Rilevazione di HYPERSCRAPE: il gruppo di cyber-spionaggio iraniano APT35 utilizza uno strumento personalizzato per rubare dati degli utenti
Indice:
Le campagne malevole del collettivo di hacking APT34, sostenuto dall’Iran e noto anche come Charming Kitten, hanno creato scompiglio nell’arena delle minacce informatiche nel 2022, inclusi gli attacchi informatici che sfruttano le vulnerabilità di Microsoft Exchange ProxyShell. A fine agosto 2022, i ricercatori di cybersecurity hanno rivelato l’attività malevola in corso che rappresenta una seria minaccia per gli utenti di Gmail, Yahoo! e Microsoft Outlook. In questi attacchi, il gruppo di cyber-spionaggio iraniano ha utilizzato uno strumento personalizzato di esfiltrazione dati chiamato HYPERSCRAPE, che è in fase di sviluppo attivo dal 2020. HYPERSCRAPE funziona sui dispositivi degli attaccanti, consentendo loro di scaricare i contenuti delle caselle di posta compromesse con credenziali rubate.
Rileva lo strumento di esfiltrazione dati HYPERSCRAPE
Con il numero in costante crescita di gruppi APT sponsorizzati dallo stato, l’aumento della sofisticazione dei loro strumenti offensivi e l’uso di vettori di attacco disparati, i difensori informatici si sforzano di difendersi proattivamente dagli attacchi emergenti e identificare tempestivamente il comportamento degli avversari. La piattaforma Detection as Code di SOC Prime cura un set di regole Sigma per aiutare i professionisti della cybersecurity a individuare istantaneamente il comportamento malevolo del gruppo APT35 legato all’Iran che sfrutta il loro nuovo strumento HYPERSCRAPE progettato per rubare dati utente. Entrambe le regole Sigma sono create dai nostri abili sviluppatori del Threat Bounty Program, Zaw Min Htun (ZETA) and Onur Atali, e sono disponibili con traduzioni nei formati SIEM, EDR e XDR leader del settore. I praticanti di cybersecurity possono accedere istantaneamente a questi algoritmi di rilevamento arricchiti di contesto direttamente dal motore di ricerca Cyber Threats di SOC Prime seguendo i link sottostanti:
Possibile rilevamento dello strumento HYPERSCRAPE utilizzato dall’APT iraniano
Strumento di estrazione dati HYPERSCRAPE APT iraniano – Rilevamento (tramite file_event)
La seconda regola Sigma fornita da Onur Atali rileva le attività di file malevolo dello strumento HYPERSCRAPE. Il rilevamento è allineato con il MITRE ATT&CK® framework versione affrontando la tattica di Esecuzione insieme alla Comunicazione Inter-Processo (T1559) sfruttata come tecnica primaria.
Cacciatori di Minacce e Ingegneri di Rilevamento esperti e aspiranti sono invitati a sfruttare il potere della difesa informatica collaborativa unendosi al SOC Prime Threat Bounty Program, creando i loro contenuti di rilevamento e monetizzando le loro competenze professionali.
Per potenziare le capacità di risposta informatica, gli utenti registrati di SOC Prime possono accedere all’intera collezione di regole Sigma per il rilevamento dell’attività sospetta attribuita al gruppo di hacker iraniano APT35 noto anche come Charming Kitten. Clicca il pulsante Detect & Hunt per raggiungere gli avvisi di alta qualità dedicati e le query di caccia alle minacce. Per informazioni contestuali informative relative agli attacchi di esfiltrazione dati con lo strumento iraniano chiamato Hyperscrape, clicca il pulsante Explore Threat Context e approfondisci l’elenco delle regole Sigma rilevanti accompagnate da metadati completi, istantaneamente e senza registrazione.
pulsante Detect & Hunt pulsante Explore Threat Context
Cos’è HYPERSCRAPE?
I ricercatori di cybersecurity del Google’s Threat Analysis Group stanno tenendo traccia dell’attività del famigerato gruppo di cyber-spionaggio iraniano APT35 noto anche come Charming Kitten, famoso per rubare dati utente, distribuire malware e applicare molteplici vettori di attacco nelle loro campagne malevole. L’APT iraniano ha costantemente evoluto il suo arsenale avversario arricchendolo con strumenti e tecniche sofisticati. Il nuovo strumento personalizzato di esfiltrazione dati chiamato HYPERSCRAPE è progettato per rubare i contenuti dagli account degli utenti di Gmail, Yahoo! e Microsoft Outlook.
HYPERSCRAPE è un campione di malware personalizzato scritto in .NET in grado di rubare dati sensibili dalle caselle di posta delle vittime, una volta che le credenziali email valide o un cookie di sessione sono in possesso degli attaccanti. Gli avversari sfruttano lo strumento per attacchi altamente mirati navigando tra le caselle di posta dopo aver dirottato una sessione utente autenticata. In particolare, HYPERSCRAPE automatizza in gran parte la routine di estrazione dei dati assicurando che tutte le email compromesse rimangano contrassegnate come non lette e che tutti gli avvisi di sicurezza di Google siano eliminati.
Partecipa a SOC Prime’s Detection as Code platform per tenerti aggiornato sulle ultime minacce e combattere gli attacchi di qualsiasi scala e complessità, incluse le campagne avversarie lanciate dai gruppi APT sponsorizzati dallo stato che sono attualmente in aumento. Cerchi opportunità di auto-avanzamento? Unisciti ai ranghi dell’iniziativa crowdsourced SOC Prime’s Threat Bounty per affinare le tue competenze in Ingegneria del Rilevamento e Caccia alle Minacce creando regole Sigma e YARA, condividendole con la comunità globale di cybersecurity e guadagnando ricompense finanziarie per il tuo contributo.
