CrowdStrike Blog:Refined Kitten の正体とは? | ScanNetSecurity
2023.02.01(水)

CrowdStrike Blog:Refined Kitten の正体とは?

一般的な別名

国際 海外情報
CrowdStrike Blog:Refined Kitten の正体とは?
CrowdStrike Blog:Refined Kitten の正体とは? 全 1 枚 拡大写真
一般的な別名

 Refined Kittenは次のような別名でも知られています。

・ APT33
・ Elfin
・ Magnallium
・ Holmium

Refined Kittenの身元

 Refined Kittenは国家主導の脅威アクターで、その行為はイラン・イスラム共和国のイスラム革命防衛隊(IRGC)の目的と関係していると見られます。この攻撃者グループは少なくとも2013年頃よりスパイ行為を主な目的として活動を行ってきました。機密情報の収集がRefined Kittenの最大の狙いですが、この攻撃者と破壊的なShamoonマルウェアによる攻撃に関連があることが疑われています。

 Refined Kittenは従来、カスタムとオープンソースの両方のリモートアクセスツール(RAT)を利用して、標的の情報を収集してきました。ところが最近はPoshC2やPowerShell Empireといった主流のオープンソースのマルウェアフレームワークへの依存度を高めています。

Refined Kittenの標的

 Refined Kittenの攻撃範囲は完全にはわかっていませんが、そのアクティビティは特定の国家と産業に偏る傾向があります。その時々で必要な情報が変わることを反映しているものと思われます。

標的にされている国家

 Refined Kittenの標的は通常、サウジアラビア、アラブ首長国連邦、米国の事業体に偏っており、これらの国はすべて、IRGCの長年の関心事に関連があります。

最近では、2019年夏に米国とイランの間で緊張が高まり、米国の金融および政府機関を標的とするアクティビティの増加に拍車がかかったようでした。

標的にされている産業

 Refiend Kittenの企ては次の産業で非常に多く見られます。

・ 航空宇宙
・ 軍需
・ エネルギー
・ 石油およびガス

 最近はRefined Kittenによる防衛関連事業の求人情報偽装が確認されており、軍需産業に照準を合わせていると思われます。

Refined Kittenの手法

 Refiend Kittenはほとんどの場合、マルウェア配布手法としてスピアフィッシングを利用しています。Hypertext Application(HTA)ファイルを含む電子メールが被害者に送られ、仕事をテーマにしたさまざまなコンテンツをホストする、なりすましドメインが表示されるのが典型的です。最近、このなりすましドメインとホストされるコンテンツが防衛関連事業をテーマにし、被害者におとりの求人票への記入を促すというものが登場しています。

 こういった最近のアクティビティでは、被害者はまずコマンドアンドコントロール(C2)URLから追加のPowerShellコマンドをダウンロードする操作(CAPTCHAを入力するなど)を行わせ求人票に記入するよう促されます。このような追加のPowerShellコマンドを使用して、オープンソースのPost-Exploitationフレームワークをペイロードとして(PoshCh2、Koadicなど)配布していることが確認されています。

その他の既知の「攻撃者」

 Refined Kittenは、CrowdStrike


Intelligenceが追跡している多数の攻撃者グループの一つでしかありません。CrowdStrikeが監視している脅威アクターには、他にも次のようなものがあります。

Helix Kitten
Fancy Bear
Mythic Leopard
Goblin Panda

他の電子犯罪(eCrime)、ハクティビスト、国家主導の攻撃者にも関心をお持ちの場合は、CrowdStrikeこちらのブログをご覧ください。脅威インテリジェンスについての詳細はこちらからご覧いただけます。

サイバー脅威の現状の詳細

攻撃者の最新の戦術、技術、手順(TTP)について、さらに見識をお求めの場合は、以下を参照してください。

・ ダウンロード:CrowdStrike2019年版グローバル脅威レポート『Adversary Tradecraft and the Importance of Speed(攻撃者グループが身につけたノウハウとスピードの重要性)』
・ Refined Kittenのような脅威アクターに関する情報をセキュリティ戦略に組み込む方法については、Falcon X脅威インテリジェンスページをご覧ください。
CrowdStrike Falcon Preventのすべての機能を試すことができる無料トライアルで、真の次世代AVが現在最も高度な脅威にどのように対処するかを体験いただけます。

*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/who-is-refined-kitten/

《Adam Meyers (CrowdStrike)》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. IPA、セキュリティ予算獲得「経営層説得」ツール公開

    IPA、セキュリティ予算獲得「経営層説得」ツール公開

  2. 複数の条件満たすことでDBへの侵入許す恐れ、フォレンジック調査の結果を公表

    複数の条件満たすことでDBへの侵入許す恐れ、フォレンジック調査の結果を公表

  3. カジュアルファッション取り扱いアダストリアのサーバへ不正アクセス、100万件の個人情報が流出した可能性

    カジュアルファッション取り扱いアダストリアのサーバへ不正アクセス、100万件の個人情報が流出した可能性

  4. チューリッヒ「スーパー自動車保険」加入者の情報が漏えい、外部委託業者が不正アクセス被害

    チューリッヒ「スーパー自動車保険」加入者の情報が漏えい、外部委託業者が不正アクセス被害

  5. ユービーセキュア・NRIセキュア・GSXの3社でクラウド型Webアプリケーション診断ツールを開発

    ユービーセキュア・NRIセキュア・GSXの3社でクラウド型Webアプリケーション診断ツールを開発

  6. Proofpoint Blog 第21回「夢は(オマエの財布から)ガッポリ、北朝鮮の“スタートアップ”APT「TA444」とは?」

    Proofpoint Blog 第21回「夢は(オマエの財布から)ガッポリ、北朝鮮の“スタートアップ”APT「TA444」とは?」

  7. DX推進 重視する人材「情報セキュリティ担当」最多47.9%

    DX推進 重視する人材「情報セキュリティ担当」最多47.9%

  8. ISC BINDに複数の脆弱性

    ISC BINDに複数の脆弱性

  9. Apache HTTP Server 2.4に複数の脆弱性

    Apache HTTP Server 2.4に複数の脆弱性

  10. システムに代理登録する際 委託事業者が患者情報を誤入力、別人に登録完了メール送信

    システムに代理登録する際 委託事業者が患者情報を誤入力、別人に登録完了メール送信

ランキングをもっと見る