Fox Kitten (aka Pioneer Kitten ili Parisite) je iranska grupa za sajber prijetnje koja je aktivna najmanje od 2017. Ova grupa prvenstveno cilja na američke i međunarodne organizacije.
Matt Lembright, globalni vođa Censys Data/Search, nedavno je otkrio skrivenu infrastrukturu Fox Kitten-a i nove IOC-ove.
Skrivena infrastruktura Fox Kitten-a
FBI, CISA i DC3 izdali su zajedničko savjetovanje o kibernetičkoj sigurnosti u augustu 2024. u kojem su upozorili na tekuće cyber napade “Fox Kitten”.
U savjetu je navedeno 17 indikatora kompromisa, što uključuje 12 IP adresa i 5 imena domena. Censys je analizirao ove MOK koristeći svoju globalnu internet perspektivu.
Otkrili su jedinstvene obrasce među hostovima kao što su zajedničke geolokacije (pretežno u Londonu, UK), uobičajeni ASN-ovi (AS14061 i AS16509) i karakteristične konfiguracije kao što su brojni otvoreni HTTP portovi sa specifičnim softverom (Mirth Connect, Ivanti Connect Secure, Ray Dashboard).
Censys je također pronašao čudne samopotpisane “certifikate” s naizgled nasumičnim nazivima poput “futureenergy.us” i “next-finance.mil”.
Njihova analiza je otkrila potencijalnu dodatnu zlonamjernu infrastrukturu koja se ne spominje u originalnom savjetu, uključujući “38.862 hosta” globalno sa sličnim obrascima.
Iako je takođe primećeno da IOC domena na nekim hostovima izvan prijavljenih vremenskih okvira jasno sugerišu prethodno „nepoznato trajanje napada“. Takođe su identifikovali 64 trenutno važeća sertifikata koji sadrže ove IOC domene.
Osim toga, identifikovano je nekoliko zajedničkih karakteristika u autonomnim sistemima, geolokacijama, hosting provajderima, softveru, distribucijama portova i karakteristikama sertifikata nakon analize profila hosta i sertifikata pre, tokom i nakon prijavljenih napada.
Ovaj pristup je sličan načinu na koji su vojnici iz Drugog svetskog rata identifikovali jedinstvene „šake” operatera Morzeovom azbukom, omogućavajući braniocima da predvide poteze hakera.
Ovdje je Censys koristio raščlanjena polja u svom skupu podataka skeniranja da traži IOC-ove, trendove i obrasce spomenute u CISA savjetu.
Da bi potvrdili IOC-ove sa određenim vremenskim okvirima i identifikovali prethodno nezapažene periode faze ili zlonamjerne aktivnosti, koristili su istorijske profile domaćina.
Analiza dijagrama veza korištena je za otkrivanje sličnosti među IOC-ovima, hostovima, certifikatima i raznim raščlanjenim poljima.
Ova metodologija omogućava istraživačima kibernetičke sigurnosti da iskoriste javne skenirane skupove podataka kako bi promatrali kako prijetnje uspostavljaju novu infrastrukturu koristeći prethodno identifikovane tehnike, uprkos pokušajima prikrivanja i randomizacije od strane aktera prijetnji.
Izvor: CyberSecurityNews
