CrowdStrike Blog:Refined Kitten の正体とは?
一般的な別名
国際
海外情報
Refined Kittenは次のような別名でも知られています。
・ APT33
・ Elfin
・ Magnallium
・ Holmium
Refined Kittenの身元
Refined Kittenは国家主導の脅威アクターで、その行為はイラン・イスラム共和国のイスラム革命防衛隊(IRGC)の目的と関係していると見られます。この攻撃者グループは少なくとも2013年頃よりスパイ行為を主な目的として活動を行ってきました。機密情報の収集がRefined Kittenの最大の狙いですが、この攻撃者と破壊的なShamoonマルウェアによる攻撃に関連があることが疑われています。
Refined Kittenは従来、カスタムとオープンソースの両方のリモートアクセスツール(RAT)を利用して、標的の情報を収集してきました。ところが最近はPoshC2やPowerShell Empireといった主流のオープンソースのマルウェアフレームワークへの依存度を高めています。
Refined Kittenの標的
Refined Kittenの攻撃範囲は完全にはわかっていませんが、そのアクティビティは特定の国家と産業に偏る傾向があります。その時々で必要な情報が変わることを反映しているものと思われます。
標的にされている国家
Refined Kittenの標的は通常、サウジアラビア、アラブ首長国連邦、米国の事業体に偏っており、これらの国はすべて、IRGCの長年の関心事に関連があります。
最近では、2019年夏に米国とイランの間で緊張が高まり、米国の金融および政府機関を標的とするアクティビティの増加に拍車がかかったようでした。
標的にされている産業
Refiend Kittenの企ては次の産業で非常に多く見られます。
・ 航空宇宙
・ 軍需
・ エネルギー
・ 石油およびガス
最近はRefined Kittenによる防衛関連事業の求人情報偽装が確認されており、軍需産業に照準を合わせていると思われます。
Refined Kittenの手法
Refiend Kittenはほとんどの場合、マルウェア配布手法としてスピアフィッシングを利用しています。Hypertext Application(HTA)ファイルを含む電子メールが被害者に送られ、仕事をテーマにしたさまざまなコンテンツをホストする、なりすましドメインが表示されるのが典型的です。最近、このなりすましドメインとホストされるコンテンツが防衛関連事業をテーマにし、被害者におとりの求人票への記入を促すというものが登場しています。
こういった最近のアクティビティでは、被害者はまずコマンドアンドコントロール(C2)URLから追加のPowerShellコマンドをダウンロードする操作(CAPTCHAを入力するなど)を行わせ求人票に記入するよう促されます。このような追加のPowerShellコマンドを使用して、オープンソースのPost-Exploitationフレームワークをペイロードとして(PoshCh2、Koadicなど)配布していることが確認されています。
その他の既知の「攻撃者」
Refined Kittenは、CrowdStrike
Intelligenceが追跡している多数の攻撃者グループの一つでしかありません。CrowdStrikeが監視している脅威アクターには、他にも次のようなものがあります。
・ Helix Kitten
・ Fancy Bear
・ Mythic Leopard
・ Goblin Panda
他の電子犯罪(eCrime)、ハクティビスト、国家主導の攻撃者にも関心をお持ちの場合は、CrowdStrikeこちらのブログをご覧ください。脅威インテリジェンスについての詳細はこちらからご覧いただけます。
サイバー脅威の現状の詳細
攻撃者の最新の戦術、技術、手順(TTP)について、さらに見識をお求めの場合は、以下を参照してください。
・ ダウンロード:CrowdStrike2019年版グローバル脅威レポート『Adversary Tradecraft and the Importance of Speed(攻撃者グループが身につけたノウハウとスピードの重要性)』
・ Refined Kittenのような脅威アクターに関する情報をセキュリティ戦略に組み込む方法については、Falcon X脅威インテリジェンスページをご覧ください。
・ CrowdStrike Falcon Preventのすべての機能を試すことができる無料トライアルで、真の次世代AVが現在最も高度な脅威にどのように対処するかを体験いただけます。
