemon Sandworm — 是一个威胁行为者,至少自 2017 年以来一直积极从事网络间谍活动。

美国联邦调查局表示,该组织与伊朗政府有联系,并支持针对各种组织窃取敏感技术数据。威胁行为者的目标是以色列和阿塞拜疆等中东地区的公司,还有澳大利亚、芬兰、爱尔兰、法国、德国、阿尔及利亚、土耳其、美国等国家的公司。

根据该通报,自 2017 年以来,Fox Kitten 对美国组织进行了大量计算机网络入侵尝试。其目标包括美国学校、市政府、金融机构和医疗机构,最近的事件发生在 2024 年 8 月。

OT 网络安全公司 Dragos 指出,威胁行为者还通过利用虚拟专用网络设备中的漏洞来针对 ICS 相关实体。

该通报还透露,该组织使用“伊朗公司名称 Danesh Novin Sahand(识别号 14007585836),很可能作为该组织恶意网络活动的掩护 IT 实体。”

不仅仅是网络间谍活动

2020年,运营“支付钥匙”,由 Fox Kitten 领导,表明威胁行为者可以追求其他目标,而不仅仅是促进网络间谍活动。

据以色列公司 ClearSky Cyber​​ Security 称,勒索软件攻击针对以色列组织,使用此前未报告的勒索软件,但攻击活动很可能是为了在以色列引起恐惧和恐慌而进行的宣传。攻击期间被盗的数据在一个泄露网站上公开曝光,其中提到“Pay2Key,以色列网络空间噩梦!”如报告所示。

其他报告网络安全公司 CrowdStrike 在 2020 年发布的报告显示,威胁行为者还在地下论坛上打广告出售受感染网络的访问权限。研究人员认为,这项活动是实现收入来源多元化的潜在尝试,同时也是支持伊朗政府的有针对性的入侵。

与勒索软件关联公司合作

一旦 Fox Kitten 获得了对受害者网络的访问权限,该组织就会与来自 NoEscape、RansomHouse 和。威胁行为者提供对勒索软件附属公司的完全访问权限,以换取一定比例的赎金。

据联邦调查局称,Fox Kitten 提供的不仅仅是对受感染网络的访问。该组织与勒索软件附属机构密切合作,锁定受害者网络并制定勒索受害者的策略。然而,该组织并未向其勒索软件附属联系人透露其位于伊朗的位置,并且对其来源也保持模糊。

联合公告显示,该组织用“Br0k3r”这个绰号来称呼自己,并于 2024 年在其频道中使用“xpfinder”。

技术细节

Fox Kitten 使用 Shodan 搜索引擎来识别托管易受特定攻击的设备的 IP 地址,例如 Citrix Netscaler、F5 Big-IP、Pulse Secure/Ivanti VPN 或 PanOS 防火墙。

一旦漏洞被利用,威胁行为者就会:

  • 在创建恶意任务之前植入 Webshel​​l 并捕获登录凭据,以添加后门恶意软件并继续危害系统。
  • 使用受损的凭据,使用“IIS_Admin”或“sqladmin$”等谨慎名称在受害者网络上创建新帐户。
  • 获得对管理员凭据的控制,以登录域控制器和基础设施的其他部分。现有的安全软件和防病毒软件也被禁用。

“Br0k3r”已经活跃一年多了

该联合公告提供了多个妥协指标,但也列出了名为“Br0k3r”的 TOX 标识符。毒性是一种点对点即时通讯软件,旨在提供安全通信并使用唯一密钥来识别用户。

“Br0k3r”的唯​​一 TOX ID 已被裸露2023 年被 SANS Institute 评为出售不同国家/地区的企业网络访问权限,包括美国、加拿大、中国、英国、法国、意大利、挪威、西班牙、印度、台湾和瑞士。

威胁参与者 Br0k3r 提供对企业网络的访问权限,并提到可能在地下论坛上进行合作。图片来源:SANS 研究所

看到威胁行为者针对美国并不奇怪,因为美国是受勒索软件影响最严重的国家网络安全公司 MalwareBytes。

利用网络犯罪论坛

威胁行为者提供了一个独特的 Tor 托管网站,在几个不同的网络犯罪分子论坛上宣传他们的访问权限。

Br0k3r 网站的第一个版本表明,每次销售都包含完整的域控制,包括域管理凭据、Active Directory 用户凭据、DNS 区域和对象以及 Windows 域信任。

Br0k3r 的 Tor 托管网站的第一个版本。图片来源:SANS 研究所

该网站于 2023 年 8 月左右推出的第二个版本显示“有相当多的活跃勒索软件团伙与我合作”。

Br0k3r 的 Tor 托管网站的第二个版本。图片来源:SANS 研究所

如何保护您的企业免受这种威胁

Fox Kitten 部署的最初妥协方法包括利用多个不同的面向互联网的设备(特别是企业 VPN 或防火墙设备)中的已知漏洞。为了防范这种网络威胁,公司应该:

  • 更新并修补 VPN 和防火墙设备以避免陷入此类漏洞。
  • 更新并修补所有操作系统,并且软件必须是最新的并已修补。
  • 监控谁有权访问 VPN,以发现任何可疑的连接或连接尝试。还应使用 VPN 设备上的过滤,以便员工只能在必要时通过常用的 Internet 连接进行连接。
  • 检查并分析日志文件。联合报告中提供的任何妥协迹象的发现都必须立即进行调查。
  • 在每个端点和服务器上部署安全解决方案,以检测可疑活动。

最后,FBI 和 CISA 不建议支付赎金,因为无法保证受害者能够恢复其加密文件,而且这些付款还可能资助其他犯罪活动。

披露:我在趋势科技工作,但本文中表达的观点是我的。

Related articles