CrowdStrike Blog:Refined Kitten の正体とは?
一般的な別名
国際
海外情報
Refined Kittenは次のような別名でも知られています。
・ APT33
・ Elfin
・ Magnallium
・ Holmium
Refined Kittenの身元
Refined Kittenは国家主導の脅威アクターで、その行為はイラン・イスラム共和国のイスラム革命防衛隊(IRGC)の目的と関係していると見られます。この攻撃者グループは少なくとも2013年頃よりスパイ行為を主な目的として活動を行ってきました。機密情報の収集がRefined Kittenの最大の狙いですが、この攻撃者と破壊的なShamoonマルウェアによる攻撃に関連があることが疑われています。
Refined Kittenは従来、カスタムとオープンソースの両方のリモートアクセスツール(RAT)を利用して、標的の情報を収集してきました。ところが最近はPoshC2やPowerShell Empireといった主流のオープンソースのマルウェアフレームワークへの依存度を高めています。
Refined Kittenの標的
Refined Kittenの攻撃範囲は完全にはわかっていませんが、そのアクティビティは特定の国家と産業に偏る傾向があります。その時々で必要な情報が変わることを反映しているものと思われます。
標的にされている国家
Refined Kittenの標的は通常、サウジアラビア、アラブ首長国連邦、米国の事業体に偏っており、これらの国はすべて、IRGCの長年の関心事に関連があります。
最近では、2019年夏に米国とイランの間で緊張が高まり、米国の金融および政府機関を標的とするアクティビティの増加に拍車がかかったようでした。
標的にされている産業
Refiend Kittenの企ては次の産業で非常に多く見られます。
・ 航空宇宙
・ 軍需
・ エネルギー
・ 石油およびガス
最近はRefined Kittenによる防衛関連事業の求人情報偽装が確認されており、軍需産業に照準を合わせていると思われます。
Refined Kittenの手法
Refiend Kittenはほとんどの場合、マルウェア配布手法としてスピアフィッシングを利用しています。Hypertext Application(HTA)ファイルを含む電子メールが被害者に送られ、仕事をテーマにしたさまざまなコンテンツをホストする、なりすましドメインが表示されるのが典型的です。最近、このなりすましドメインとホストされるコンテンツが防衛関連事業をテーマにし、被害者におとりの求人票への記入を促すというものが登場しています。
こういった最近のアクティビティでは、被害者はまずコマンドアンドコントロール(C2)URLから追加のPowerShellコマンドをダウンロードする操作(CAPTCHAを入力するなど)を行わせ求人票に記入するよう促されます。このような追加のPowerShellコマンドを使用して、オープンソースのPost-Exploitationフレームワークをペイロードとして(PoshCh2、Koadicなど)配布していることが確認されています。
その他の既知の「攻撃者」
Refined Kittenは、CrowdStrike
Intelligenceが追跡している多数の攻撃者グループの一つでしかありません。CrowdStrikeが監視している脅威アクターには、他にも次のようなものがあります。
・ Helix Kitten
・ Fancy Bear
・ Mythic Leopard
・ Goblin Panda
他の電子犯罪(eCrime)、ハクティビスト、国家主導の攻撃者にも関心をお持ちの場合は、CrowdStrikeこちらのブログをご覧ください。脅威インテリジェンスについての詳細はこちらからご覧いただけます。
サイバー脅威の現状の詳細
攻撃者の最新の戦術、技術、手順(TTP)について、さらに見識をお求めの場合は、以下を参照してください。
・ ダウンロード:CrowdStrike2019年版グローバル脅威レポート『Adversary Tradecraft and the Importance of Speed(攻撃者グループが身につけたノウハウとスピードの重要性)』
・ Refined Kittenのような脅威アクターに関する情報をセキュリティ戦略に組み込む方法については、Falcon X脅威インテリジェンスページをご覧ください。
・ CrowdStrike Falcon Preventのすべての機能を試すことができる無料トライアルで、真の次世代AVが現在最も高度な脅威にどのように対処するかを体験いただけます。
*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/who-is-refined-kitten/
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
インシデント・事故
今日もどこかで情報漏えい 第9回「2023年2月の情報漏えい」メール誤送信で懲戒 ほか
病院は、故意であると断定はできないが当該医師の過失責任は重大であるとし、出勤停止 2 か月間の懲戒処分を行ったが、本人が依願退職した。
-
ランサムウェア感染を隠蔽したソフトウェア企業の末路
2020 年 5 月、Blackbaud はランサムウェアに感染し、黙って犯人に支払いを済ませたが、同年 7 月までセキュリティ侵害について顧客に知らせなかった。
-
Adobe 社の PDF 閲覧ソフトウェアの JavaScript エンジンでの resetForm メソッドにおける Use-After-Free の脆弱性(Scan Tech Report)
2023 年 1 月に Adobe 社の Acrobat Reader DC をはじめとする PDF 閲覧ソフトウェアに、遠隔コード実行が可能となる脆弱性が公開されています。
-
ペネトレーションテスターは見た! 第10回「ペネトレーションテストを超えたペネトレーションテスト」
最後にペネトレーションテストをやる側と、ユーザー企業として発注する側で、何かこういうところに気をつけるといいポイントがあれば最後にまとめとしていただけないでしょうか。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ

Windows 11のスクリーンショット、黒塗りを復元できる可能性

警視庁が Emotet 注意喚起、感染時の対処について

Adobe 社の PDF 閲覧ソフトウェアの JavaScript エンジンでの resetForm メソッドにおける Use-After-Free の脆弱性(Scan Tech Report)

Joomla!の脆弱性を狙った攻撃をMBSD SOCで観測

Microsoft OneNote形式のファイルを悪用した Emotet の新たな手口を確認

Windows DNSサーバの脆弱性情報が公開
インシデント・事故 記事一覧へ

今日もどこかで情報漏えい 第9回「2023年2月の情報漏えい」メール誤送信で懲戒 ほか

「三京商会 公式ショップ」への不正アクセスで8,794名のカード情報が漏えい

「まんが王国」でのシステム障害で他人のメールアドレスが閲覧可能に

ゴルフ場運営ウッドフレンズ運営の3サイトに不正アクセス、個人情報が漏えい

富士通 FENICS のネットワーク機器での不正通信、「ゴールドウインファミリーセール」の会員情報管理システムにも影響

ラウンドワンのホームページが改ざん被害、不適切なWebページに誘導
調査・レポート・白書・ガイドライン 記事一覧へ

健診施設へのアンケート結果公表、年間セキュリティ予算500万円未満が4割弱 ~ 医療 ISAC 調査

情報漏えい「謝罪実態調査」~ 最も許せる お詫びの品が送られてくるタイミングは?

“判明した時点で第一報的公表を検討することが望ましい” ~「サイバー攻撃被害に係る情報の共有・公表ガイダンス」公表

セキュリティを知らないと思われたくない ~ はずかしがりやの経営層 24ヶ国 2,300人調査

15%がランサムウェア被害経験「セキュリティ対策に関する調査結果レポート」公表

こどもにつたえるせきゅりてぃ ~ Proofpointサイバーセキュリティ絵本
研修・セミナー・カンファレンス 記事一覧へ

Azure AD おまえもか、クラウド オンプレ両参加のデバイスに潜む危険

NECソリューションイノベータが提供する「ゼロトラスト」のレシピと製法 ~ 3/23 オンラインセミナー開催

おろそかになるゲートウェイ「2022年の事件事故から考えるセキュリティ運用」ウェビナー開催

OSINT を安易に考えるな ~ 日本ハッカー協会 杉浦氏講演

大阪で「サイバーセキュリティ・プロレス」開催! セキュリティ・ミニキャンプ in 大阪 2023

しんどいのは受信者だけじゃない?送信側が抱えるあんな悩み、こんな悩み ~ JPAAWG 5th General Meetingレポート-4
製品・サービス・業界動向 記事一覧へ

JPCERT/CC「EmoCheck v2.4.0」リリース、3月に再開したEmotetの戦術変化に対応

高校教師 研究者 弁護士 自衛官 社長 CISO アナリスト フィッシングハンターほか 12 職種 ~ LAC「サイバーセキュリティ仕事ファイル 2」

GMOイエラエ「空飛ぶクルマ」の有人実証飛行に協力

GitHub 上の全パブリックリポジトリで Secret scanning アラート提供

リチェルカセキュリティ、サイバーセキュリティ技術者向けトレーニング提供
