Iran przejmuje dostęp w firmach na całym świecie – wykorzystują błędy klasy ~1day w VPN-ach

Firma Clearsec wspomina o ofensywnej kampanii roboczej nazwaną „Fox Kitten„. Autorzy wskazują tutaj na Iran (choć wiadomo – przypisanie lokalizacji napastnikom bywa często…problematyczne), który ma na celu dostęp / przejęcie danych z z dość strategicznych obszarów:

Though the campaign, the attackers succeeded in gaining access and persistent foothold in the networks of numerous companies and organizations from the IT, Telecommunication, Oil and Gas, Aviation, Government, and Security sectors around the world.

Od strony technicznej mocno wykorzystywane są nie tak dawno wykryte krytyczne podatności w rozwiązaniach VPN: Fortigate, Palo Alto, Pulse Secure (ten temat jest szczególnie ciekawy, bo pokazano jak ominąć 2FA przy dostępie do VPN) czy w Ciriksie. Po dostaniu się do infrastruktury firmy, następują próby trwałego dostępu, kradzieży danej i ataku na inne organizacje (np. na korporacje, które kupują produkty od zainfekowanej firmy).

Coż, pamiętajmy że nie tylko phishing jest pierwszym przyczółkiem do uzyskania wrogiego dostępu w naszej firmie i warto od czasu do czasu przeglądać widoczność naszej organizacji w Internecie.

–ms