Devlet destekli İran korsan grubu Charming Kitten, hedeflenen Gmail, Yahoo ve Microsoft Outlook hesaplarından e-posta iletilerini indirmek için yeni bir araç kullanıyor.
Yardımcı programın adı Hyperscraper’dır ve birçok tehdit aktörünün araçları ve operasyonları gibi, karmaşık olmaktan uzaktır.
Ancak, teknik karmaşıklık eksikliği, etkinlik ile dengelenir ve bilgisayar korsanlarının, izinsiz girişe dair pek çok ipucu bırakmadan bir kurbanın gelen kutusunu çalmasına izin verir.
Basit ama etkili e-posta kazıyıcı
Bugün yayınlanan teknik bir raporda, Google’ın Tehdit Analizi Grubu’ndan (TAG) araştırmacılar, Hyperscraper’ın işlevselliğiyle ilgili ayrıntıları paylaşıyor ve aktif olarak geliştirilme aşamasında olduğunu söylüyor.
Google TAG, aracı APT35 ve Phosphorus olarak da bilinen İran destekli bir grup olan Charming Kitten’a atfediyor ve buldukları en eski örneğin 2020’den kalma olduğunu söylüyor.
Araştırmacılar, Aralık 2021’de Hyperscraper’ı buldu ve bir test Gmail hesabı kullanarak analiz etti. Bu bir bilgisayar korsanlığı aracı değil, saldırganın e-posta verilerini çalmasına ve kurbanın e-posta hesabına giriş yaptıktan sonra makinesinde saklamasına yardımcı olan bir araçtır.
Hedef gelen kutusu için kimlik bilgilerinin (kullanıcı adı ve parola, kimlik doğrulama çerezleri) alınması, saldırının önceki bir adımında, genellikle onları çalarak yapılır.
Hyperscraper’ın yerleşik bir tarayıcısı vardır ve kullanıcı aracısını, Gmail hesabının içeriğinin temel bir HTML görünümünü sağlayan eski bir web tarayıcısını taklit etmesi için yanıltır.
“Oturum açıldıktan sonra araç, hesabın dil ayarlarını İngilizce olarak değiştirir ve posta kutusunun içeriğini yineler, mesajları tek tek .eml dosyaları olarak indirir ve okunmamış olarak işaretler” – Google TAG
Sızdırma tamamlandığında, Hyperscraper dili orijinal ayara değiştirir ve minimum yer kaplaması için Google’dan gelen güvenlik uyarılarını siler.
Google TAG araştırmacıları, Charming Kitten yardımcı programının eski varyantlarının Google Paket Servisikullanıcıların verileri yedeklemek veya üçüncü taraf bir hizmetle kullanmak için Google hesaplarından dışa aktarmasına olanak tanıyan bir hizmet.
Hyperscraper çalışırken, sızma işlemini başlatmak için onay bekleyen bir komut ve kontrol (C2) sunucusuyla iletişim kurar.
Operatör, komut satırı bağımsız değişkenlerini kullanarak veya minimal bir kullanıcı arabirimi aracılığıyla aracı gerekli parametrelerle (çalışma modu, geçerli bir tanımlama bilgisi dosyasına giden yol, tanımlayıcı dize) yapılandırabilir.
Tanımlama bilgisi dosyasının yolu komut satırı üzerinden sağlanmadıysa, operatör dosyayı sürükleyip yeni bir forma bırakabilir.
Tanımlama bilgisi başarıyla çözümlendikten ve web tarayıcısının yerel önbelleğine eklendikten sonra, Hyperscraper, hedef gelen kutusunun içeriğini attığı bir “İndirme” klasörü oluşturur.
Araştırmacılar, çerezin hesaba erişim sağlamaması durumunda operatörün manuel olarak giriş yapabileceğini belirtiyor.
Hypercraper, bir e-posta hesabının tüm bölümlerinden geçmeyi otomatik hale getirir, mesajları açar ve bunları .EML formatında indirir ve orijinal olarak bulunduğu gibi bırakır.
Bir mesaj başlangıçta okunmadı olarak işaretlendiyse, Charming Kitten’ın aracı onu kopyaladıktan sonra aynı durumda bırakır.
Hyperscraper, tüm e-postaları yerel olarak, operatörün makinesine, çalınan mesajların sayısını gösteren günlüklerle birlikte kaydeder ve C2 sunucusuna durum ve sistem bilgileri dışında başka veriler göndermez.
Görevin sonunda, Hyperscraper, Google’dan gelen ve kurbanı tehdit aktörünün etkinliği konusunda uyarabilecek tüm e-postaları silerek izini sürer (güvenlik bildirimleri, oturum açma girişimleri, uygulamalara erişim, veri arşivinin kullanılabilirliği).
Google, Hyperscraper’ın tümü İran’daki kullanıcılara ait olan “iki düzineden az” hesapta kullanıldığını gözlemledi.
Charming Kitten’ın Hyperscraper’ın kullanıldığı hedefler, devlet destekli saldırılarla ilgili uyarılarla bilgilendirildi.
Böyle bir uyarı alan kullanıcılar, Google’ın Gelişmiş Koruma Programına kaydolarak daha karmaşık saldırganlara karşı savunmalarını güçlendirmeye teşvik edilir (AAP) ve etkinleştirerek Gelişmiş Güvenli Tarama özelliği, her ikisi de mevcut koruma mekanizmalarına ek bir güvenlik katmanı sağladı.
Google TAG’nin Hyperscraper hakkındaki bugün raporu, iki C2 sunucusu ve bulunan araç ikili dosyaları için karmalar gibi tehlike göstergelerini paylaşıyor.