Detecção do HYPERSCRAPE: Grupo de Ciberespionagem Iraniano APT35 Usa Ferramenta Customizada para Roubar Dados de Usuários
Índice:
As campanhas maliciosas do coletivo de hackers APT34, apoiado pelo Irã e também conhecido como Charming Kitten, têm causado agitação no cenário de ameaças cibernéticas em 2022, incluindo ataques cibernéticos explorando as vulnerabilidades do Microsoft Exchange ProxyShell. No final de agosto de 2022, pesquisadores de segurança cibernética revelaram a atividade maliciosa em andamento que representa uma séria ameaça para usuários do Gmail, Yahoo! e Microsoft Outlook. Nesses ataques, o grupo iraniano de ciberespionagem tem utilizado uma ferramenta customizada de exfiltração de dados chamada HYPERSCRAPE, que está em desenvolvimento ativo desde 2020. O HYPERSCRAPE é executado nos dispositivos dos atacantes, permitindo que eles façam o download dos conteúdos de caixas de e-mail comprometidas com credenciais roubadas.
Detectar Ferramenta de Exfiltração de Dados HYPERSCRAPE
Com o número em constante crescimento de grupos APT patrocinados por estados, o aumento da sofisticação de seus conjuntos de ferramentas ofensivas, e a exploração de vetores de ataque diversos, os defensores cibernéticos se esforçam para defender proativamente contra ataques emergentes e identificar a tempo o comportamento adversário. A plataforma Detection as Code da SOC Prime organiza um conjunto de regras Sigma para ajudar profissionais de cibersegurança a identificar instantaneamente o comportamento malicioso do grupo iraniano APT35 que utiliza sua nova ferramenta HYPERSCRAPE projetada para roubar dados de usuários. Ambas as regras Sigma são criadas por nossos desenvolvedores atentos do Programa Threat Bounty, Zaw Min Htun (ZETA) and Onur Atali, e estão disponíveis com traduções para os formatos líderes do setor SIEM, EDR e XDR. Os profissionais de segurança cibernética podem obter acesso instantâneo a esses algoritmos de detecção contexto-enriquecidos diretamente no mecanismo de busca de ameaças cibernéticas da SOC Prime seguindo os links abaixo:
Possível detecção da ferramenta HYPERSCRAPE usada pelo APT iraniano
Detecção da Ferramenta de Extração de Dados HYPERSCRAPE do APT iraniano (via file_event)
A última regra Sigma fornecida por Onur Atali detecta a atividade de arquivos da ferramenta maliciosa HYPERSCRAPE. A detecção está alinhada com o framework MITRE ATT&CK® endereço da versão a tática de Execução juntamente com a Comunicação Interprocessos (T1559) utilizada como sua técnica principal.
Caçadores de Ameaças e Engenheiros de Detecção experientes e aspirantes são bem-vindos a explorar o poder da defesa cibernética colaborativa ao juntar-se ao Programa de Ameaças Bounty da SOC Prime, criar seu conteúdo de detecção, e monetizar suas habilidades profissionais.
Para aumentar as capacidades de resposta cibernética, os usuários registrados da SOC Prime podem acessar a coleção completa de regras Sigma para detecção de atividade suspeita atribuída ao grupo hacker iraniano APT35 também conhecido como Charming Kitten. Clique no botão Detectar & Investigar para acessar alertas dedicados de alta qualidade e consultas de busca de ameaças. Para informações contextuais perspicazes relacionadas a ataques de exfiltração de dados com a ferramenta iraniana chamada Hyperscrape, clique no botão Explorar Contexto de Ameaça , e desça até a lista de regras Sigma relevantes acompanhadas por metadados abrangentes — instantaneamente e sem registro.
Detectar & Investigar Explorar Contexto de Ameaça
O que é HYPERSCRAPE?
Pesquisadores de segurança cibernética do Grupo de Análise de Ameaças do Google têm acompanhado a atividade do infame grupo de ciberespionagem iraniano APT35 também conhecido como Charming Kitten, conhecido por roubar dados de usuários, implantar malware e aplicar múltiplos vetores de ataque em suas campanhas maliciosas. O APT iraniano tem constantemente evoluído seu conjunto de ferramentas adversárias, enriquecendo-o com ferramentas e técnicas sofisticadas. A nova ferramenta customizada de exfiltração de dados chamada HYPERSCRAPE é projetada para roubar conteúdos das contas de usuários do Gmail, Yahoo! e Microsoft Outlook.
HYPERSCRAPE é uma amostra de malware customizada escrita em .NET capaz de coletar dados sensíveis das caixas de correio das vítimas, uma vez que credenciais de e-mail válidas ou um cookie de sessão estejam em posse dos atacantes. Os adversários utilizam a ferramenta para ataques altamente direcionados navegando pela caixa de correio após sequestrar uma sessão de usuário autenticada. Notavelmente, HYPERSCRAPE automatiza em grande parte a rotina de despejo de dados enquanto garante que todos os e-mails comprometidos permaneçam marcados como não lidos e todos os alertas de segurança do Google sejam excluídos.
Junte-se à plataforma Detection as Code da SOC Prime para se manter atualizado sobre as últimas ameaças e combater ataques de qualquer escala e sofisticação, incluindo as campanhas adversárias lançadas por grupos APT patrocinados por estados que atualmente estão em ascensão. Procurando por oportunidades de autoaperfeiçoamento? Junte-se às fileiras da iniciativa colaborativa de Threat Bounty da SOC Prime para aprimorar suas habilidades de Engenheiro de Detecção e Caçador de Ameaças ao criar regras Sigma e YARA, compartilhá-las com a comunidade global de segurança cibernética e ganhar recompensas financeiras por sua contribuição.
