CrowdStrike Blog:Refined Kitten の正体とは? | ScanNetSecurity
2020.04.06(月)

CrowdStrike Blog:Refined Kitten の正体とは?

一般的な別名

国際 海外情報
CrowdStrike Blog:Refined Kitten の正体とは?
CrowdStrike Blog:Refined Kitten の正体とは? 全 1 枚 拡大写真
一般的な別名

 Refined Kittenは次のような別名でも知られています。

・ APT33
・ Elfin
・ Magnallium
・ Holmium

Refined Kittenの身元

 Refined Kittenは国家主導の脅威アクターで、その行為はイラン・イスラム共和国のイスラム革命防衛隊(IRGC)の目的と関係していると見られます。この攻撃者グループは少なくとも2013年頃よりスパイ行為を主な目的として活動を行ってきました。機密情報の収集がRefined Kittenの最大の狙いですが、この攻撃者と破壊的なShamoonマルウェアによる攻撃に関連があることが疑われています。

 Refined Kittenは従来、カスタムとオープンソースの両方のリモートアクセスツール(RAT)を利用して、標的の情報を収集してきました。ところが最近はPoshC2やPowerShell Empireといった主流のオープンソースのマルウェアフレームワークへの依存度を高めています。

Refined Kittenの標的

 Refined Kittenの攻撃範囲は完全にはわかっていませんが、そのアクティビティは特定の国家と産業に偏る傾向があります。その時々で必要な情報が変わることを反映しているものと思われます。

標的にされている国家

 Refined Kittenの標的は通常、サウジアラビア、アラブ首長国連邦、米国の事業体に偏っており、これらの国はすべて、IRGCの長年の関心事に関連があります。

最近では、2019年夏に米国とイランの間で緊張が高まり、米国の金融および政府機関を標的とするアクティビティの増加に拍車がかかったようでした。

標的にされている産業

 Refiend Kittenの企ては次の産業で非常に多く見られます。

・ 航空宇宙
・ 軍需
・ エネルギー
・ 石油およびガス

 最近はRefined Kittenによる防衛関連事業の求人情報偽装が確認されており、軍需産業に照準を合わせていると思われます。

Refined Kittenの手法

 Refiend Kittenはほとんどの場合、マルウェア配布手法としてスピアフィッシングを利用しています。Hypertext Application(HTA)ファイルを含む電子メールが被害者に送られ、仕事をテーマにしたさまざまなコンテンツをホストする、なりすましドメインが表示されるのが典型的です。最近、このなりすましドメインとホストされるコンテンツが防衛関連事業をテーマにし、被害者におとりの求人票への記入を促すというものが登場しています。

 こういった最近のアクティビティでは、被害者はまずコマンドアンドコントロール(C2)URLから追加のPowerShellコマンドをダウンロードする操作(CAPTCHAを入力するなど)を行わせ求人票に記入するよう促されます。このような追加のPowerShellコマンドを使用して、オープンソースのPost-Exploitationフレームワークをペイロードとして(PoshCh2、Koadicなど)配布していることが確認されています。

その他の既知の「攻撃者」

 Refined Kittenは、CrowdStrike


Intelligenceが追跡している多数の攻撃者グループの一つでしかありません。CrowdStrikeが監視している脅威アクターには、他にも次のようなものがあります。

Helix Kitten
Fancy Bear
Mythic Leopard
Goblin Panda

他の電子犯罪(eCrime)、ハクティビスト、国家主導の攻撃者にも関心をお持ちの場合は、CrowdStrikeこちらのブログをご覧ください。脅威インテリジェンスについての詳細はこちらからご覧いただけます。

サイバー脅威の現状の詳細

攻撃者の最新の戦術、技術、手順(TTP)について、さらに見識をお求めの場合は、以下を参照してください。

・ ダウンロード:CrowdStrike2019年版グローバル脅威レポート『Adversary Tradecraft and the Importance of Speed(攻撃者グループが身につけたノウハウとスピードの重要性)』
・ Refined Kittenのような脅威アクターに関する情報をセキュリティ戦略に組み込む方法については、Falcon X脅威インテリジェンスページをご覧ください。
CrowdStrike Falcon Preventのすべての機能を試すことができる無料トライアルで、真の次世代AVが現在最も高度な脅威にどのように対処するかを体験いただけます。

*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/who-is-refined-kitten/

《Adam Meyers (CrowdStrike)》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. ビデオ会議アプリ「Zoom」に、ログイン情報の窃盗などの脆弱性(IPA)

    ビデオ会議アプリ「Zoom」に、ログイン情報の窃盗などの脆弱性(IPA)

  2. 従業員が顧客の取引履歴をツイート、社内規定に則り処分予定(晴れる屋)

    従業員が顧客の取引履歴をツイート、社内規定に則り処分予定(晴れる屋)

  3. 成人動画サービスの顧客情報漏えい続報、原因はCDNのキャッシュか(ソフト・オン・デマンド)

    成人動画サービスの顧客情報漏えい続報、原因はCDNのキャッシュか(ソフト・オン・デマンド)

  4. iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

    iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

  5. “情シス as a サービス”構想展開開始、第1弾はIT資産管理(バリオセキュア)

    “情シス as a サービス”構想展開開始、第1弾はIT資産管理(バリオセキュア)

  6. セキュリティ・キャンプ修了生が起業した AI セキュリティ企業が資金調達(ChillStack)

    セキュリティ・キャンプ修了生が起業した AI セキュリティ企業が資金調達(ChillStack)

  7. セーブデータの改造ツール提供の法人ら、技術的制限の不正回避で摘発(ACCS)

    セーブデータの改造ツール提供の法人ら、技術的制限の不正回避で摘発(ACCS)

  8. 楽天市場・ヤフーショッピング用システムに不正アクセス、一部改ざん被害も(Ryuki Design)

    楽天市場・ヤフーショッピング用システムに不正アクセス、一部改ざん被害も(Ryuki Design)

  9. 2019年消費者向けサイバーセキュリティ国際調査結果公開(ノートンライフロック)

    2019年消費者向けサイバーセキュリティ国際調査結果公開(ノートンライフロック)

  10. 複数のヤマハ製ネットワーク機器にDoSの脆弱性(JVN)

    複数のヤマハ製ネットワーク機器にDoSの脆弱性(JVN)

ランキングをもっと見る