Investigadores de ClearSky descubrieron una nueva campaña de malware proveniente de Irán llamada Fox Kitten, esta campaña ha estado operativa desde los últimos tres años y busca explotar vulnerabilidades presentes en VPN de organizaciones alrededor del mundo.
Los atacantes, detrás de esta campaña, violan el acceso a las redes organizacionales, utilizando varias herramientas de hackeo de código abierto disponibles en Internet y otras de desarrollo propio, explotando vulnerabilidades en VPN principalmente de Pulse Securse, Fortinet y Global Protect de Palo Alto Networks.
Una vez obtenido el acceso a la organización, los atacantes pueden realizar escalamiento de privilegios y crear conexiones RDP para la exfiltración de información.
El informe ClearSky destacó que los ataques contra servidores VPN posiblemente estén vinculados a tres grupos iraníes: APT33 ("Elfin"), APT34 ("OilRig") y APT39 (Chafer).
APT33: es un grupo de amenaza iraní sospechoso que ha llevado a cabo operaciones desde al menos 2013. El grupo se ha dirigido a organizaciones en múltiples industrias en los Estados Unidos, Arabia Saudita y Corea del Sur, con un interés particular en los sectores de la aviación y la energía.
APT34 u OilRig: es un presunto grupo de amenaza iraní que se ha dirigido a víctimas de Oriente Medio e internacionales desde al menos 2014. El grupo se ha dirigido a una variedad de industrias, incluidas las financieras, gubernamentales, energéticas, químicas y de telecomunicaciones.
APT39: es un grupo iraní de ciberespionaje que ha estado activo desde al menos 2014. Se han dirigido a las industrias de telecomunicaciones y viajes para recopilar información personal que se alinee con las prioridades nacionales de Irán.
El listado de las CVE se adjunta a continuación:
| Producto | Versión |
|---|---|
| Fortiner FortiOS |
6.0.0 a 6.0.4 5.6.3 a 5.6.7. |
| Pulse Connect Secure (PCS) |
8.2 anterior a 8.2R12.1 8.3 anterior a 8.3R7.1 9.0 anterior a 9.0R3.4 |
| PAN-OS |
7.1.18 y anteriores 8.0.11-h1 y anteriores 8.1.2 y anteriores. |