Fox Kitten vulnera conexiones VPN de Fortinet, Palo Alto y Pulse Secure

19 Febrero 2020
Alto

Investigadores de ClearSky descubrieron una nueva campaña de malware proveniente de Irán llamada Fox Kitten, esta campaña ha estado operativa desde los últimos tres años y busca explotar vulnerabilidades presentes en VPN de organizaciones alrededor del mundo.

Los atacantes, detrás de esta campaña, violan el acceso a las redes organizacionales, utilizando varias herramientas de hackeo de código abierto disponibles en Internet y otras de desarrollo propio, explotando vulnerabilidades en VPN principalmente de Pulse Securse, Fortinet y Global Protect de Palo Alto Networks.

Una vez obtenido el acceso a la organización, los atacantes pueden realizar escalamiento de privilegios y crear conexiones RDP para la exfiltración de información.

El informe ClearSky destacó que los ataques contra servidores VPN posiblemente estén vinculados a tres grupos iraníes: APT33 ("Elfin"), APT34 ("OilRig") y APT39 (Chafer).

APT33: es un grupo de amenaza iraní sospechoso que ha llevado a cabo operaciones desde al menos 2013. El grupo se ha dirigido a organizaciones en múltiples industrias en los Estados Unidos, Arabia Saudita y Corea del Sur, con un interés particular en los sectores de la aviación y la energía. 

APT34 u OilRig: es un presunto grupo de amenaza iraní que se ha dirigido a víctimas de Oriente Medio e internacionales desde al menos 2014. El grupo se ha dirigido a una variedad de industrias, incluidas las financieras, gubernamentales, energéticas, químicas y de telecomunicaciones.

APT39: es un grupo iraní de ciberespionaje que ha estado activo desde al menos 2014. Se han dirigido a las industrias de telecomunicaciones y viajes para recopilar información personal que se alinee con las prioridades nacionales de Irán.

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Escanear todos los archivos adjuntos antes de abrirlos, con un antivirus organizacional que detecte algún comportamiento sospechoso.
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
  • Mantener actualizadas las plataformas VPN.
  • Evitar visitar sitios web inseguros, así como la descarga de software ilegal ya que existe una alta probabilidad que puedan infectarse por algún malware.

El listado de las CVE se adjunta a continuación:


Tags: #Fox Kitten #APT #VPN #Fortinet #FortiOS #Palo Alto #PAN #Globel Protect #Pulse Secure #RDP #APT34 #APT33 #APT39 #CVE-2019-11510 #CVE-2018-13379 #CVE-2019-1579
  • Productos Afectados
  • Producto Versión
    Fortiner FortiOS 6.0.0 a 6.0.4
    5.6.3 a 5.6.7.
    Pulse Connect Secure (PCS) 8.2 anterior a 8.2R12.1
    8.3 anterior a 8.3R7.1
    9.0 anterior a 9.0R3.4

    PAN-OS 7.1.18 y anteriores
    8.0.11-h1 y anteriores
    8.1.2 y anteriores.


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.