CrowdStrike Blog:Refined Kitten の正体とは?
一般的な別名
国際
海外情報
Refined Kittenは次のような別名でも知られています。
・ APT33
・ Elfin
・ Magnallium
・ Holmium
Refined Kittenの身元
Refined Kittenは国家主導の脅威アクターで、その行為はイラン・イスラム共和国のイスラム革命防衛隊(IRGC)の目的と関係していると見られます。この攻撃者グループは少なくとも2013年頃よりスパイ行為を主な目的として活動を行ってきました。機密情報の収集がRefined Kittenの最大の狙いですが、この攻撃者と破壊的なShamoonマルウェアによる攻撃に関連があることが疑われています。
Refined Kittenは従来、カスタムとオープンソースの両方のリモートアクセスツール(RAT)を利用して、標的の情報を収集してきました。ところが最近はPoshC2やPowerShell Empireといった主流のオープンソースのマルウェアフレームワークへの依存度を高めています。
Refined Kittenの標的
Refined Kittenの攻撃範囲は完全にはわかっていませんが、そのアクティビティは特定の国家と産業に偏る傾向があります。その時々で必要な情報が変わることを反映しているものと思われます。
標的にされている国家
Refined Kittenの標的は通常、サウジアラビア、アラブ首長国連邦、米国の事業体に偏っており、これらの国はすべて、IRGCの長年の関心事に関連があります。
最近では、2019年夏に米国とイランの間で緊張が高まり、米国の金融および政府機関を標的とするアクティビティの増加に拍車がかかったようでした。
標的にされている産業
Refiend Kittenの企ては次の産業で非常に多く見られます。
・ 航空宇宙
・ 軍需
・ エネルギー
・ 石油およびガス
最近はRefined Kittenによる防衛関連事業の求人情報偽装が確認されており、軍需産業に照準を合わせていると思われます。
Refined Kittenの手法
Refiend Kittenはほとんどの場合、マルウェア配布手法としてスピアフィッシングを利用しています。Hypertext Application(HTA)ファイルを含む電子メールが被害者に送られ、仕事をテーマにしたさまざまなコンテンツをホストする、なりすましドメインが表示されるのが典型的です。最近、このなりすましドメインとホストされるコンテンツが防衛関連事業をテーマにし、被害者におとりの求人票への記入を促すというものが登場しています。
こういった最近のアクティビティでは、被害者はまずコマンドアンドコントロール(C2)URLから追加のPowerShellコマンドをダウンロードする操作(CAPTCHAを入力するなど)を行わせ求人票に記入するよう促されます。このような追加のPowerShellコマンドを使用して、オープンソースのPost-Exploitationフレームワークをペイロードとして(PoshCh2、Koadicなど)配布していることが確認されています。
その他の既知の「攻撃者」
Refined Kittenは、CrowdStrike
Intelligenceが追跡している多数の攻撃者グループの一つでしかありません。CrowdStrikeが監視している脅威アクターには、他にも次のようなものがあります。
・ Helix Kitten
・ Fancy Bear
・ Mythic Leopard
・ Goblin Panda
他の電子犯罪(eCrime)、ハクティビスト、国家主導の攻撃者にも関心をお持ちの場合は、CrowdStrikeこちらのブログをご覧ください。脅威インテリジェンスについての詳細はこちらからご覧いただけます。
サイバー脅威の現状の詳細
攻撃者の最新の戦術、技術、手順(TTP)について、さらに見識をお求めの場合は、以下を参照してください。
・ ダウンロード:CrowdStrike2019年版グローバル脅威レポート『Adversary Tradecraft and the Importance of Speed(攻撃者グループが身につけたノウハウとスピードの重要性)』
・ Refined Kittenのような脅威アクターに関する情報をセキュリティ戦略に組み込む方法については、Falcon X脅威インテリジェンスページをご覧ください。
・ CrowdStrike Falcon Preventのすべての機能を試すことができる無料トライアルで、真の次世代AVが現在最も高度な脅威にどのように対処するかを体験いただけます。
