HYPERSCRAPE 탐지: 이란 사이버 첩보 그룹 APT35 사용자 데이터 탈취를 위한 맞춤형 도구 사용

이란의 후원을 받는 APT34 해킹 집단, Charming Kitten으로도 추적되는 이들의 악성 캠페인이 2022년에 사이버 위협 분야에서 큰 반향을 일으키고 있으며, 사이버 공격에는 Microsoft Exchange ProxyShell 취약점을 악용한 공격이 포함됩니다. 2022년 8월 말, 사이버 보안 연구자들은 Gmail, Yahoo!, Microsoft Outlook 사용자에게 심각한 위협을 가하는 지속적인 악성 활동을 밝혀냈습니다. 이러한 공격에서 이란 사이버 스파이 그룹은 2020년부터 적극적으로 개발 중인 HYPERSCRAPE라는 맞춤형 데이터 침출 도구를 활용하고 있습니다. HYPERSCRAPE는 공격자의 장치에서 실행되어 도난당한 자격 증명을 사용해 침해된 이메일 인박스의 내용을 다운로드할 수 있게 합니다.

HYPERSCRAPE 데이터 침출 도구 감지

정부가 후원하는 APT 그룹의 지속적인 증가, 그러한 그룹의 공격 도구의 복잡성 증가, 다양한 공격 경로의 악용으로 인해 사이버 수비수들은 새롭게 나타나는 공격에 대처하고 적의 행동을 시기 적절하게 식별하기 위해 노력하고 있습니다. SOC Prime의 Detection as Code 플랫폼은 Sigma 규칙 을 큐레이션하여 사이버 보안 전문가가 APT35 이란 관련 그룹의 사용자 데이터 도난을 목적으로 설계한 새로운 HYPERSCRAPE 도구의 악성 행동을 즉시 탐지할 수 있도록 돕습니다. Sigma 규칙은 SOC Prime의 Threat Bounty Program 개발자인 Zaw Min Htun (ZETA) and 와 Onur Atali가 개발했으며, 업계 선두의 SIEM, EDR, XDR 형식으로 번역되어 제공합니다. 사이버 보안 전문가들은 SOC Prime의 Cyber Threats Search Engine을 통해 아래 링크를 따라 이러한 상황에 기반한 탐지 알고리즘에 즉시 접근할 수 있습니다:

이란 APT에 의해 사용된 HYPERSCRAPE 도구의 가능성 있는 탐지

이란 APT 데이터 추출 HYPERSCRAPE 도구 감지(파일 이벤트 경유)

Onur Atali가 제공한 후자의 Sigma 규칙은 악성 HYPERSCRAPE 도구 파일 활동을 감지합니다. 이 탐지는 MITRE ATT&CK® 프레임워크 버전과 정렬되며, 그 주된 기법으로 Inter-Process Communication (T1559)을 활용한 Execution 전술을 다룹니다.

경험 많고 새로운 위협 사냥꾼들과 탐지 엔지니어들은 SOC Prime Threat Bounty Program에 참여하여 공동 사이버 방어의 힘을 활용하고, 그들의 탐지 콘텐츠를 작성하고, 그들의 전문 기술을 수익화할 수 있습니다.

사이버 대응 능력을 강화하기 위해, 등록된 SOC Prime 사용자들은 이란 해커 그룹 APT35, Charming Kitten와 연관된 의심스러운 활동 감지를 위한 Sigma 규칙 전체 컬렉션에 접근할 수 있습니다. 아래의 감지 및 사냥 버튼을 클릭하여 고품질 경보 전용 및 위협 사냥 쿼리에 도달하세요. Hyperscrape라는 이란 도구와 관련된 데이터 침출 공격에 대한 통찰력 있는 상황 정보를 원한다면, 위협 상황 탐색 버튼을 클릭하여 포괄적인 메타데이터가 포함된 관련 Sigma 규칙 목록을 즉시, 등록 없이 살펴볼 수 있습니다.

감지 및 사냥 위협 상황 탐색

HYPERSCRAPE란 무엇인가?

사이버 보안 연구원들은 Google의 위협 분석 그룹 이 사용자 데이터를 도난하고 악성코드를 배포하며 여러 공격 벡터를 적용하는 것으로 알려진 악명 높은 이란의 사이버 스파이 그룹 APT35, Charming Kitten의 활동을 모니터링해왔습니다. 이란 APT는 그들의 상대방 도구 키트에 정교한 도구와 기술을 추가하면서 지속적으로 발전해왔습니다. HYPERSCRAPE라는 새로운 맞춤형 데이터 침출 도구는 Gmail, Yahoo!, Microsoft Outlook 사용자의 계정에서 내용을 탈취하도록 설계되었습니다.

HYPERSCRAPE는 .NET으로 작성된 맞춤형 악성코드 샘플로, 유효한 이메일 자격 증명이나 세션 쿠키가 공격자 손에 넘어가면 피해자의 메일박스에서 민감한 데이터를 가져올 수 있습니다. 상대방은 인증된 사용자 세션을 하이재킹한 후 메일박스를 횡단하면서 고도로 표적화된 공격에 이 도구를 활용합니다. 특히, HYPERSCRAPE는 데이터 덤프 작업을 자동화하여 모든 침해된 이메일이 읽지 않음으로 남고 모든 Google 보안 경고가 삭제되도록 합니다.

참여하세요 SOC Prime의 Detection as Code 플랫폼 에 가입하여 최신 위협에 대한 정보를 지속적으로 업데이트하고 현재 증가하고 있는 정부 후원 APT 그룹이 시작한 적대적 캠페인을 포함한 모든 규모와 복잡성의 공격에 대처하세요. 자기 발전 기회를 찾으세요? 다음의 일원이 되세요 SOC Prime의 Threat Bounty 크라우드소싱 이니셔티브에 참여하여 Sigma 및 YARA 규칙을 제작하고 글로벌 사이버 보안 커뮤니티와 공유하며, 기여에 대한 금전적 보상을 받으면서 탐지 엔지니어링 및 위협 사냥 기술을 갈고 닦으세요.