İranlı APR grubu Charming Kitten’ın kötü amaçlı yazılım cephaneliğine son zamanlarda yeni bir kötü amaçlı aracın eklenmesiyle bir ekleme yapıldı. Bu yeni eklenen araç, tehdit aktörlerine aşağıdaki hesaplardan kullanıcı verilerini alma yetkisi verir:-
- Gmail
- Yahoo!
- Microsoft Outlook
Araç, Google’ın Tehdit Analizi Grubu (TAG) tarafından keşfedildi ve adı Hyperscrape. Saldırgan, sahte bir oturum başlatarak veya kimlik bilgilerini çalarak, kimlik doğrulama sürecini başlatmak için meşru bir kullanıcı gibi davranacaktır.
Başarılı yürütmeden sonra, kazıyıcıyı çalıştırarak hedeflenen kurbanın tüm gelen kutusunu indirir.
büyüleyici kedi yavrusu
Devlet destekli bir kuruluş olan Charming Kitten, düzenli olarak yüksek riskli kullanıcıları hedefler. Üretken bir APT olmasının yanı sıra Charming Kitten’ın İran Devrim Muhafızları ile bağlantılı olduğu da düşünülüyor.
Yaklaşık iki düzine İranlı hesap hedef alındı. Araç şu anda aktif olarak geliştiriliyor ve en eski örneği 2020’ye kadar uzanıyor. Siber güvenlik analistleri kurbanlara hesaplarının ele geçirildiğini ve yeniden güvenlik altına alınması gerektiğini bildirdi.
Tehdit aktörünün birincil amacı casusluk ve finansal kazançtır ve bu, aşağıdaki grupların izlenmesi ve analiz edilmesinden sonra netleştirilmiştir:-
- APT35
- kobalt yanılsaması
- ITG18
- Fosfor
- TA453
- Sarı Garuda
hiperscrape
Bu kötü amaçlı yazılım, Hyperscrape, .NET’te yazılmıştır ve öncelikle Windows tabanlı makinelerde çalışır. Bu aracın özellikleri arasında, bir e-posta gelen kutusundan bilgi alma ve içeriğini sızdırma yeteneği vardır.
Google tarafından hedefe gönderilen güvenlik e-postalarını silerek onları şüpheli bir giriş denemesi konusunda uyardığı durumlar bile vardır.
Araç açılıp e-postayı “.eml” dosyası olarak indirir indirmez, mesajlar okunmadı olarak işaretlenir. Hyperscrape önceden programın önceki sürümlerinde bir özellik olarak Google Takeout’tan veri talep etme yeteneğine sahipti.
Google Paket Servisi’nin sunduğu özellikler arasında, verilerinizi indirilebilecek bir arşiv dosyasına dışa aktarma yeteneği de dahildir.
Bu araç, bir C2’ye bir HTTP GET isteği başlatır ve yanıt gövdesinde “OK” yanıt gövdesini bulamazsa sonlandırılır.
Test edilen sürümde karıştırılmamış olan C2’yi depolamak için sabit kodlanmış bir dize kullanıldı. Daha sonraki sürümlerde kullanılan Base64 adlı bir gizleme yöntemi de vardı.
Sistemde, komut satırı aracılığıyla sağlanmadıysa, operatörün çerez dosyası yolunu yeni bir alana sürükleyip bırakmasına olanak tanıyan yeni bir form görünecektir.
Hiperscrape’in Eylemleri
Bulunan her e-posta için aşağıdaki işlemleri gerçekleştirir:-
- E-postaya tıklar ve açar
- İndirir
- E-posta orijinal olarak okunmamışsa, okunmadı olarak işaretleyin
- Gelen kutusuna geri döner
E-postaların “.eml” uzantısıyla kaydedildiği İndirilenler adlı bir klasör var. İndirilen e-postaların sayıları bir günlük dosyasına kaydedilir.
Grubun daha önce Android için LittleLooter adlı özel bir gözetim programından yararlandığı bir olay olmuştu. Güvenliği ihlal edilmiş cihazlardan hassas verileri toplayabilen zengin özelliklere sahip bir implant.
Ancak şimdilik, TAG uzmanları, güvenliği ihlal edilen tüm hesap sahiplerine hesaplarını güvence altına almak için bu olay hakkında bilgi verildiğini doğruladı.
Güvenli Azure AD Koşullu Erişimi – Ücretsiz Teknik Belgeyi İndirin