CrowdStrike Blog:Refined Kitten の正体とは? | ScanNetSecurity
2023.06.02(金)

CrowdStrike Blog:Refined Kitten の正体とは?

一般的な別名

国際 海外情報
CrowdStrike Blog:Refined Kitten の正体とは?
CrowdStrike Blog:Refined Kitten の正体とは? 全 1 枚 拡大写真
一般的な別名

 Refined Kittenは次のような別名でも知られています。

・ APT33
・ Elfin
・ Magnallium
・ Holmium

Refined Kittenの身元

 Refined Kittenは国家主導の脅威アクターで、その行為はイラン・イスラム共和国のイスラム革命防衛隊(IRGC)の目的と関係していると見られます。この攻撃者グループは少なくとも2013年頃よりスパイ行為を主な目的として活動を行ってきました。機密情報の収集がRefined Kittenの最大の狙いですが、この攻撃者と破壊的なShamoonマルウェアによる攻撃に関連があることが疑われています。

 Refined Kittenは従来、カスタムとオープンソースの両方のリモートアクセスツール(RAT)を利用して、標的の情報を収集してきました。ところが最近はPoshC2やPowerShell Empireといった主流のオープンソースのマルウェアフレームワークへの依存度を高めています。

Refined Kittenの標的

 Refined Kittenの攻撃範囲は完全にはわかっていませんが、そのアクティビティは特定の国家と産業に偏る傾向があります。その時々で必要な情報が変わることを反映しているものと思われます。

標的にされている国家

 Refined Kittenの標的は通常、サウジアラビア、アラブ首長国連邦、米国の事業体に偏っており、これらの国はすべて、IRGCの長年の関心事に関連があります。

最近では、2019年夏に米国とイランの間で緊張が高まり、米国の金融および政府機関を標的とするアクティビティの増加に拍車がかかったようでした。

標的にされている産業

 Refiend Kittenの企ては次の産業で非常に多く見られます。

・ 航空宇宙
・ 軍需
・ エネルギー
・ 石油およびガス

 最近はRefined Kittenによる防衛関連事業の求人情報偽装が確認されており、軍需産業に照準を合わせていると思われます。

Refined Kittenの手法

 Refiend Kittenはほとんどの場合、マルウェア配布手法としてスピアフィッシングを利用しています。Hypertext Application(HTA)ファイルを含む電子メールが被害者に送られ、仕事をテーマにしたさまざまなコンテンツをホストする、なりすましドメインが表示されるのが典型的です。最近、このなりすましドメインとホストされるコンテンツが防衛関連事業をテーマにし、被害者におとりの求人票への記入を促すというものが登場しています。

 こういった最近のアクティビティでは、被害者はまずコマンドアンドコントロール(C2)URLから追加のPowerShellコマンドをダウンロードする操作(CAPTCHAを入力するなど)を行わせ求人票に記入するよう促されます。このような追加のPowerShellコマンドを使用して、オープンソースのPost-Exploitationフレームワークをペイロードとして(PoshCh2、Koadicなど)配布していることが確認されています。

その他の既知の「攻撃者」

 Refined Kittenは、CrowdStrike


Intelligenceが追跡している多数の攻撃者グループの一つでしかありません。CrowdStrikeが監視している脅威アクターには、他にも次のようなものがあります。

Helix Kitten
Fancy Bear
Mythic Leopard
Goblin Panda

他の電子犯罪(eCrime)、ハクティビスト、国家主導の攻撃者にも関心をお持ちの場合は、CrowdStrikeこちらのブログをご覧ください。脅威インテリジェンスについての詳細はこちらからご覧いただけます。

サイバー脅威の現状の詳細

攻撃者の最新の戦術、技術、手順(TTP)について、さらに見識をお求めの場合は、以下を参照してください。

・ ダウンロード:CrowdStrike2019年版グローバル脅威レポート『Adversary Tradecraft and the Importance of Speed(攻撃者グループが身につけたノウハウとスピードの重要性)』
・ Refined Kittenのような脅威アクターに関する情報をセキュリティ戦略に組み込む方法については、Falcon X脅威インテリジェンスページをご覧ください。
CrowdStrike Falcon Preventのすべての機能を試すことができる無料トライアルで、真の次世代AVが現在最も高度な脅威にどのように対処するかを体験いただけます。

*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/who-is-refined-kitten/

《Adam Meyers (CrowdStrike)》

関連記事

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. サイバー攻撃に便乗 勤務先脅迫 セキュリティアナリスト逮捕

    サイバー攻撃に便乗 勤務先脅迫 セキュリティアナリスト逮捕

  2. 釜石市で発生した元市職員等による情報漏えい、調査結果を発表

    釜石市で発生した元市職員等による情報漏えい、調査結果を発表

  3. IPA「内部不正防止ガイドライン」第5版改訂ポイント NTTデータ経営研解説

    IPA「内部不正防止ガイドライン」第5版改訂ポイント NTTデータ経営研解説

  4. ファイアウォール設定不備で豊見城市教育委員会のメールサーバが不正中継可能な状態に

    ファイアウォール設定不備で豊見城市教育委員会のメールサーバが不正中継可能な状態に

  5. 国土交通省から流出したと考えられるデータをダークネット上で確認 無料公開に切り替え

    国土交通省から流出したと考えられるデータをダークネット上で確認 無料公開に切り替え

  6. 申込者のマイナンバーカードに別人の決済サービスが紐付く

    申込者のマイナンバーカードに別人の決済サービスが紐付く

  7. 中 露 北のサイバー攻撃主体を紹介、公安調査庁 サイバー脅威概況2023

    中 露 北のサイバー攻撃主体を紹介、公安調査庁 サイバー脅威概況2023

  8. ランサムウェア攻撃の 93%がバックアップストレージを標的に

    ランサムウェア攻撃の 93%がバックアップストレージを標的に

  9. 屋根に柏崎刈羽原子力発電所6号機に関する書類80枚載せ自家用車発進し紛失 ~ 市長「極めてむなしい。」

    屋根に柏崎刈羽原子力発電所6号機に関する書類80枚載せ自家用車発進し紛失 ~ 市長「極めてむなしい。」

  10. 盛岡市中央卸売市場にサイバー攻撃、不審メールの送信判明

    盛岡市中央卸売市場にサイバー攻撃、不審メールの送信判明

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP