Pioneer Kitten APT

翻訳内容：

パイオニアキトゥンは、高度な持続的脅威 (APT) を仕掛けるグループで、サイバー犯罪の世界で恐るべき勢力として台頭しています。イラン政府の支援を受けたこのグループは、重要な仲介者および初期アクセスブローカーとして活動し、世界中でランサムウェア攻撃を促進しています。最も悪名高いランサムウェアギャングとつながりを持つパイオニアキトゥンの活動は、国家が支援するハッキングと金銭目的のサイバー犯罪の交差点が拡大していることを浮き彫りにしています。

パイオニアキトゥンAPTの台頭

UNC757、パリサイト、ルビジウム、レモンサンドストームなど、さまざまな別名でも知られるパイオニアキトゥンは、2017 年以来、サイバーセキュリティの専門家や法執行機関の監視下に置かれてきました。当初は米国の組織を標的とした執拗なネットワーク侵入の試みで知られていましたが、その後、このグループは活動を拡大し、世界的なランサムウェアエコシステムで重要な役割を担うようになりました。

国家支援によるサイバー犯罪

イラン政府の支援を受けて活動するパイオニアキトゥンの主な使命は、サイバースパイ活動と破壊的な攻撃を通じてイランの地政学的目標を支援することであると思われます。しかし、最近の動向から、同グループは金銭目的のランサムウェアギャングとますます協力するようになり、収益化へのシフトが示唆されています。

手口: 最初のアクセスからランサムウェアの展開まで

Pioneer Kitten の活動は、通常、リモートの外部サービスの脆弱性を悪用することから始まります。このグループは、Shodan などのツールを使用して脆弱なシステムを見つけ、インターネットに接続された資産を特定してターゲットにすることに特に長けています。最近の悪用には、Palo Alto Networks PAN-OS や Citrix システムなど、一般的なセキュリティゲートウェイや VPN の脆弱性が含まれています。

脆弱性の悪用

侵入ポイントが特定されると、パイオニアキトゥンはウェブシェルを利用してログイン認証情報を取得し、権限を昇格します。このグループは計画的なアプローチで知られており、アカウントを作成または乗っ取ったり、ゼロトラストポリシーを回避したり、バックドアを設定して継続的にアクセスしたりします。また、マルウェア対策ソフトウェアを無効にしたり、セキュリティ設定を下げてマルウェアの展開を容易にしたりすることも、このグループの活動に含まれています。

コマンドと制御のテクニック

Pioneer Kitten は、侵害されたネットワークの制御を維持するためにさまざまなツールを使用します。これには、リモートアクセス用の AnyDesk、コマンド実行用の PowerShell Web Access、およびアウトバウンド接続を作成するための Ligolo や NGROK などのトンネリングツールが含まれます。これらのツールにより、グループは被害者のネットワーク内に永続的に存在し続けることができ、適切なタイミングでランサムウェアを展開できます。

ランサムウェア集団との協力

ランサムウェア関連企業との密接な連携により、Pioneer Kitten は他の APT グループとは一線を画しています。FBI と CISA によると、このグループは地下市場で侵害されたネットワークへのアクセスを販売するだけでなく、ランサムウェアの活動を直接支援しています。この連携は、 ALPHV (BlackCat)、 NoEscape 、RansomHouse などの有名なランサムウェアグループにも及んでいます。

経済的動機と収益分配

パイオニアキトゥンのランサムウェア攻撃への関与は、単なるアクセス仲介にとどまりません。このグループは、恐喝を成功させるためにランサムウェアの関連会社と緊密に協力し、その努力に対する報酬として身代金の一部を受け取っています。このビジネスモデルは、国家が支援するサイバー活動と金銭目的のサイバー犯罪の境界線がますます曖昧になっていることを強調しています。

地政学的影響

パイオニア・キトゥンの活動は、特に米国とイランの関係において、地政学的に重大な意味を持つ。同グループの活動は、サイバー空間を通じて権力と影響力を誇示するというイランのより広範な戦略の一環である。しかし、米国組織に対するランサムウェア攻撃への同グループの関与は、イランがサイバー工作員をどの程度コントロールしているのかという疑問を生じさせている。

不正な操作？

興味深いことに、米国当局は、パイオニアキトゥンのランサムウェア活動はイラン政府から正式に認可されていない可能性があると示唆している。同グループは Danesh Novin Sahand という IT 企業を装って活動していると伝えられているが、メンバーの間では政府による財務活動の監視の可能性を懸念している。この曖昧さから、パイオニアキトゥンはある程度の自主性を持って活動し、政府の指示と財務上の利益のバランスを取っている可能性が浮上している。

Pioneer Kitten は、国家支援の目的と犯罪組織をシームレスに融合させた新しいタイプの APT グループです。スパイ活動からランサムウェア攻撃への積極的な参加へと進化したことは、サイバー脅威の状況がますます複雑化していることを浮き彫りにしています。組織がこれらの高度な脅威に取り組み続ける中で、効果的なサイバーセキュリティ防御を開発するには、Pioneer Kitten のようなグループの戦術、手法、動機を理解することが不可欠です。