Osservati a novembre e dicembre 2020 e indicati collettivamente come operazione Pay2Key, gli attacchi sembrano essere opera dell’attore di minacce sponsorizzato dallo stato iraniano Fox Kitten.
Chiamato anche Parisite e PIONEER KITTEN, si dice che l’attività associata a Fox Kitten rappresenti una collaborazione tra due noti gruppi iraniani sponsorizzati dallo stato, vale a dire APT33 (Elfin, Magnallium, Holmium e Refined Kitten) e APT34 ( OilRig, Greenbug) .
Conosciuto per l’uso di vari strumenti offensivi open-source e auto-sviluppati, l’avversario è stato osservato prendere di mira le VPN aziendali per le intrusioni, nonché il BIG-IP application delivery controller (ADC) di F5 Networks.
Una nuova serie di attacchi contro società industriali, assicurative e logistiche in Israele sembra essere opera di Fox Kitten, ha osservato ClearSky in un nuovo rapporto. A novembre e dicembre 2020, l’hacker ha preso di mira dozzine di società israeliane in attacchi che hanno comportato l’implementazione di ransomware per crittografare server e workstation.
Oltre agli attacchi ransomware potenzialmente fuorvianti, è stato osservato che l’avversario esegue “attacchi alla catena di approvvigionamento”, sfruttando l’accessibilità o le informazioni ottenute da organizzazioni precedentemente violate.
“Riteniamo che questa campagna faccia parte del confronto informatico in corso tra Israele e Iran, con la più recente ondata di attacchi che ha causato danni significativi ad alcune delle società interessate“, ha osservato ClearSky in un rapporto tecnico dettagliato.
Come nelle campagne precedenti, gli aggressori prendono di mira le vulnerabilità note per la compromissione iniziale. Secondo ClearSky, la campagna Pay2Key sembra mirare a creare panico in Israele, dato che gli aggressori fanno trapelare dati esfiltrati invece di chiedere solo un riscatto.
Il più vecchio eseguibile ransomware Pay2Key utilizzato in questi attacchi ha una data di compilazione del 26 ottobre 2020. Gli strumenti disponibili pubblicamente sono stati utilizzati per abilitare un proxy inverso sulle macchine infette ed è stato eseguito uno spostamento laterale per assumere il controllo di server aggiuntivi prima di distribuire il ransomware.
In genere, gli aggressori chiedevano da sette a nove Bitcoin come riscatto e mostravano informazioni sensibili rubate alle vittime su un sito Web, per spingere le organizzazioni a pagare. Il ransomware Pay2Key non richiede la connettività con il server di comando e controllo (C&C) per funzionare, hanno scoperto i ricercatori della sicurezza.
Le vulnerabilità prese di mira in questi attacchi includono CVE-2019-11510 (Pulse Secure), CVE-2018-13379 (Fortinet FortiOS), CVE-2018-1579 (Palo Alto Networks VPN), CVE-2019-19781 (Citrix NetScaler) e CVE- 2020-5902 (F5 BIG-IP). Sono stati presi di mira anche gli account Microsoft Exchange Server e RDP.
Fonte: SecurityWeek.
