活発なオンラインスパイグループを調査している研究者自身も、執拗なソーシャルエンジニアリング攻撃の標的となっている。
ClearSkyとTrend MicroのEyal Sela氏とCedric Pernet氏は、Rocket Kittenグループの攻撃者がソーシャルエンジニアリングのFacebookメッセージとメールを使って、旧会社の無名のセキュリティ担当者を標的にしたと述べている。
攻撃者は、善意のハッカーたちに反撃しようと、連絡先に送った電子メールで研究者になりすましていた。
これは、昨年2014年3月と9月に発表され、このグループを初めて特定した研究者の研究論文に続くものである。
高度なソーシャルエンジニアリング集団の手腕に比べれば、偽メールは実にひどい出来です。メッセージの中で、ネット上の悪質な人物たちは、セキュリティに精通していると思われる標的に対し、ぎこちない文法の流れで、偽のトレンドマイクロ製ウイルススキャナの実行ファイルを実行するよう要求します。
その後、標的となった連絡先は、フィッシングを確認するために ClearSky の研究者に連絡を取った。
彼らはセキュリティ研究者への攻撃には不向きかもしれないが、攻撃者たちは執拗だ。セラ氏とペルネット氏によれば、このグループはここ数カ月、より強力なセキュリティ防御を回避するために、職員の個人用オンラインアカウントを通じて組織を標的とするソーシャルエンジニアリング攻撃に重点を置いているという。
このグループは主に中東を拠点とする約550の標的を攻撃し、人権やジャーナリズムに関わる西側諸国在住の外国人に対してスパイ活動を試みているが、どのようなデータが盗まれたかは不明である。
個人アカウントを通じて企業を宣伝する。
共同研究の結果に基づき、研究チームはロケット・キトゥンが外国の政治スパイ活動に関与し、外交政策や防衛当局と個人的な繋がりを持つ重要人物を監視していると推測している。彼らは金銭を狙っているわけではないと、2人は主張している。
Rocket Kitten は、フィッシング メール、Facebook メッセージ、さらには大胆な電話やテキスト メッセージで被害者をターゲットにし、個人アカウントへの侵入を「執拗に」追求しています。
これは巧妙な手口です。監視システムが導入され、警報が鳴ればすぐに警備員が駆けつけてくれる組織とは対照的に、自宅では周辺的な保護が不足していることを巧妙に利用しているのです。攻撃者は、理論上は仕事と私生活は完全に分離されているものの、現実世界では人々が仕事関連のコンテンツを保存・共有するために個人のクラウドサービスや個人用デバイスを利用していることを熟知しています。
これにより「至福の連鎖反応」が生まれ、企業ネットワークへの侵入が可能になります。
研究者2人は、このグループの持続性には高い評価を与えたものの、マルウェアはひどい出来だと述べている。キーロガーは「粗雑に開発」されており、ファイル転送プロトコルの認証情報を漏洩した。一方、攻撃者が侵入テストツール「Core Impact Pro」に加えた変更は基本的なものだった。®
