Detección de HYPERSCRAPE: Grupo de Ciberespionaje Iraní APT35 Utiliza una Herramienta Personalizada para Robar Datos de Usuarios
Tabla de contenidos:
Las campañas maliciosas del colectivo de hackers APT34 respaldado por Irán, también conocido como Charming Kitten, han estado causando revuelo en el ámbito de las amenazas cibernéticas en 2022, incluyendo los ciberataques que explotan las vulnerabilidades Microsoft Exchange ProxyShell. A finales de agosto de 2022, los investigadores en ciberseguridad revelaron la actividad maliciosa en curso que representa una seria amenaza para los usuarios de Gmail, Yahoo! y Microsoft Outlook. En estos ataques, el grupo de ciberespionaje iraní ha estado utilizando una herramienta personalizada de exfiltración de datos llamada HYPERSCRAPE, que ha estado en desarrollo activo desde 2020. HYPERSCRAPE se ejecuta en los dispositivos de los atacantes, permitiéndoles descargar el contenido de las bandejas de entrada de correo electrónico comprometidas con credenciales robadas.
Detectar la herramienta de exfiltración de datos HYPERSCRAPE
Con el número en constante crecimiento de grupos APT patrocinados por el estado, la mayor sofisticación de su arsenal ofensivo y la explotación de diferentes vectores de ataque, los defensores cibernéticos se esfuerzan por defenderse proactivamente de ataques emergentes e identificar a tiempo el comportamiento de los adversarios. La plataforma Detection as Code de SOC Prime recopila un conjunto de reglas Sigma para ayudar a los profesionales de ciberseguridad a detectar instantáneamente el comportamiento malicioso del grupo APT35 vinculado a Irán que utiliza su nueva herramienta HYPERSCRAPE diseñada para robar datos de los usuarios. Ambas reglas Sigma son creadas por nuestros desarrolladores atentos del Programa de Recompensas por Amenazas, Zaw Min Htun (ZETA) and Onur Atali, y están disponibles con traducciones a los formatos SIEM, EDR y XDR líderes en la industria. Los practicantes de ciberseguridad pueden acceder instantáneamente a estos algoritmos de detección enriquecidos contextualmente desde el Motor de Búsqueda de Amenazas Cibernéticas de SOC Prime siguiendo los enlaces a continuación:
Posible detección de la herramienta HYPERSCRAPE utilizada por el APT iraní
Detección de la herramienta de extracción de datos HYPERSCRAPE del APT iraní (vía file_event)
La última regla Sigma proporcionada por Onur Atali detecta la actividad del archivo malicioso de la herramienta HYPERSCRAPE. La detección está alineada con el marco MITRE ATT&CK® en la versión que aborda la táctica de Ejecución junto con la Comunicación Inter-Procesos (T1559) utilizada como su técnica principal.
Cazadores de Amenazas y Ingenieros de Detección experimentados y aspirantes son bienvenidos a aprovechar el poder de la defensa cibernética colaborativa uniéndose al Programa de Recompensas por Amenazas de SOC Prime, a crear su contenido de detección y a monetizar sus habilidades profesionales.
Para potenciar las capacidades de respuesta cibernética, los usuarios registrados de SOC Prime pueden acceder a la colección completa de reglas Sigma para la detección de la actividad sospechosa atribuida al grupo de hackers iraní APT35 también conocido como Charming Kitten. Haga clic en el botón Detectar & Cazar para llegar a las alertas de alta calidad dedicadas y consultas de búsqueda de amenazas. Para información contextual perspicaz relacionada con los ataques de exfiltración de datos con la herramienta iraní llamada Hyperscrape, haga clic en el botón Explorar Contexto de Amenaza , y profundice en la lista de reglas Sigma relevantes acompañadas de metadatos completos, de manera instantánea y sin registro.
Detectar & Cazar Explorar Contexto de Amenaza
¿Qué es HYPERSCRAPE?
Investigadores de ciberseguridad del Grupo de Análisis de Amenazas de Google han estado rastreando la actividad del infame grupo de ciberespionaje iraní APT35 también conocido como Charming Kitten, conocido por robar datos de usuarios, desplegar malware y aplicar múltiples vectores de ataque en sus campañas maliciosas. El APT iraní ha estado evolucionando constantemente su arsenal adversario enriqueciéndolo con herramientas y técnicas sofisticadas. La nueva herramienta personalizada de exfiltración de datos llamada HYPERSCRAPE está diseñada para robar contenidos de las cuentas de usuarios de Gmail, Yahoo!, y Microsoft Outlook.
HYPERSCRAPE es una muestra de malware personalizada escrita en .NET capaz de capturar datos sensitivos de los buzones de las víctimas, una vez que las credenciales válidas de correo electrónico o una cookie de sesión están en posesión de los atacantes. Los adversarios aprovechan la herramienta para ataques altamente dirigidos navegando a través del buzón después de secuestrar una sesión de usuario autenticada. Notablemente, HYPERSCRAPE automatiza en gran medida la rutina de volcado de datos mientras asegura que todos los correos electrónicos comprometidos permanezcan marcados como no leídos y se eliminen todas las alertas de seguridad de Google.
Únete a la plataforma Detection as Code de SOC Prime para estar al tanto de las últimas amenazas y combatir ataques de cualquier escala y sofisticación, incluidas las campañas adversarias lanzadas por grupos APT patrocinados por el estado que actualmente están en aumento. ¿Buscas oportunidades de autodesarrollo? Únete a las filas de la iniciativa colaborativa de recompensas por amenazas de SOC Prime para perfeccionar tus habilidades de Ingeniería de Detección y Caza de Amenazas creando reglas Sigma y YARA, compartiéndolas con la comunidad global de ciberseguridad y ganando recompensas financieras por tu aporte.
