Pioneer Kitten APT 出售公司网络访问权限

总部位于伊朗的APT利用开源工具和已知的漏洞渗透了多个vpn。

一个名为 Pioneer Kitten APT 组织，与伊朗有关，被发现在黑客论坛上出售企业网络证书。这些凭证可以让其他网络犯罪集团和APTs进行网络间谍活动和其他邪恶的网络活动。

Pioneer Kitten APT 是一个黑客组织，专门利用开源工具侵入公司网络，破坏远程外部服务。CrowdStrike intelligence的高级情报分析师 Alex Orleans 周一在博客上发帖称，研究人员观察到，与该集团有关的一名演员今年7月在一个地下论坛发布了进入受攻击网络的广告。

PIONEER KITTEN

起源	伊朗伊斯兰共和国
目标国家	以色列，中东北非（MENA）， 北美，美国
最近一次活动	2020年7月（最早：2017年）
目标行业	高度投机，专注于技术，政府，国防和医疗保健
社区标识符	PARISITE，UNC757，Fox Kitten
动机	间谍

“Pioneer Kitten”的工作与伊朗政府赞助或运营的其他组织有关，这些组织以前曾被发现侵入vpn，并在世界各地的公司中植入后门。

事实上，黑客论坛上的证书销售似乎表明“这是一种实现收入来源多样化的潜在尝试”，以补充“支持伊朗政府的有针对性的入侵行动”。然而，Orleans指出，2017年成立的Pioneer Kitten公司似乎不是由伊朗政府直接运营的，但它相当同情伊朗政权，很可能是一家私人承包商。

他写道，Pioneer Kitten的主要运营模式依赖于SSH隧道，使用Ngrok等开源工具和SSHMinion等定制工具。Orleans解释说，该小组使用这些工具“通过远程桌面协议(RDP)通过植入 hands-on-keyboard 活动”进行通信，利用vpn和网络设备的漏洞来完成其工作。

CrowdStrike观察到该小组利用了几个关键的利用，尤其是CVE-2019-11510、CVE-2019-19781和最近的CVE-2020-5902。这三种攻击都影响到vpn和网络设备，包括Pulse Secure“Connect”企业VPN、Citrix服务器和网络网关以及F5 Networks BIG-IP负载均衡器。

据CrowdStrike称，“Pioneer Kitten”的目标是北美和以色列各部门的组织，这些组织对伊朗政府有某种情报兴趣。目标行业包括技术、政府、国防、医疗保健、航空、媒体、学术、工程、咨询和专业服务、化工、制造业、金融服务、保险和零售。

尽管伊朗的活动不像中国和俄罗斯等其他民族国家的威胁那样广为人知或广泛，但它近年来已成为一个强大的网络敌人，聚集了大量APTs来对其政治对手发起攻击。

其中，Charming kit（也被称为APT35, Ajax或P）似乎是最活跃和危险的，而其他有着相似名字的似乎是副产品或支持团体。总的来说，伊朗最近似乎在加强其网络活动。事实上，在CrowdStrike的报道之前，有消息称“可爱的小猫”最近也重新浮出水面。一项新的活动正在使用LinkedIn和WhatsApp来说服目标用户——包括以色列大学学者和美国政府雇员，点击一个可以窃取证书的恶意链接。

“Charming kit”自2014年开始运营，以政治动机和社会策划的攻击而闻名，经常使用网络钓鱼作为攻击的选择。APT利用巧妙的社会工程来诱捕受害者，其目标是与特朗普2020年连任竞选、公众人物和人权活动人士等相关的电子邮件账户。