伊朗国家赞助的黑客与勒索病毒团伙合作

主要观察要点

伊朗黑客活动：与勒索病毒团伙合作，针对美国企业进行攻击。关键漏洞：黑客主要利用未打补丁的安全漏洞进行攻击。必须补丁：联邦机构强烈建议企业及时修补漏洞以防止攻击。

根据美国网络安全和基础设施安全局 (CISA) 的通告，伊朗国家赞助的黑客与勒索病毒团伙合作入侵并勒索位于美国的组织。此次通告是在星期三公开的，报告指出“先锋小猫”Pioneer Kitten这一威胁行为者与NoEscape、Ransomhouse以及已经解散的ALPHV/BlackCat等团伙进行了合作，并从攻击中获取了部分收益。

“先锋小猫”成员也被称为狐狸小猫、UNC 757、Parisite、RUBIDIUM和柠檬沙暴，似乎是在伊朗政府的背后进行这些以财务为动机的活动。官员指出，这些行为者并未向勒索团伙披露其伊朗身份，并对政府的监控和加密货币交易活动的暴露表示担忧。

clash verge

除了向勒索病毒团伙提供最初进入受害者网络的途径、协助加密操作和拟定勒索策略外，先锋小猫还自主进行数据渗漏，这一行为可能是为了支持伊朗政府。

该通告还提供了先锋小猫的策略、技术和程序TTPs、妥协指标IOCs以及进行双重获利计划时利用的漏洞概述。

以伊朗国家赞助的进攻为背景的勒索病毒行为

在进行其伊朗国家赞助和与勒索相关的活动时，先锋小猫会扫描互联网上可接触的资产，如VPN和防火墙，寻找存在特定安全缺陷的目标。

该团伙历来以未修补的Citrix Netscaler实例为目标，这些实例易受到CVE201919781 或 CVE20233519的攻击以及F5 BIGIP系统存在的 CVE20221388。

最近，该团伙还利用Ivanti VPNs中的 CVE202421887 和Palo Alto Networks PANOS防火墙中的 CVE20243400。截至2024年7月，该团伙正在扫描承载Check Point Security Gateways的IP地址，可能试图利用 CVE202424919，通告指出。

根据Tenable Research在同日针对CISA的通告的补充报告，许多遭受这些漏洞攻击的资产尚未修补。

“通过Tenable Research进行的元数据分析让我们对这两个历史悠久的CVE，CVE201919781和CVE20221388获得了独特的见解。根据我们的研究，受影响的资产中只有约一半已经成功修复。”研究人员表示。

此外，根据Tenable在Shodan搜索中发现的资料，超过