В 2019 и 2020 годах группировка взломала корпоративные сети путем эксплуатации уязвимостей в VPN и сетевом оборудовании.
https://www.securitylab.ru/upload/ib...cc5dec252b.jpg
Иранская киберпреступнавя группировка Pioneer Kitten (также известная как Fox Kitten и Parisite), которая в период с 2019 по 2020 год атаковала корпоративные VPN, теперь пытается https://www.crowdstrike.com/blog/who-is-pioneer-kitten/некоторые из взломанных систем, продавая доступ к скомпрометированным сетям другим злоумышленникам.
По словам исследователей из ИБ-компании Crowdstrike, в 2019 и 2020 годах группировка осуществила взлом корпоративных сетей путем эксплуатации уязвимостей в VPN и сетевом оборудовании различных компаний:
<ul><li>Pulse Secure «Connect» корпоративные VPN (CVE-2019-11510);
</li>
<li>Fortinet VPN-серверы под управлением FortiOS ( https://www.securitylab.ru/vulnerability/499234.php?R=1 );
</li>
<li>Palo Alto Networks «Global Protect» VPN-серверы ( https://www.securitylab.ru/vulnerability/500139.php );
</li>
<li>Серверы Citrix «ADC» и сетевые шлюзы ( https://www.securitylab.ru/vulnerability/504008.php );
</li>
<li>F5 Networks BIG-IP балансировщики нагрузки (CVE-2020-5902).</li>
</ul>
Киберпреступники взламывали сетевые устройства, используя указанные выше уязвимости, внедряли бэкдоры, а затем предоставляли доступ другим иранским хакерским группам, таким как APT33 (Shamoon), APT34 (Oilrig) или Chafer.
Другие группировки используют «начальный доступ», который удалось получить Pioneer Kitten, для перемещения по сети, а затем применяют более продвинутые вредоносные программы и эксплоиты с целью похитить конфиденциальную информацию, представляющую интерес для правительства Ирана.
Как полагают эксперты, группировка пытается диверсифицировать поток своих доходов и монетизировать сети, которые не имеют никакой разведывательной ценности для иранских спецслужб.