Détection de HYPERSCRAPE : Le groupe de cyberespionnage iranien APT35 utilise un outil personnalisé pour voler des données utilisateur

Les campagnes malveillantes du collectif de hackers APT34 soutenu par l’Iran, également connu sous le nom de Charming Kitten, ont fait sensation dans le domaine des cybermenaces en 2022, y compris les cyberattaques exploitant les vulnérabilités ProxyShell de Microsoft Exchange. Fin août 2022, des chercheurs en cybersécurité ont révélé l’activité malveillante en cours posant une menace sérieuse pour les utilisateurs de Gmail, Yahoo! et Microsoft Outlook. Dans ces attaques, le groupe iranien de cyberespionnage a utilisé un outil d’exfiltration de données personnalisé nommé HYPERSCRAPE, qui est en développement actif depuis 2020. HYPERSCRAPE fonctionne sur les dispositifs des attaquants, leur permettant de télécharger le contenu des boîtes de réception mails compromises avec des identifiants volés.

Détection de l’outil d’exfiltration de données HYPERSCRAPE

Avec le nombre croissant de groupes APT parrainés par des États, la sophistication accrue de leurs outils offensifs et l’exploitation de vecteurs d’attaque disparates, les défenseurs cybernétiques s’efforcent de se défendre de manière proactive contre les attaques émergentes et d’identifier en temps opportun le comportement des adversaires. La plateforme Detection as Code de SOC Prime propose un ensemble de règles Sigma pour aider les professionnels de la cybersécurité à repérer instantanément le comportement malveillant du groupe iranien APT35 utilisant leur nouvel outil HYPERSCRAPE conçu pour voler des données utilisateur. Ces règles Sigma sont élaborées par nos développeurs du programme Threat Bounty, Zaw Min Htun (ZETA) and Onur Atali, et sont disponibles avec des traductions aux formats SIEM, EDR et XDR de l’industrie. Les praticiens de la cybersécurité peuvent accéder instantanément à ces algorithmes de détection enrichis en contexte directement depuis le moteur de recherche Cyber Threats de SOC Prime en suivant les liens ci-dessous :

Détection possible de l’outil HYPERSCRAPE utilisé par l’APT iranien

Détection de l’outil d’extraction de données HYPERSCRAPE de l’APT iranien (via file_event)

La dernière règle Sigma fournie par Onur Atali détecte l’activité fichier malveillante de l’outil HYPERSCRAPE. La détection est alignée avec le cadre MITRE ATT&CK® en version adressant la tactique d’Exécution ainsi que la communication inter-processus (T1559) utilisée comme technique principale.

Les chasseurs de menaces et ingénieurs de détection, qu’ils soient chevronnés ou en devenir, sont invités à exploiter le pouvoir de la défense cyber collaborative en rejoignant le programme SOC Prime Threat Bounty, à créer leur contenu de détection et à monétiser leurs compétences professionnelles.

Pour renforcer les capacités de réponse cyber, les utilisateurs enregistrés de SOC Prime peuvent accéder à la collection entière de règles Sigma pour la détection des activités suspectes attribuées au groupe de hackers iranien APT35 alias Charming Kitten. Cliquez sur le bouton Détecter & Chasser pour accéder aux alertes de haute qualité dédiées et aux requêtes de chasse aux menaces. Pour des informations contextuelles approfondies liées aux attaques d’exfiltration de données avec l’outil iranien nommé Hyperscrape, cliquez sur le bouton Explorer le Contexte de Menace , et accédez à la liste des règles Sigma pertinentes accompagnées de métadonnées complètes — instantanément et sans inscription.

Détecter & Chasser Explorer le Contexte de Menace

Qu’est-ce que HYPERSCRAPE ?

Les chercheurs en cybersécurité du Groupe d’analyse des menaces de Google ont suivi l’activité du célèbre groupe iranien de cyberespionnage APT35 alias Charming Kitten, connu pour voler des données utilisateur, déployer des malwares et utiliser plusieurs vecteurs d’attaque dans leurs campagnes malveillantes. L’APT iranien n’a cessé de faire évoluer son arsenal d’adversaires en l’enrichissant d’outils et de techniques sophistiqués. Le nouvel outil d’exfiltration de données personnalisé nommé HYPERSCRAPE est conçu pour voler le contenu des comptes des utilisateurs de Gmail, Yahoo! et Microsoft Outlook.

HYPERSCRAPE est un échantillon de malware personnalisé écrit en .NET capable de récupérer des données sensibles des boîtes de messagerie des victimes, une fois que des identifiants mails valides ou un cookie de session sont en possession des attaquants. Les adversaires utilisent l’outil pour des attaques très ciblées naviguant à travers la boîte aux lettres après avoir détourné une session utilisateur authentifiée. Notamment, HYPERSCRAPE automatise largement la routine de vidage des données tout en s’assurant que tous les emails compromis restent marqués non lus et que toutes les alertes de sécurité Google sont supprimées.

Rejoignez la plateforme Detection as Code de SOC Prime pour rester au fait des dernières menaces et combattre les attaques de toute envergure et sophistication, y compris les campagnes d’adversaires lancées par les groupes APT parrainés par des États qui sont actuellement en augmentation. Vous cherchez des opportunités d’évolution personnelle ? Rejoignez les rangs de l’initiative SOC Prime’s Threat Bounty crowdsourcée pour affiner vos compétences en ingénierie de détection et en chasse aux menaces en élaborant des règles Sigma et YARA, en les partageant avec la communauté mondiale de cybersécurité et en obtenant des récompenses financières pour votre contribution.