CrowdStrike Blog:PIONEER KITTEN とは何者か | ScanNetSecurity
2024.04.26(金)

CrowdStrike Blog:PIONEER KITTEN とは何者か

PIONEER KITTENの特徴として、被害マシンへの初期アクセスを獲得するために、インターネットに接続する資産上で外部のリモートサービスを悪用する手口に強く依存していることが挙げられます。

国際 海外情報
facebookLINE
CrowdStrike Blog:PIONEER KITTENとは何者か
CrowdStrike Blog:PIONEER KITTENとは何者か 全 2 枚 拡大写真
PIONEER KITTENの発生元

 PIONEER KITTEN(パイオニア・キトゥン)はイランを拠点とする攻撃者グループです。少なくとも 2017 年から活動しており、イラン政府とのつながりが疑われています。このグループは、イラン政府の興味の対象となるであろう機密情報を保有している組織へのアクセスを獲得し、維持することを主目的としているようです。

 PIONEER KITTEN は、その行動様式や特徴から、イラン政府自体が運営する組織ではなく、同政府に委託され支援を行う組織であることが考えられます。セキュリティ業界では、PIONEER KITTEN の活動を複数のイランベースの攻撃者グループによるものと報告しています。しかし、CrowdStrike Intelligence では、そのような主張はあくまでも推論に基づくものであり、そのような関係を十分に裏付けるデータは存在していないと考えます。

 2020 年 7 月下旬、PIONEER KITTEN との関係が認められたある攻撃者が、被害ネットワークへのアクセス情報を、地下フォーラムで販売していたことが発覚しました。この動きは、PIONEER KITTEN がイラン政府を支援すべく標的型攻撃を行っていることに加え、収益源の多様化を図っていることを示唆するものです。PIONEER KITTEN に関係する攻撃者が攻撃したと主張しているのは、イラン政府にとって重要な情報価値を持つタイプの組織のようです。そうなると、PIONEER KITTEN によるこのような商業的な活動をイラン政府が許す可能性は低いでしょう。なぜならば、このようなアクセス情報を販売すれば、情報収集活動に重大な悪影響を与える可能性があるからです。

PIONEER KITTEN の概要


PIONEER KITTENの手口

 PIONEER KITTEN の特徴として、被害マシンへの初期アクセスを獲得するために、インターネットに接続する資産上で外部のリモートサービスを悪用する手口に強く依存していることが挙げられます。また、攻撃の際にオープンソースのツールを多用する傾向もあります。

 この攻撃者グループは、特に VPN やネットワークアプライアンスの脆弱性( CVE-2019-11510 や CVE-2019-19781、最近では CVE-2020-5902 など)に目を付け、それらを主に悪用した(標的を定めずに場当たり的に弱点のあるシステムを狙う)オポチュニスティック型の攻撃モデルを展開しています。

 PIONEER KITTEN の攻撃の特徴は、インプラントとの通信やリモートデスクトッププロトコル( RDP )を介したハンズオンキーボード型のアクティビティに、Ngrok などのオープンツールや自分たちのカスタムツールである SSHMinionを使用してSSH トンネリングを行うという手法に依存しているということです。

PIONEER KITTEN の標的

 これまでに特定された PIONEER KITTEN の標的は、イラン政府が諜報上の関心を持っていると目される北米やイスラエルの組織に集中しています。その対象となったセクターは、テクノロジー、政府組織、防衛、ヘルスケア、航空、メディア、アカデミック、エンジニアリング、コンサルティングおよびプロフェッショナルサービス、化学、製造、金融サービス、保険、小売などです。

 PIONEER KITTEN の広範な攻撃対象範囲は、おそらくオポチュニスティック型の攻撃モデルに起因するものであると推察できます。なかでも、この攻撃者グループが最も強い関心を持っているのは、テクノロジー、政府機関、防衛、ヘルスケア関連組織です。

その他の確認済みの攻撃者グループ

 PIONEER KITTEN は、CrowdStrike Intelligence が追跡している多数の攻撃者グループの 1 つにすぎません。CrowdStrike が監視している攻撃者には、他にも次のようなものがあります。

HELIX KITTEN

FANCY BEAR

MYTHIC LEOPARD

GOBLIN PANDA

 サイバー犯罪者やハクティビスト、あるいは国家主導の攻撃について興味をお持ちでしょうか? 当社のこちらのページでは、CrowdStrike の脅威インテリジェンスチームが追跡している攻撃者グループについて詳しく紹介しています。


追加のリソース

・ダウンロード:2020年版 CrowdStrikeグローバル脅威レポート

・PIONEER KITTENのような攻撃者に関する情報を御社のセキュリティ戦略に活用する方法については、Falcon X: Automated Threat Intelligenceのページをご覧ください。

CrowdStrike Falcon Preventの無料トライアル版(フル機能)を入手して、真の次世代型AVが、今日の非常に高度な脅威にどのように対抗できるかをご覧ください。

*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/who-is-pioneer-kitten/

《Alex Orleans (CrowdStrike)》

関連記事

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. 社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

    社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

  3. タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

    タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

  4. 訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

    訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

  5. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  6. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  7. LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

    LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

  8. 国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表

    国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表

  9. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  10. Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)

    Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP