HYPERSCRAPE-Erkennung: Iranische Cyber-Spionagegruppe APT35 verwendet ein benutzerdefiniertes Tool zum Diebstahl von Benutzerdaten
Inhaltsverzeichnis:
Die bösartigen Kampagnen des Iran-unterstützten APT34-Hacker-Kollektivs, auch bekannt als Charming Kitten, sorgten 2022 im Bereich der Cyberbedrohungen für Aufsehen, einschließlich der Cyberangriffe, die Microsoft Exchange ProxyShell-Schwachstellenausnutzten. Ende August 2022 enthüllten Cybersicherheitsforscher die anhaltenden bösartigen Aktivitäten, die eine ernsthafte Bedrohung für Nutzer von Gmail, Yahoo! und Microsoft Outlook darstellen. In diesen Angriffen nutzte die iranische Cyber-Spionage-Gruppe ein benutzerdefiniertes Datenexfiltrationstool namens HYPERSCRAPE, das seit 2020 in aktiver Entwicklung ist. HYPERSCRAPE läuft auf den Geräten der Angreifer und ermöglicht es ihnen, die Inhalte kompromittierter E-Mail-Postfächer mit gestohlenen Anmeldedaten herunterzuladen.
Erkennung des Daten-Exfiltrationstools HYPERSCRAPE
Mit der ständig steigenden Anzahl staatlich unterstützter APT-Gruppen, der zunehmenden Raffinesse ihrer offensiven Werkzeuge und der Ausbeutung unterschiedlicher Angriffsvektoren, bemühen sich Cyber-Verteidiger darum, proaktiv gegen aufkommende Angriffe zu verteidigen und das Verhalten von Angreifern rechtzeitig zu erkennen. Die Detection-as-Code-Plattform von SOC Prime kuratiert ein Set von Sigma-Regeln , um Cybersicherheitsexperten dabei zu helfen, das bösartige Verhalten der Iran-verbundenen Gruppe APT35, die ihr neuartiges HYPERSCRAPE-Tool zur Diebstahl von Nutzerdaten einsetzt, sofort zu erkennen. Beide Sigma-Regeln werden von unseren wachsamen Entwicklern des Threat Bounty Programms erstellt, Zaw Min Htun (ZETA) and Onur Atali, und sind mit Übersetzungen in die führenden SIEM-, EDR- und XDR-Formate verfügbar. Cybersicherheitsexperten können direkt über die Links in der Cyber Threats Search Engine von SOC Prime auf diese kontextbereicherte Erkennungsalgorithmen zugreifen:
Mögliche Erkennung des HYPERSCRAPE-Tools, das von iranischer APT verwendet wird
Iranian APT Data Extraction HYPERSCRAPE Tool Detect (via file_event)
Die letztere von Onur Atali bereitgestellte Sigma-Regel erkennt die bösartige Dateiaufzeichnung des HYPERSCRAPE-Tools. Die Erkennung ist mit dem MITRE ATT&CK®-Framework abgestimmt, das die Execution-Taktik sowie die als primäre Technik genutzte Inter-Prozess-Kommunikation (T1559) anspricht.
Erfahrene und aufstrebende Threat Hunters und Detection Engineers sind eingeladen, die Kraft von gemeinschaftlicher Cyber-Verteidigung zu nutzen, indem sie dem SOC Prime Threat Bounty Programbeitreten, ihre Erkennungsinhalte erstellen und ihre beruflichen Fähigkeiten monetarisieren.
Um die Cyberreaktionsfähigkeiten zu verbessern, können registrierte SOC Prime-Nutzer auf die gesamte Sammlung von Sigma-Regeln zugreifen, um die verdächtigen Aktivitäten der iranischen Hackergruppe APT35 alias Charming Kittenzu erkennen. Klicken Sie auf die Schaltfläche Detect & Hunt , um die speziellen qualitativ hochwertigen Warnungen und Bedrohungsjagdanfragen zu erreichen. Für aufschlussreiche kontextbezogene Informationen zu Datenexfiltrationsangriffen mit dem iranischen Tool namens Hyperscrape klicken Sie auf die Schaltfläche Explore Threat Context , um sofort und ohne Registrierung die Liste der relevanten Sigma-Regeln mit umfassenden Metadaten zu durchsuchen.
Detect & Hunt Explore Threat Context
Was ist HYPERSCRAPE?
Cybersicherheitsforscher von Googles Threat Analysis Group beobachten die Aktivitäten der berüchtigten iranischen Cyber-Spionage-Gruppe APT35 alias Charming Kitten, bekannt für den Diebstahl von Nutzerdaten, den Einsatz von Schadsoftware und die Anwendung multipler Angriffsvektoren in ihren bösartigen Kampagnen. Die iranische APT hat ihr Gegner-Toolset kontinuierlich weiterentwickelt und mit ausgeklügelten Werkzeugen und Techniken bereichert. Das neuartige, benutzerdefinierte Daten-Exfiltrationstool namens HYPERSCRAPE ist darauf ausgelegt, Inhalte aus den Konten von Nutzern von Gmail, Yahoo! und Microsoft Outlook zu stehlen.
HYPERSCRAPE ist eine benutzerdefinierte Malware-Probe, die in .NET geschrieben wurde, um sensible Daten aus den Postfächern der Opfer zu erfassen, sobald gültige E-Mail-Anmeldedaten oder ein Sitzungscookie in den Besitz der Angreifer gelangt sind. Die Gegner nutzen das Tool für hochgradig gezielte Angriffe, bei denen das Postfach nach der Übernahme einer authentifizierten Benutzersitzung durchforstet wird. Bemerkenswert ist, dass HYPERSCRAPE den Daten-Dump-Prozess weitgehend automatisiert, während sichergestellt wird, dass alle kompromittierten E-Mails als ungelesen markiert bleiben und alle Google-Sicherheitswarnungen gelöscht werden.
Nutzen Sie SOC Prime’s Detection-as-Code-Plattform , um über die neuesten Bedrohungen informiert zu bleiben und Angriffe jeglicher Größe und Raffinesse zu bekämpfen, einschließlich der von staatlich gesponserten APT-Gruppen gestarteten Gegner-Kampagnen, die derzeit auf dem Vormarsch sind. Auf der Suche nach Möglichkeiten zur Selbstverbesserung? Schließen Sie sich den Reihen der SOC Prime’s Threat Bounty Crowdsourcing-Initiative an, um Ihre Fähigkeiten in der Detection Engineering und Bedrohungsjagd zu verbessern, indem Sie Sigma- und YARA-Regeln erstellen, diese mit der globalen Cybersicherheitsgemeinschaft teilen und finanzielle Belohnungen für Ihren Beitrag verdienen.