*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/who-is-refined-kitten/
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
研修・セミナー・カンファレンスサプライチェーン攻撃対策に必要な発想の転換 ~ 海外攻撃事例に学ぶ
サプライチェーン攻撃が問題になっている。正規サーバーやシステムを利用する攻撃のため、検知が困難なことも被害を広げている。対策には発想の転換が必要なようだ。
-
ロシアのアクターは独立型? 「ロシアAPT地図」から見えてきた事実
ロシアによる国家支援型サイバー攻撃は1996年の「Moonlight Maze」が最初といわれている。米国の兵器に関する情報を狙ったサイバーエスピオナージで、現在のAPT攻撃の源流といってもいいかもしれない。
-
Microsoft Windows のトレース機能における検証不備により任意の場所へのファイルの複製が可能となる脆弱性(Scan Tech Report)
Microsoft Windows に、サービス起動時に操作するファイルのシンボリックリンク検証不備に起因する、任意のファイルの書き換えが可能となる脆弱性が、報告されています。
-
これが「海のペンテスト」の成果、海運テクノロジー企業のセキュリティ対策は超ピンキリ(The Register)
説明にあたってハーン氏は「悲惨な」「劣悪な」という語を多用した。ハーン氏のチームは、深海探査艇、掘削リグ、完成したばかりのクルーズ船、パナマックス(パナマ運河対応)のコンテナ船、その他いくつかの船舶を含めて、幅広い調査を行ったという。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
「Apache Tomcat」の脆弱性を確認するアクセスが増加(警察庁)
Appleが8製品10バージョンのセキュリティアップデートを公開(JVN)
機械学習アルゴリズムに脆弱性(JVN)
PayPayを騙る偽メール報告、アカウントを一時停止したとして誘導(フィッシング対策協議会)
「Adobe Type Manager Library」にリモートコード実行の未パッチ脆弱性(JVN)
脆弱性があるが開発者と連絡がつかないソフト一覧、使用中止呼びかけ(JVN)
インシデント・事故 記事一覧へ
「Xbox Series X」使用予定のソースコードが盗まれる(AMD)
「ステップスポーツオンラインショップ」に不正アクセス、63名分のカード情報流出(ステップ)
自治体公式ツイッター不明投稿、不正アクセスか(福山市)
成人向け動画にログインすると別人アカウントに切り替わり、購入・視聴履歴等 閲覧可能に(ソフト・オン・デマンド)
プリンセス・クルーズのメールに不正アクセス、顧客情報流出可能性(カーニバル・ジャパン)
海外子会社従業員のアカウント情報窃取、迷惑メール440件送信(トクヤマ)
調査・レポート・白書 記事一覧へ
CISO に求める役割ベスト3とこれから求める役割(IPA)
クラウドを利用する組織は8割超、DXとセキュリティの実態調査(タレス)
セキュリティ対策状況、経営層600人調査(サイバーセキュリティクラウド)
新型コロナ対策で増加するリモートワークで重要な6つの要素(クラウドストライク)
Microsoft SMBv3におけるリモートコード実行の脆弱性を検証(NTTデータ先端技術)
マルウェアの系統を自動判定するDNA鑑定など紹介 -- CYBER GRID JOURNAL(ラック)
研修・セミナー・カンファレンス 記事一覧へ
サプライチェーン攻撃対策に必要な発想の転換 ~ 海外攻撃事例に学ぶ
サイバーセキュリティの新鋭集結、アジア各国の若者が互いの国を知る ~ GCC Tokyo 2020
工場へのサイバー攻撃の実態、240日のおとりシステム運用でわかったこと(トレンドマイクロ)
ロシアのアクターは独立型? 「ロシアAPT地図」から見えてきた事実
動画コンテスト「snsによるネット炎上」が優勝(トレンドマイクロ)
![[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像](/imgs/std_m/28068.jpg)
![[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像](/imgs/std_m/27120.jpg)
