連邦捜査局、サイバーセキュリティ・インフラストラクチャセキュリティ庁、国防総省サイバー犯罪センターによる新たな共同サイバーセキュリティ勧告により、Fox Kittenとして知られる悪名高いイラン拠点の脅威アクターに関する新たな情報が公開された。
このグループは、入手した企業アクセスをサイバー犯罪者のアンダーグラウンドフォーラムで販売し、ランサムウェア関連企業と積極的に協力して被害者の身代金要求を支援しています。この脅威グループはここ数週間、米国およびその他の海外組織への侵入を狙っています。
Fox Kitten とは誰ですか?
Fox Kitten (別名 Pioneer Kitten、UNC757、Parasite、Rubidium、Lemon Sandworm) は、少なくとも 2017 年以降積極的にサイバースパイ活動を行っている脅威アクターです。
FBIの勧告によると、このグループはイラン政府と関連があり、様々な組織に対する機密技術データの窃盗を支援しているという。この脅威グループは、イスラエルやアゼルバイジャンなどの中東の企業だけでなく、オーストラリア、フィンランド、アイルランド、フランス、ドイツ、アルジェリア、トルコ、米国などの企業も標的としており、他にも標的となっている可能性がある。
勧告によると、Fox Kittenは2017年以降、米国の組織に対して大量のコンピュータネットワーク侵入を試みてきた。標的には、米国に拠点を置く学校、地方自治体、金融機関、医療施設などが含まれており、最近では2024年8月に事件が発生している。
OTサイバーセキュリティ企業Dragosは、脅威の攻撃者が仮想プライベートネットワーク機器の脆弱性を悪用してICS関連の組織も標的にしていたと指摘した。
この勧告では、同グループが「イランの会社名 Danesh Novin Sahand(識別番号 14007585836)」を使用しており、これは同グループの悪意あるサイバー活動の隠れ蓑として使用されている可能性が高いことも明らかにされている。
単なるサイバースパイ活動ではない
2020年、Fox Kittenが主導した「Pay2Key」作戦は、脅威アクターがサイバースパイ活動を促進するだけでなく、他の目的も追求できることを示しました。
イスラエルに拠点を置くClearSky Cyber Security社によると、ランサムウェア攻撃はイスラエルの組織を標的とし、これまで報告されていないランサムウェアが使用されましたが、この攻撃キャンペーンはイスラエルで恐怖を煽り、パニックを起こさせるためのプロパガンダであった可能性が高いとのことです。攻撃中に盗まれたデータは、報告書に記載されているように、「Pay2Key、イスラエルのサイバー空間の悪夢!」と書かれたリークサイトで公開されました。
サイバーセキュリティ企業CrowdStrikeが2020年に発表した別のレポートでは、この脅威アクターが地下フォーラムで侵害されたネットワークへのアクセスを販売する広告も掲載していたことが明らかになりました。研究者たちは、この活動はイラン政府を支援するための標的型侵入攻撃と並んで、収益源の多様化を図る潜在的な試みであると考えています。
ランサムウェアアフィリエイトとの協力
Fox Kittenは被害者のネットワークへのアクセスを獲得すると、NoEscape、RansomHouse、ALPHV/BlackCatといったランサムウェア関連企業と連携します。脅威アクターは、身代金の一部を受け取る代わりに、ランサムウェア関連企業にフルアクセスを提供します。
FBIによると、Fox Kittenは侵入したネットワークへのアクセスを提供するだけではありません。このグループはランサムウェア関連企業と緊密に連携し、被害者のネットワークをロックし、被害者から金銭を脅迫するための戦略を練っています。しかし、このグループはランサムウェア関連企業との連絡担当者にイランに拠点を置くことを明かしておらず、その出自についても曖昧なままです。
共同勧告によると、このグループは2024年に自らを「Br0k3r」というニックネームで呼び、チャンネルでは「xplfinder」を使用していたという。
技術的な詳細
Fox Kitten は Shodan 検索エンジンを使用して、Citrix Netscaler、F5 Big-IP、Pulse Secure/Ivanti VPN、PanOS ファイアウォールなど、特定のエクスプロイトに対して脆弱なデバイスをホストしている IP アドレスを識別します。
脆弱性が悪用されると、脅威の攻撃者は次のことを行います。
- 悪意のあるタスクを作成する前に、Web シェルを埋め込み、ログイン資格情報を取得し、バックドア マルウェアを追加してシステムの侵害を継続します。
- 侵害された資格情報を使用して、「IIS_Admin」や「sqladmin$」などの目立たない名前で被害者のネットワーク上に新しいアカウントを作成します。
- ドメインコントローラーやインフラストラクチャの他の部分にログインするための管理者資格情報を取得します。既存のセキュリティソフトウェアとウイルス対策ソフトウェアも無効化されます。
「Br0k3r」は1年以上活動している
共同勧告では、複数の侵害の兆候が示されているほか、「Br0k3r」というニックネームのTOX識別子も記載されています。TOXは、安全な通信を提供するために設計されたピアツーピアのインスタントメッセージングソフトウェアであり、固有のキーを使用してユーザーを識別します。
「Br0k3r」の固有TOX IDは、2023年にSANS Instituteによって、米国、カナダ、中国、英国、フランス、イタリア、ノルウェー、スペイン、インド、台湾、スイスなど、さまざまな国の企業ネットワークへのアクセスを販売する初期アクセスブローカーとしてすでに暴露されています。

サイバーセキュリティ企業MalwareBytesによると、米国はランサムウェアの影響を最も受けている国であるため、脅威の攻撃者が米国を標的にするのは驚くことではない。
サイバー犯罪フォーラムを活用する
脅威アクターは、複数の異なるサイバー犯罪者のフォーラムへのアクセスを宣伝するために、独自の Tor ホスト Web サイトを提供しました。
Br0k3r の Web サイトの最初のバージョンでは、すべての販売にドメイン管理者の資格情報、Active Directory ユーザーの資格情報、DNS ゾーンとオブジェクト、Windows ドメインの信頼など、完全なドメイン制御が含まれていることが示されています。

2023年8月頃に公開されたウェブサイトの2番目のバージョンには、「かなりの割合で私と協力している多数のアクティブなランサムウェア集団」が記載されています。

この脅威からビジネスを守る方法
Fox Kittenが最初に展開した侵入手法は、インターネットに接続された複数のアプライアンス、特に企業のVPNやファイアウォールアプライアンスの既知の脆弱性を悪用することでした。このサイバー脅威から企業を守るために、企業は以下の対策を講じるべきです。
- このような脆弱性に陥らないように、VPN およびファイアウォール アプライアンスを更新してパッチを適用してください。
- すべてのオペレーティング システムを更新してパッチを適用し、ソフトウェアは最新の状態に保ち、パッチを適用する必要があります。
- VPNへのアクセス権を持つユーザーを監視し、不審な接続や接続試行がないか確認します。また、VPNアプライアンスにフィルタリング機能を導入し、従業員が普段使用しているインターネット接続からのみ必要な場合にのみ接続できるようにする必要があります。
- ログファイルを確認し、分析してください。共同報告書に記載されている侵害の兆候が発見された場合は、直ちに調査を開始する必要があります。
- 疑わしいアクティビティを検出するために、すべてのエンドポイントとサーバーにセキュリティ ソリューションを導入します。
最後に、FBI と CISA は、被害者が暗号化されたファイルを回復できる保証はなく、身代金の支払いが他の犯罪活動の資金源になる可能性もあるため、身代金の支払いを推奨していません。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。