*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/who-is-refined-kitten/
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
国際中国データセキュリティ規則新草案~「北京の意図を見極めるまで中国系テック企業には投資しない(シンガポール政府系投資ファンド)」
中国共産党中央規律検査委員会は、暗号通貨のマイニングの許可や汚職などの違反行為から幹部を除名した。
-
Apache HTTP Server における URI の検証不備によるディレクトリトラバーサルの脆弱性(Scan Tech Report)
2021 年 10 月に、世界的に利用されている Web サーバである Apache HTTP Server に、遠隔からの任意のコード実行につながる可能性がある脆弱性が報告されています。
-
もし我が社が米諜報機関からサイバー攻撃されたら ~ 某旅行予約サイトの対応
アメリカ人とオランダ人が共同オーナーを務める Booking.com に関する新たな情報が、大きな波紋を広げている。2016 年にアメリカのサイバー攻撃者による不正アクセスを受け、同社はその事態を把握していたにも関わらず、その旨を公表しなかったというのだ。
-
知られざる暗号評価プロジェクト CRYPTREC 第4回「選定ルール」
セキュリティに関わる技術や製品の有効性を、客観的定量的に評価できたら最高以外の何ものでもないが、そこには「どんな事業で」「何を守るために」「どのように運用するか」といった変数が多数存在し、各社千差万別である。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
複数のエレコム製 LAN ルーターに複数の脆弱性
エレコム製ルータに複数の脆弱性
CrowdStrike Blog:SMTPの悪用に対抗するためのクラウド強化
Coincheck を騙るフィッシングを確認、注意呼びかけ
Movable Type及びPowerCMSのXMLRPC APIにおける脆弱性を標的としたアクセスを観測
iPhone 構成プロファイル悪用し不正アプリインストール、JC3 注意喚起
インシデント・事故 記事一覧へ
ジーアールへの不正アクセス、「芝寿しオンラインショップ」のカード情報と個人情報が流出
日本政策投資銀行のシンガポールグループ会社にサイバー攻撃
「EVANGELION STORE」に不正アクセス、17,828名分のカード情報流出
みずほ銀行の度重なる障害に業務改善命令、IT現場の実態を軽視
エーザイのセルフケア向け製品Webサイトで入力した個人情報が表示されるシステム不備
コンサルティングや研修提供のジェックに不正アクセス、ストレージがアクセス不能に
調査・レポート・白書 記事一覧へ
警察庁、活動再開したEmotet解析 新たにThunderbirdも情報窃取対象に
Kubernetes や etcd、クラウドネイティブアプリの脆弱性の現状をトレンドマイクロ解説
日本語話者を標的としたインフルエンスオペレーションほか解説、J-CRAT 2021年度上半期活動状況 公開
ガートナー 2022年サイバーセキュリティ展望トップ8
サイバー攻撃者とハンティングチーム 365日間の「対話」~ CrowdStrike 2021年度 脅威ハンティングレポート公開
C&Cサーバ検知と通信の秘密、総務省「電気通信事業におけるサイバー攻撃への適正な対処 第四次とりまとめ」公表
研修・セミナー・カンファレンス 記事一覧へ
2つのテイクダウン作戦~民間と法執行機関の連携、欧州 ESET 事例
ITエンジニア限定eスポーツ大会「LogStare eSports Series」第2回終了、役員チームと若手チーム対決も
ほんとうに「セキュリティにはお金がかかる」のか? 中小企業の適切なセキュリティ投資とは ~ JP-RISSA 屈指の三人の“講演巧者”登壇
CDIがOTシステムのサイバー攻撃体験研修受付開始、申込はFAX
「餅は餅屋」に真っ向勝負、医療 ISAC の役割と支援機能
中小企業等を対象にオンラインで「サイバーインシデント演習in関東」開催
製品・サービス・業界動向 記事一覧へ
論文募集「量子時代をみすえたコンピュータセキュリティ技術」12月8日まで締切延長
CrowdStrike、エンドポイントのデータへゼロトラストセキュリティを提供するSecureCircleを買収
Apple、人権抑圧国家御用達のソフトウェア開発企業を提訴
トレンドマイクロ、2030年のサイバーセキュリティの未来を示すWebドラマ全9エピソードを順次公開
「LogStare Collector」活用支援キャンペーン開始、ユーザーの疑問にその場で回答
