【导读】只要存在政治目的、经济利益,APT组织的攻击就不会停止。近日,外媒爆料,伊朗国家级APT组织Pioneer Kitten(先锋小猫)正在地下黑客论坛上出售受陷企业网络的访问权限。该组织是谁?使用了哪些攻击手法?此次售卖有何影响?它的目的又是什么?本文,智库将对此一一揭晓。
近日,国外某网络安全公司发布报告称,一个与伊朗有关的APT组织正在黑客论坛上公开售卖相关企业的网络凭证信息。该公司使用Pioneer Kitten(先锋小猫)标识了该APT组织。
而关于此次APT事件报道跟进,我们需要搞清楚以下几点事件:
【1】“先锋小猫”它是谁?
据报告资料显示,“先锋小猫”总部位于伊朗,并涉嫌与伊朗政府保有联系。
该组织自2017年以来一直活跃,以窃取国家政府及相关实体的敏感情报信息为主,并努力获取并保持对这些情报信息端口的访问权限。
其攻击目标也相对明确,集中在伊朗比较感性的北美和以色列实体,具体行业包括:技术、政府、国防、医疗保健、航空、媒体、学术、工程、咨询和专业服务、化学、制造、金融服务、保险和零售行业等。
【2】两个明显的攻击特点
作为谍报间谍APT组织“先锋小猫”在攻击上拥有两个明显特点:
第一,循序渐进的入侵,并依赖开源工具;
第二,擅于通过 VPN 和网络设备中的多个漏洞入侵企业网络。
具体而言,它利用面向Internet资产上的远程外部服务,来实现对目标计算机的初步访问,并依赖开源工具完成此操作过程,如使用Ngrok等。
值得注意的是,“先锋小猫”对与VPN和网络设备相关的攻击特别感兴趣。
据研究员介绍,该组织已在2019年和2020年通过VPN和网络设备中的漏洞入侵企业网络,具体包括:
而对此类漏洞的利用,也助长了该组织机会主义的运营模式。
【3】此次APT事件有何影响?
虽然,截止目前尚未公开具体售卖权限及价格。
然而,一旦有人买到这些凭证,即可“轻而易举”地进入相关企业,从而展开网络犯罪甚至高阶威胁性的APT攻击。
尤其,值得注意的是,根据国外网络安全公司和Google的报告,“先锋小猫”一直在利用上述漏洞破坏网络设备、植入后门,然后提供给伊朗其他APT黑客组织进行访问,其中包括:APT33(Shamoon)、APT34(Oilrig)以及Chafer。
凭借“先锋小猫”提供的线索,这些APT组织会继续更高级的恶意软件和漏洞,在该网络上进行横向移动,进一步搜索并窃取对于伊朗政府更有价值的情报信息,以此来扩大“先锋小猫”获得的“初始访问权限”。
然而,更为严重的是,此次该组织在地下网络论坛出售受陷企业的访问权限,不仅只是面对伊朗本土黑客群体,而是将提供权限范围扩大至全球。可以说,当前它正在承担全球网络军火武器“售卖者”的角色。
【4】“先锋小猫”此举目的为何?
由于在非伊朗本国APT组织外的客户群中,最大客户通常为勒索软件帮派。
所以,关于此次“先锋小猫”售卖网络访问权限的目的,外媒给与这样的报道解释:
“
该组织只是在试图使其收入来源多样化,将情报价值网络货币化。
”
然而,在充当伊朗其他APT组织“初始访问权限”的先锋者,并在全球如此公然售卖网络“军火武器”,其目的就真的会这么简单吗?
或许下一次的网络浩劫,将会因其“无心”之举而酿造。
智 库 时 评
当前,国家力量纷纷入局网络空间战场,高级持续性威胁(APT)为主要手段已是不争的事实。而不管出于何种目的,归根到底皆是各国利益的冲突,其涉及经济、政治、情报等多方面因素。
大国间的网络博弈之战,早已在暗潮涌动。而此次,伊朗“先锋小猫”APT组织出于国家自身经济利益等因素,公然在全球售卖网络军火武器,无疑为攻击来的更快、更猛烈添了一把“助燃的火”。
安全防守之路,更加道阻且长;我们承担的责任,更加任重而道远。
参考链接:
threatpost-《Pioneer Kitten 先锋小猫APT出售公司网络访问权限》
crowdstrike-《谁是先锋小猫?》
