Fox Kitten (también conocido como Pioneer Kitten o Parisite) es un grupo de amenazas cibernéticas iraní que ha estado activo desde al menos 2017. El grupo apunta principalmente tanto a Estados Unidos como a organizaciones internacionales.
Matt Lembright, líder global de Censys Data/Search, descubrió recientemente infraestructura oculta y nuevos IOC en Fox Kitten.
La infraestructura oculta de los gatitos zorro
El FBI, CISA y DC3 emitieron un aviso conjunto de ciberseguridad en agosto de 2024, advirtiendo sobre continuos ciberataques por parte de “Fox Kitten”.
Únase a un panel virtual para conocer a los CISO y obtener más información sobre el cumplimiento: unirse es gratis
El aviso enumera 17 indicadores de compromiso, incluidas 12 direcciones IP y 5 nombres de dominio. Censys analizó estas IOC desde una perspectiva global de Internet.
Lista consolidada de COI (Fuente – Censys)
Tienen configuraciones distintivas, como una ubicación geográfica común (principalmente Londres, Reino Unido), un ASN común (AS14061 y AS16509) y una gran cantidad de puertos HTTP abiertos con software específico (Mirth Connect, Ivanti Connect Secure, Ray Dashboard). descubrió patrones únicos entre los hosts, tales como:
Censys también descubrió extraños “certificados” autofirmados con nombres aparentemente aleatorios como “futureenergy.us” y “next-finance.mil”.
Su análisis reveló más infraestructura maliciosa potencial no mencionada en el aviso original, incluidos “38.862 hosts” en todo el mundo con patrones similares.
También hemos observado IOC de dominio en algunos hosts fuera del período de tiempo informado, lo que indica claramente un período de ataque previamente desconocido. También identificamos 64 certificados actualmente válidos que contienen estos IOC de dominio.
Además de esto, nuestro análisis de los perfiles de host y certificado antes, durante y después de los ataques reportados muestra que en los sistemas autónomos, ubicaciones geográficas, proveedores de hosting, software, distribución de puertos y características de los certificados se identificaron varios puntos en común.
Este enfoque es similar a cómo los soldados de la Segunda Guerra Mundial identificaron los “puños” distintivos de los operadores de código Morse, lo que permitió a los defensores predecir los movimientos de los actores de amenazas.
Aquí, Censys aprovechó los campos analizados en el conjunto de datos de escaneo para buscar IOC, tendencias y patrones descritos en el aviso de CISA.
Utilizamos perfiles históricos de host para revisar los IOC durante un período de tiempo específico e identificar períodos de actividad maliciosa o de puesta en escena no observados previamente.
Diagrama de análisis de enlaces de indicadores de compromiso (IOC) (Fuente: Censys)
Se utilizó el análisis de diagramas de enlaces para descubrir similitudes entre IOC, hosts, certificados y varios campos de análisis.
Esta metodología permite a los investigadores de ciberseguridad aprovechar los conjuntos de datos de escaneo públicos para garantizar que las amenazas puedan detectar nueva infraestructura utilizando técnicas previamente identificadas, a pesar de los intentos de ofuscación y aleatorización por parte de los actores de amenazas. Puede observar cómo se establece la estructura.
¿Forma parte de un equipo SOC/DFIR? – Pruebe el análisis avanzado de malware y phishing con ANY.RUN – Prueba gratuita de 14 días