Pioneer Kitten 공격 탐지: CISA, DC3 및 FBI, 미국과 중동을 겨냥한 이란 정부 후원 배우들이 랜섬웨어 갱단과 협력한다고 경고

2024년 8월 28일, FBI, 국방부, CISA가 이란 관련 적들이 작업을 급증시키고 있다는 공동 권고문을 발표했습니다. 이 행위자들은 점점 더 랜섬웨어 갱단과 협력하여 교육, 금융, 의료, 주 정부 기관 및 방위 산업 부문을 대상으로 하고 있습니다. Pioneer Kitten으로 알려진 국가 지원 해커 집단은 침투하고 표적 조직의 네트워크에 접근하여 랜섬웨어 운영자와 협력하여 랜섬웨어 공격을 실행할 계획입니다. 대부분의 공격은 특정 n-day 취약점을 가진 인터넷 연결 자산의 악용으로 시작됩니다.

Pioneer Kitten 공격 탐지

국가 지원 해커 집단은 최근 몇 년간 증가하고 있습니다. 이 트렌드는 공격자 툴킷의 범위와 정교함이 증가함에 따라 사이버 방어자들에게 점점 더 큰 위협으로 다가오고 있습니다. 이란 APT 그룹은 2024년 1분기 동안 가장 활동적인 집단 중 하나로, 중국, 북한, 그리고 러시아 행위자들과 함께 선두를 차지하고 있습니다.

최신 사이버 첩보 활동은 AA24-241A CISA 권고안 에서 다루고 있으며, 현재 랜섬웨어 운영자와 협력하여 미국 및 중동의 조직에서 악성 페이로드를 배포하고 민감한 데이터를 탈취하고 있는 Pioneer Kitten(다른 이름으로는 Fox Kitten, UNC757, Parisite, RUBIDIUM 및 레몬 모래폭풍)을 대비하기 위해 사이버 보안 실무자에게 방어 강화가 요구됩니다. SOC Prime 플랫폼 은 집단 사이버 방어를 위해 관련 악성 활동을 식별하는 전용 Sigma 규칙 모음과 애드온 위협 탐지 및 사냥 솔루션을 제공하여 위협 조사를 간소화합니다.

버튼을 눌러 탐지 탐색 하십시오. AA24-241A CISA 권고안에 설명된 Pioneer Kitten TTPs를 다루는 맞춤 탐지 스택을 즉시 탐색합니다. 모든 규칙은 30개 이상의 SIEM, EDR, 데이터 레이크 기술과 호환되며, MITRE ATT&CK® 프레임워크에 매핑되어 있습니다. 또한 규칙은 광범위한 메타데이터, 위협 인텔 참조, 공격 타임라인 및 권장 사항으로 풍부합니다. threat intel references, attack timelines, and recommendations.

탐지 탐색

Pioneer Kitten APT에 연결된 TTP를 해결하기 위한 추가 규칙을 찾는 사이버 방어자들은 위협 탐지 마켓플레이스 에서 그룹 식별자를 기반으로 사용자 지정 태그를 사용하여 검색할 수 있습니다. “Pioneer Kitten“, “Fox Kitten“, “UNC757“, “Parisite“, “RUBIDIUM“, “레몬 모래폭풍“를 사용할 수 있습니다.

Pioneer Kitten 해커들이 초기 진입을 위한 알려진 취약점 세트를 악용하는 것으로 관찰된 만큼, 보안 실무자들은 아래 링크를 활용하여 전면에 등장한 CVEs의 악용 시도를 다루는 전용 Sigma 규칙 모음에 접근할 수 있습니다.

CVE-2024-24919 악용 시도 감지용 Sigma 규칙

CVE-2024-3400 악용 시도 감지용 Sigma 규칙

CVE-2019-19781 악용 시도 감지용 Sigma 규칙

CVE-2023-3519 악용 시도 감지용 Sigma 규칙

CVE-2022-1388 악용 시도 감지용 Sigma 규칙

또한, 위협 조사를 신속하게 하기 위해 보안 전문가들은 Uncoder AI를 사용할 수 있습니다. 이는 탐지 엔지니어링을 위한 업계 최초의 AI 공동 파일럿으로, 관련 권고안에서 제공하는 침해 지표를 즉시 찾을 수 있습니다. Uncoder AI는 IOC 패키저로 작동하여 사이버 방어자들이 IOCs을 해석하고 맞춤형 사냥 쿼리를 쉽게 생성할 수 있게 합니다. 이러한 쿼리는 선호하는 SIEM 또는 EDR 시스템에 매끄럽게 통합되어 즉시 실행할 수 있습니다.

Pioneer Kitten 공격 분석

최신 보안 권고문에서 FBI, 국방부 사이버 범죄 센터(DC3) 및 CISA는 이란 국가 지원 행위자들이 주도한 대규모 공세 작전에 대한 증가하는 위험을 방어자들에게 알리고 있습니다. 특히, AA24-241A 알림은 2017년부터 미국 조직에 초점을 맞춘 Pioneer Kitten 그룹의 활동을 다루고 있으며, 이는 민간 부문에서 Fox Kitten, UNC757, Parisite, RUBIDIUM 및 Lemon Sandstorm와 같은 여러 이름으로 식별되었습니다. 이 그룹은 이란 정부(GOI)와 직접 연결되어 있으며 종종 “xplfinder” 또는 “Br0k3r”라는 이름으로 언급됩니다.

