تم القبض على مجموعة APT الإيرانية التي تعمل كوسيط للوصول إلى أطقم برامج الفدية
يعمل القراصنة الذين ترعاهم الحكومة الإيرانية كـ الوسطاء ووسطاء الوصول الأولي لاستهداف البيئات نيابة عن عصابات برامج الفدية ذات الدوافع المالية، بما في ذلك الأسماء الكبيرة مثل ALPHV/القط الأسودحذرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA).
وفي استشارة نشرت هذا الأسبوع، كشفت وكالة الأمن السيبراني والبنية التحتية وشركاؤها في مجال إنفاذ القانون، بما في ذلك مكتب التحقيقات الفيدرالي، أن إيران التهديد المستمر المتقدم كانت مجموعة (APT) التي تم تتبعها بشكل مختلف باسم Pioneer Kitten وUNC757 وParisite وRubidium وLemon Sandstorm تنفذ عمليات إلكترونية ضارة تهدف إلى نشر هجمات برامج الفدية للحصول على الوصول إلى الشبكة والحفاظ عليها وتطويرها.
وقالت وكالة الأمن السيبراني والبنية التحتية إن “هذه العمليات تساعد الجهات الفاعلة السيبرانية الخبيثة على التعاون بشكل أكبر مع الجهات التابعة لمواصلة نشر برامج الفدية”.
“تسلط هذه الاستشارة الضوء على نشاط مجموعة محددة من الجهات الفاعلة السيبرانية الإيرانية التي نفذت عددًا كبيرًا من محاولات اختراق شبكات الكمبيوتر ضد المنظمات الأمريكية منذ عام 2017 وحتى أغسطس 2024. وتشمل المنظمات المخترقة المدارس والحكومات البلدية والمؤسسات المالية ومرافق الرعاية الصحية التي تتخذ من الولايات المتحدة مقراً لها.”
وقد لاحظ مكتب التحقيقات الفيدرالي في السابق أن المجموعة تحاول تحقيق الدخل من وصولها إلى منظمات الضحايا في الأسواق السوداء، ويقدر الآن أن “نسبة كبيرة” من أنشطتها – على الأقل في الولايات المتحدة – تركز على بيع هذا الوصول إلى عصابات الجرائم الإلكترونية الناطقة باللغة الروسية.
ولكن هناك الآن أدلة تشير إلى أن هذه العلاقة تبدو أعمق من ذلك. والواقع أن السلطات الفيدرالية تعتقد الآن أن شركة بايونير كيتن كانت “تتعاون بشكل مباشر” مع شركات تابعة لبرامج الفدية للحصول على حصة من مدفوعات الفدية في مقابل مساعدتها.
“لقد تعاون هؤلاء الممثلون مع الشركات التابعة لبرامج الفدية لا مفر, بيت الفدية“و ALPHV (المعروف أيضًا باسم BlackCat)”، حسبما ذكرت وكالة الأمن السيبراني والأنظمة السيبرانية.
“إن تورط الجهات الفاعلة الإلكترونية الإيرانية في هجمات برامج الفدية هذه يتجاوز توفير الوصول؛ فهم يعملون بشكل وثيق مع الشركات التابعة لبرامج الفدية لإغلاق شبكات الضحايا والتخطيط لأساليب ابتزاز الضحايا.
“يعتقد مكتب التحقيقات الفيدرالي أن هؤلاء الممثلين لا يكشفون عن موقعهم في إيران لجهات الاتصال التابعة لهم في مجال برامج الفدية، وأنهم غامضون عمدًا فيما يتعلق بجنسيتهم وأصلهم.”
إحباط القطة
يبدو أن هجوم برامج الفدية المدعوم من Pioneer Kitten يبدأ عمومًا باستغلال الخدمات الخارجية البعيدة على الأصول المتصلة بالإنترنت.
في الأسابيع الأخيرة، لوحظ أن العصابة تستخدم Shodan لتحديد عناوين IP التي تستضيف بوابات Check Point Security عُرضة لـ CVE-2024-24919، ولكن من المعروف أيضًا أنه استغل CVE-2024-3400 في Palo Alto Networks PAN-OS وGlobalProtect VPN، إلى جانب الثغرات القديمة في Citrix و F5 بيج-آي بييجب أن يكون معالجة هذه المشكلات على رأس الأولويات بالنسبة لفرق الأمن في المؤسسات المعرضة للخطر.
وبمجرد تجاوز هذه العقبة الأولى، فإن أسلوب عمل المجموعة هو في معظم النواحي أسلوب قياسي إلى حد ما – فهي تسعى إلى تعزيز أهدافها من خلال الاستيلاء على بيانات اعتماد تسجيل الدخول على أجهزة Netscaler عبر واجهة ويب، ورفع امتيازاتها عن طريق اختطاف أو إنشاء حسابات جديدة، غالبًا مع استثناءات من سياسات الثقة الصفرية، ووضع أبواب خلفية لتحميل البرامج الضارة، ومحاولة تعطيل برامج مكافحة الفيروسات وخفض إعدادات الأمان. كما تقوم بإعداد مهمة خدمة Windows يومية للاستمرار مع حدوث التخفيف.
عندما يتعلق الأمر بالقيادة والتحكم، يُعرف Pioneer Kitten باستخدام برنامج الوصول عن بُعد AnyDesk وتمكين الخوادم من استخدام Windows PowerShell Web Access. كما يفضل Ligolo، وهي أداة أنفاق مفتوحة المصدر، وNGROK لإنشاء اتصالات خارجية.
ال استشارة CISA كاملة يحتوي على مزيد من التفاصيل الفنية حول سلسلة الهجوم الخاصة به.
هل أصبحت القطة الرائدة مارقة؟
ومن المثير للاهتمام أن السلطات الأمريكية قالت أيضًا إن أنشطة برامج الفدية التي تقوم بها شركة Pioneer Kitten قد لا تخضع لعقوبات رسمية من قبل طهران، وقد أعرب أعضاء المجموعة أنفسهم – الذين يستخدمون اسم الشركة الإيرانية Danesh Novin Sahand كشركة غطاء لتكنولوجيا المعلومات – عن قلقهم أحيانًا من أن الحكومة الإيرانية قد تراقب أنشطتهم في غسل الأموال.
وتقول وكالة الأمن السيبراني والأنظمة السيبرانية إن المهمة الرسمية لمجموعة بايونير كيتن تتلخص على ما يبدو في تنفيذ حملات اختراق وتسريب وسرقة البيانات ونشرها، ليس بهدف جني الأموال، بل لتقويض ضحاياها كجزء من العمليات الإعلامية الإيرانية. ويبدو أن هذا النشاط ركز إلى حد كبير على الضحايا في إسرائيل وغيرها من القوى الإقليمية ذات الأهمية بالنسبة لإيران، بما في ذلك أذربيجان والإمارات العربية المتحدة.