HYPERSCRAPE検出：イランのサイバー諜報グループAPT35がユーザーデータを盗むためにカスタムツールを使用

イランに支援されたAPT34ハッキング集団、別名Charming Kittenとしても追跡されているこの悪意のあるキャンペーンは、2022年にサイバー脅威領域で波紋を広げています。これには、サイバー攻撃を利用したものも含まれます。 Microsoft Exchange ProxyShellの脆弱性2022年8月末、サイバーセキュリティ研究者たちは、Gmail、Yahoo!、Microsoft Outlookユーザーに対する深刻な脅威をもたらす継続的な悪意のある活動を明らかにしました。これらの攻撃では、イランのサイバーエスピオナージュグループが、HYPERSCRAPEと名付けられたカスタムデータ流出ツールを活用しています。このツールは2020年からアクティブに開発されています。HYPERSCRAPEは攻撃者のデバイスで動作し、盗まれた認証情報を使用して、侵害されたメールインボックスの内容をダウンロードすることを可能にします。

HYPERSCRAPE データ流出ツールの検出

国家によって支援されるAPTグループの数の増加、攻撃ツールキットの高度化、および異なる攻撃ベクトルの利用が増す中で、サイバー防御者は新たな攻撃に対して積極的に防御し、敵の行動をタイムリーに特定しようと努めています。SOC PrimeのDetection as Codeプラットフォームは、 Sigmaルール を厳選し、サイバーセキュリティ専門家がAPT35イラン関連グループの悪意のある行動を即座に特定するのを助けます。このグループは、ユーザーデータを盗むために設計された新しいHYPERSCRAPEツールを利用しています。両方のSigmaルールは、私たちの熱心なThreat Bounty Programの開発者、 Zaw Min Htun (ZETA) and Onur Ataliによって作成されており、業界をリードするSIEM、EDR、XDRフォーマットへの翻訳が利用可能です。サイバーセキュリティ実務者は、以下のリンクをたどることで、SOC Primeのサイバー脅威検索エンジンから、これらのコンテキスト豊かな検出アルゴリズムに即座にアクセスすることができます。

イランのAPTによるHYPERSCRAPEツールの使用を検出する可能性

イランのAPTデータ抽出 HYPERSCRAPEツールの検出（via file_event）

Onur Ataliによって提供された後者のSigmaルールは、悪意のあるHYPERSCRAPEツールのファイル活動を検出します。この検出は MITRE ATT&CK®フレームワーク のバージョンに準拠しており、主な手法としてプロセス間通信（T1559）を活用しつつ、Execution戦術に対処しています。

経験豊富なおよび将来有望な脅威ハンターと検出エンジニアは、 SOC Prime Threat Bounty Programに参加して、協力的なサイバー防衛の力を引き出し、検出コンテンツを作成し、その専門技術を収益化することが歓迎されています。

サイバー反応能力を向上させるために、登録済みのSOC Primeユーザーは、イランのハッカーグループに起因する疑わしい活動を検出するためのSigmaルールの全コレクションにアクセスできます。 APT35またはCharming Kittenと呼ばれるグループです。「 検出＆ハント 」ボタンをクリックすると、専用の高品質アラートと脅威ハンティングクエリにアクセスできます。イランのツールHyperscrapeを用いたデータ流出攻撃に関連する洞察に基づくコンテキスト情報を取得するには、 脅威コンテキストを探る ボタンをクリックし、包括的なメタデータを伴う関連するSigmaルールのリストをすぐに、しかも登録不要で確認できます。

検出＆ハント 脅威コンテキストを探る

HYPERSCRAPEとは何ですか？

サイバーセキュリティ研究者は Googleの脅威解析チーム が、ユーザーデータを盗むことで知られる、悪名高いイランのサイバーエスピオナージュグループAPT35またはCharming Kittenとして知られ、多くの攻撃ベクトルを悪用する悪意のあるキャンペーンを追跡中です。イランのAPTは常に敵のツールキットを進化させ、高度なツールや技術で強化しています。新しいカスタムデータ流出ツールのHYPERSCRAPEは、Gmail、Yahoo!、Microsoft Outlookユーザーのアカウントからコンテンツを盗むために設計されています。

HYPERSCRAPEは、.NETで書かれたカスタムマルウェアサンプルであり、攻撃者が有効なメールクレデンシャルまたはセッションクッキーを手にした場合、被害者のメールボックスから機密データを取得できます。敵は、認証されたユーザーセッションを乗っ取った後、メールボックスを詳しく調べるためにこのツールを利用します。特筆すべきは、HYPERSCRAPEがデータダンプのルーチンを自動化して、侵害されたすべてのメールが未読として残され、すべてのGoogleセキュリティアラートが削除されることを確保している点です。

参加する SOC PrimeのDetection as Codeプラットフォーム に参加して、最新の脅威を把握し、国家支援のAPTグループによる現在増加中のあらゆる規模や高度な攻撃と戦うことができます。自己成長の機会を探していますか？ SOC PrimeのThreat Bounty のクラウドソーシングイニシアチブに参加し、SigmaおよびYARAルールを作成し、グローバルなサイバーセキュリティコミュニティと共有し、自身の検出技術や脅威ハンティングのスキルを磨き、その貢献で報酬を得てください。