미국 연방 기관에 따르면, Pioneer Kitten은 미국, 이스라엘, 아제르바이잔 및 아랍에미리트를 대상으로 공격을 수행하기 위해 여러 랜섬웨어 갱단과 협력합니다. 이러한 조작에 관련된 이란 해커들은 이란 내 위치를 고의로 모호하게 하고 랜섬웨어 파트너들과 상호작용할 때 국적과 출신을 의도적으로 모호하게 유지합니다. 랜섬웨어 활동과 별개로, Pioneer Kitten 그룹은 이스라엘 및 아제르바이잔 조직에서 “민감한 기술 자료”를 탈취하는 데 초점을 맞춘 더 광범위한 캠페인을 진행 중입니다.

Pioneer Kitten 그룹은 NoEscape, Ransomhouse 및 ALPHV (BlackCat)와 같은 악성 랜섬웨어 그룹과 직접 협력하며, 암호화 작업에 참여하여 몸값의 일부를 대가로 받고 있습니다. 이들의 역할은 단순히 접근 제공을 넘어서 피해자 네트워크의 잠금을 돕고 전술을 계획하는 데까지 확대됩니다.

FBI는 또한 이 그룹이 Pay2Key 작전과 같은 해킹 및 유출 캠페인과 연결되었다고 밝혔습니다. 2020년 말 이 작전에서 행위자들은 이전에 손상된 조직의 클라우드 인프라에 호스팅된 .onion 사이트를 사용했습니다. 데이터를 탈취한 후 이들은 소셜 미디어에 침해 사실을 공개하고 피해자와 미디어를 태그하여 데이터를 온라인에 유출했습니다. 전형적인 랜섬웨어 공격과 달리 Pay2Key는 이스라엘의 사이버 인프라를 방해하기 위한 정보 작전인 것으로 보였으며, 주로 재정적 동기가 아니라는 것입니다.

GOI와 연결된 행위자들은 공개 자산의 원격 외부 서비스의 취약점을 무기화하여 피해자 네트워크에 초기 접근을 획득합니다. 최신 캠페인에서는 다음과 같은 취약점 관련 Check Point 보안 게이트웨이의 IP 주소를 스캔하는 것으로 관찰되었습니다. CVE-2024-249192024년 봄 중반, 초기 접근 벡터로 CVE-2024-3400 에 취약한 시스템을 검색한 것으로 보입니다. 또한, Citrix Netscaler 결함을 포함한 취약점도 악용한 것으로 알려져 있습니다. CVE-2019-19781및 BIG-IP iControl REST 취약점 (CVE-2022-1388).

를 이용한 공격 이후, Pioneer Kitten은 손상된 네트워크를 지속적으로 통제하기 위한 여러 기술을 사용합니다. 로그인 자격 증명을 캡처하고, 웹셸을 배포하며 시스템 소유자가 취약점을 패치한 즉시 추가 웹셸을 배치하고, 제로 트러스트 애플리케이션 및 기타 보안 정책을 조작하여 탐지를 회피하며 악성 예약 작업을 생성하고 백도어를 설치합니다.

이들은 Citrix Netscaler와 같은 장치에서 손상된 자격 증명을 재사용하여 다른 앱에 접근하고, 관리자 자격 증명을 남용하여 방어 회피를 수행하며, 보안 보호 소프트웨어를 비활성화하여 안티멀웨어 분석을 우회하고, 침입적인 목적으로 손상된 관리자 계정을 사용합니다. 이란 해커들은 또한 영향을 받은 장치의 시스템 레지스트리 하이브 및 네트워크 방화벽 구성을 내보내고 사용자 및 네트워크 데이터를 유출합니다. 명령 및 제어를 위해 AnyDesk 유틸리티를 백업 원격 액세스로 활용하고, Ligolo 또는 NGROK 터널링 도구를 사용하여 아웃바운드 연결을 설정합니다.

Pioneer Kitten 공격의 위험을 최소화하기 위해 방어자들은 이 그룹이 무기화한 CVEs에 대한 패치를 적용하고, 취약점 악용 시 손상된 자격 증명과 거점을 조사하고, 고유한 악성 활동, 특정 사용자 이름, 적의 도구에서 나오는 특정 도구의 사용을 점검하며 아웃바운드 요청을 모니터링할 것을 권장합니다. SOC Prime의 공격 탐색자 는 포괄적인 위협 가시성을 확보하고 탐지 커버리지를 향상시키며, 낮은 잡음과 높은 품질의 경고용 규칙에 접근하여 자동화된 위협 사냥을 가능하게 함으로써 조직의 사이버보안 태세를 최적화하도록 지원합니다.