В декабре 2021 года Google TAG обнаружила новый инструмент APT35 (Charming Kitten) под названием HYPERSCRAPE, используемый для кражи пользовательских данных из учетных записей Gmail, Yahoo! и Microsoft Outlook.
Злоумышленник запускает HYPERSCRAPE на своей машине, чтобы загрузить почтовые ящики жертв, используя ранее полученные учетные данные. По данным Google, инструмент был использован против менее чем двух десятков аккаунтов, расположенных в Иране. Самый старый известный образец относится к 2020 году, и инструмент все еще находится в стадии активной разработки.
HYPERSCRAPE требует учетные данные учетной записи жертвы, чтобы запустить ее, используя действительную, аутентифицированную сессию пользователя, которую злоумышленник перехватил, или учетные данные, которые злоумышленник уже приобрел. Она подменяет пользовательский агент, чтобы он выглядел как устаревший браузер, что позволяет использовать базовый HTML-вид в Gmail. После входа в систему программа меняет языковые настройки аккаунта на английский язык и просматривает содержимое почтового ящика, по отдельности загружая сообщения в виде файлов .eml и помечая их как непрочитанные. После завершения загрузки папки входящих сообщений программа возвращает язык к исходным настройкам и удаляет все письма безопасности из Google. Более ранние версии содержали возможность запроса данных из Google Takeout - функции, позволяющей пользователям экспортировать свои данные в загружаемый архивный файл.
Инструмент написан на языке .NET для ПК под управлением Windows и предназначен для запуска на машине злоумышленника. Google TAG протестировал HYPERSCRAPE в контролируемой среде с тестовым аккаунтом Gmail, хотя функциональность может отличаться для аккаунтов Yahoo! и Microsoft. HYPERSCRAPE не запускается, если не находится в каталоге с другими файловыми зависимостями.
Indicators of Compromise
IPv4
- 136.243.108.14
- 173.209.51.54
SHA256
- 03d0e7ad4c12273a42e4c95d854408b98b0cf5ecf5f8c5ce05b24729b6f4e369
- 1a831a79a932edd0398f46336712eff90ebb5164a189ef38c4dacc64ba84fe23
- 35a485972282b7e0e8e3a7a9cbf86ad93856378fd96cc8e230be5099c4b89208
- 5afc59cd2b39f988733eba427c8cf6e48bd2e9dc3d48a4db550655efe0dca798
- 6dc0600de00ba6574488472d5c48aa2a7b23a74ff1378d8aee6a93ea0ee7364f
- 767bd025c8e7d36f64dbd636ce0f29e873d1e3ca415d5ad49053a68918fe89f4
- 977f0053690684eb509da27d5eec2a560311c084a4a133191ef387e110e8b85f
- ac8e59e8abeacf0885b451833726be3e8e2d9c88d21f27b16ebe00f00c1409e6
- cd2ba296828660ecd07a36e8931b851dda0802069ed926b3161745aae9aa6daa