CrowdStrike Blog:Refined Kitten の正体とは? | ScanNetSecurity
2023.06.06(火)

CrowdStrike Blog:Refined Kitten の正体とは?

一般的な別名

国際 海外情報
CrowdStrike Blog:Refined Kitten の正体とは?
CrowdStrike Blog:Refined Kitten の正体とは? 全 1 枚 拡大写真
一般的な別名

 Refined Kittenは次のような別名でも知られています。

・ APT33
・ Elfin
・ Magnallium
・ Holmium

Refined Kittenの身元

 Refined Kittenは国家主導の脅威アクターで、その行為はイラン・イスラム共和国のイスラム革命防衛隊(IRGC)の目的と関係していると見られます。この攻撃者グループは少なくとも2013年頃よりスパイ行為を主な目的として活動を行ってきました。機密情報の収集がRefined Kittenの最大の狙いですが、この攻撃者と破壊的なShamoonマルウェアによる攻撃に関連があることが疑われています。

 Refined Kittenは従来、カスタムとオープンソースの両方のリモートアクセスツール(RAT)を利用して、標的の情報を収集してきました。ところが最近はPoshC2やPowerShell Empireといった主流のオープンソースのマルウェアフレームワークへの依存度を高めています。

Refined Kittenの標的

 Refined Kittenの攻撃範囲は完全にはわかっていませんが、そのアクティビティは特定の国家と産業に偏る傾向があります。その時々で必要な情報が変わることを反映しているものと思われます。

標的にされている国家

 Refined Kittenの標的は通常、サウジアラビア、アラブ首長国連邦、米国の事業体に偏っており、これらの国はすべて、IRGCの長年の関心事に関連があります。

最近では、2019年夏に米国とイランの間で緊張が高まり、米国の金融および政府機関を標的とするアクティビティの増加に拍車がかかったようでした。

標的にされている産業

 Refiend Kittenの企ては次の産業で非常に多く見られます。

・ 航空宇宙
・ 軍需
・ エネルギー
・ 石油およびガス

 最近はRefined Kittenによる防衛関連事業の求人情報偽装が確認されており、軍需産業に照準を合わせていると思われます。

Refined Kittenの手法

 Refiend Kittenはほとんどの場合、マルウェア配布手法としてスピアフィッシングを利用しています。Hypertext Application(HTA)ファイルを含む電子メールが被害者に送られ、仕事をテーマにしたさまざまなコンテンツをホストする、なりすましドメインが表示されるのが典型的です。最近、このなりすましドメインとホストされるコンテンツが防衛関連事業をテーマにし、被害者におとりの求人票への記入を促すというものが登場しています。

 こういった最近のアクティビティでは、被害者はまずコマンドアンドコントロール(C2)URLから追加のPowerShellコマンドをダウンロードする操作(CAPTCHAを入力するなど)を行わせ求人票に記入するよう促されます。このような追加のPowerShellコマンドを使用して、オープンソースのPost-Exploitationフレームワークをペイロードとして(PoshCh2、Koadicなど)配布していることが確認されています。

その他の既知の「攻撃者」

 Refined Kittenは、CrowdStrike


Intelligenceが追跡している多数の攻撃者グループの一つでしかありません。CrowdStrikeが監視している脅威アクターには、他にも次のようなものがあります。

Helix Kitten
Fancy Bear
Mythic Leopard
Goblin Panda

他の電子犯罪(eCrime)、ハクティビスト、国家主導の攻撃者にも関心をお持ちの場合は、CrowdStrikeこちらのブログをご覧ください。脅威インテリジェンスについての詳細はこちらからご覧いただけます。

サイバー脅威の現状の詳細

攻撃者の最新の戦術、技術、手順(TTP)について、さらに見識をお求めの場合は、以下を参照してください。

・ ダウンロード:CrowdStrike2019年版グローバル脅威レポート『Adversary Tradecraft and the Importance of Speed(攻撃者グループが身につけたノウハウとスピードの重要性)』
・ Refined Kittenのような脅威アクターに関する情報をセキュリティ戦略に組み込む方法については、Falcon X脅威インテリジェンスページをご覧ください。
CrowdStrike Falcon Preventのすべての機能を試すことができる無料トライアルで、真の次世代AVが現在最も高度な脅威にどのように対処するかを体験いただけます。

*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/who-is-refined-kitten/

《Adam Meyers (CrowdStrike)》

関連記事

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. トヨタ自動車でのクラウド誤設定による情報漏えい、調査結果を公表

    トヨタ自動車でのクラウド誤設定による情報漏えい、調査結果を公表

  2. エーザイグループのクラウドへ不正アクセス、約 11,000 件の取引先関係者情報が漏えいした可能性

    エーザイグループのクラウドへ不正アクセス、約 11,000 件の取引先関係者情報が漏えいした可能性

  3. 非エンジニアの文系ライターが挑んだSecuriST(セキュリスト)認定ネットワーク脆弱性診断士受験記 [前編] もしもう一度ゼロからやり直せるなら

    非エンジニアの文系ライターが挑んだSecuriST(セキュリスト)認定ネットワーク脆弱性診断士受験記 [前編] もしもう一度ゼロからやり直せるならPR

  4. ランサムウェア身代金支払率、日本は国際トレンドに逆行 ~ プルーフポイント年次レポート

    ランサムウェア身代金支払率、日本は国際トレンドに逆行 ~ プルーフポイント年次レポート

  5. アバントグループ子会社に不正アクセス、「開示 Net」「総務 Net」をはじめとするサービスの提供を停止

    アバントグループ子会社に不正アクセス、「開示 Net」「総務 Net」をはじめとするサービスの提供を停止

  6. 日本コンクリート工業にランサムウェア攻撃、現時点でデータ漏えいの痕跡は発見されず

    日本コンクリート工業にランサムウェア攻撃、現時点でデータ漏えいの痕跡は発見されず

  7. ランサムウェア身代金 払い続けた世界の末路 ~ ウィズセキュアが犯罪のプロ化警鐘

    ランサムウェア身代金 払い続けた世界の末路 ~ ウィズセキュアが犯罪のプロ化警鐘

  8. ネスコグループのサーバへ不正アクセス、不正な外部への送信は確認されず

    ネスコグループのサーバへ不正アクセス、不正な外部への送信は確認されず

  9. 厚生労働省のサーバを経由し約10万件の迷惑メールを送信

    厚生労働省のサーバを経由し約10万件の迷惑メールを送信

  10. 中間者攻撃や盗聴など ~ ネットカフェ「自遊空間」のクーポンアプリにサーバ証明書検証不備の脆弱性

    中間者攻撃や盗聴など ~ ネットカフェ「自遊空間」のクーポンアプリにサーバ証明書検証不備の脆弱性

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP