Fox Kitten: иранская группировка атакует через уязвимости периметра

Fox Kitten — иранская state-sponsored hacker group, которую эксперты связывают с гибридными операциями, напрямую соответствующими интересам иранской разведки. По данным из отчета, группировка активна как минимум с 2017 года и ведет атаки на организации в разных отраслях, включая критическую инфраструктуру, technology, healthcare и государственные структуры. Наиболее часто ее деятельность фиксируется в США, Израиле и на Ближнем Востоке.

Кто такие Fox Kitten

Группа действует под несколькими псевдонимами, среди которых Pioneer Kitten и UNC757. Также она использует ник в underground forum Br0k3r, который к 2024 году эволюционировал в xplfinder. ФБР подтверждало, что Fox Kitten помогает в операциях ransomware: злоумышленники предоставляют первоначальный доступ и учетные данные в обмен на долю от выкупа.

Основные тактики и инструменты

Тактика Fox Kitten строится на эксплуатации уязвимостей в internet-facing perimeter devices, прежде всего в VPN concentrators и firewalls. Группа быстро превращает в weapon recently disclosed CVE, включая CVE-2024-3400 и CVE-2023-3519, чтобы получить доступ к корпоративным системам.

После проникновения злоумышленники используют широкий набор техник для выполнения задач, закрепления и lateral movement. При этом они активно применяют native Windows tools наряду с собственным malware.

• кража учетных данных с помощью инструментов вроде prodump;
• скриптовое взаимодействие для извлечения данных из LSASS и Active Directory;
• закрепление через web shells и scheduled tasks, маскирующиеся под легитимные системные процессы;
• использование HanifNet и NeoExpressRAT для долгосрочного доступа.

Сокрытие инфраструктуры и перемещение внутри сети

Инфраструктура управления Fox Kitten использует tunneling techniques с инструментами вроде ngrok и FRPC, что позволяет скрывать сетевой трафик. Кроме того, для сокрытия C2 environments группа применяет cloud services, включая AWS.

Операционный почерк Fox Kitten также включает методичное перемещение внутри сети. Для этого используются:

• RDP;
• SMB shares;
• VNC connections.

Отмечались и продвинутые методы reconnaissance, с помощью которых группировка тщательно изучает внутренние сети перед эксфильтрацией данных из таких источников, как email archives и internal documents.

Значимые кампании

Одной из наиболее заметных операций стала многолетняя кампания против критической инфраструктуры на Ближнем Востоке, продолжавшаяся с мая 2023 года по февраль 2025 года. В ее рамках Fox Kitten обеспечивали persistent access, эксплуатируя уязвимости, и сохраняли сочетание разведывательных и операционных возможностей.

Также в кампании с использованием ransomware против израильских организаций в 2020 году группа применяла нетривиальные каналы связи для переговоров о выкупе, отдавая предпочтение платформам KeyBase и Twitter.

Fox Kitten использует не только техническое проникновение, но и гибкую инфраструктуру сокрытия, что делает группу особенно устойчивой к обнаружению.

Как снизить риски

В отчете подчеркивается, что для защиты от Fox Kitten организациям необходимо сосредоточиться на базовой, но критически важной гигиене безопасности. В первую очередь речь идет о своевременном устранении уязвимостей на устройствах, доступных из интернета.

• приоритизировать installation of patches для exposed devices;
• мониторить несанкционированные tunneling tools;
• защищать stored credentials;
• включить multi-factor authentication (MFA) на всех точках доступа;
• регулярно проводить аудит механизмов persistence;
• выявлять аномальные шаблоны lateral movement.

Как отмечается в отчете, противостоять такой группе сложно: Fox Kitten сочетает эксплуатацию системных уязвимостей, кражу учетных данных, скрытую инфраструктуру и долгосрочное закрепление в сетях жертв. Именно поэтому организациям требуется не точечная, а постоянная и многоуровневая защита.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.