Google разкри хватки на ирански хакери
Подкрепяният от иранското държавно управление състезател, прочут като Charming Kitten, е добавил нов инструмент към своя боеприпас от злотворен програмен продукт, който му разрешава да извлича потребителски данни от сметки в Gmail, Yahoo! и Microsoft Outlook.
Гугъл Threat Analysis Group (TAG) го нарекоха HYPERSCRAPE. Оказва се, че този „ злоумишлен “ програмен продукт, който е в развой на интензивно създаване, е бил употребен против близо 25 акаунта в Иран, като най-старата известна офанзива датира от 2020 година. Инструментът е регистриран за първи път през декември 2021 година.
Смята се, че групата Charming Kitten - една мощно развита и устойчива опасност (APT) в киберпространството, съгласно класификацията на Google Threat Analysis Group, е обвързвана с Корпуса на гвардейците на ислямската гражданска война (IRGC) на Иран и е основана за осъществяване на шпионаж за задачите на държавното управление в Техеран.
Проследени са групи като APT35, Cobalt Illusion, ITG18, Phosphorus, TA453 и Yellow Garuda, които са част от Charming Kitten и също правят офанзиви за откуп в киберпространството. Ето за какво се допуска, че техните цели не са единствено шпионаж, само че и са чисто финансови.
Анализаторът от Гугъл TAG Аякс Баш твърди, че за задачите на HYPERSCRAPE идентификационните данни на акаунта на жертвата би трябвало да се употребяват в границите на годна, удостоверена потребителска сесия, която хакерът е „ отвлякъл “. Втората алтернатива да се случи " хакването " е посредством идентификационни данни, които зложелателят към този момент е придобил.
Инструментът на хакерите е планиран да работи на Windows и е с функционалности за евакуиране и ексфилтриране на наличието от входящите имейли на жертвата. Най-неприятното е, че този хакерски инструмент изтрива имейлите за сигурност, които Гугъл изпраща, с цел да предизвести жертвата, че в мейла й са регистрирани подозрителни влизания.
Ако обещано известие в началото е непрочетено, инструментът го маркира още веднъж като непрочетено даже и в случай че го е отворил и изтеглил като файл ".eml ". Нещо повече.
По-ранните версии на HYPERSCRAPE са присъединили алтернатива за условие на данни от Гугъл Takeout, функционалност, която разрешава на потребителите да експортват своите данни в архивен файл, който е приспособен за евакуиране. Експертът засяга неотдавнашното разкриване на основан на Telegram инструмент, посредством който се получава достъп до известия и контакти в негови съответни сметки.
Преди това иранската група беше видяна да внедрява персонализиран Android програмен продукт за наблюдаване, наименуван LittleLooter, който съставлява имплант, богат с разнообразни функционалности и кадърен да събира сензитивна информация, съхранявана в „ хакнатите “ устройства. Този инструмент може да записва аудио и видеоразговори. Аякс Баш се пробва да внесе утешение – той е безапелационен, че „ хватките “ на HYPERSCRAPE не се отличават с техническата си трудност, а по-скоро с успеваемостта си при постигането на задачите на Charming Kitten. Той обръща внимание, че засегнатите сметки още веднъж са предпазени, а жертвите са известени да бъдат по-внимателни в бъдеще.
Гугъл Threat Analysis Group (TAG) го нарекоха HYPERSCRAPE. Оказва се, че този „ злоумишлен “ програмен продукт, който е в развой на интензивно създаване, е бил употребен против близо 25 акаунта в Иран, като най-старата известна офанзива датира от 2020 година. Инструментът е регистриран за първи път през декември 2021 година.
Смята се, че групата Charming Kitten - една мощно развита и устойчива опасност (APT) в киберпространството, съгласно класификацията на Google Threat Analysis Group, е обвързвана с Корпуса на гвардейците на ислямската гражданска война (IRGC) на Иран и е основана за осъществяване на шпионаж за задачите на държавното управление в Техеран.
Проследени са групи като APT35, Cobalt Illusion, ITG18, Phosphorus, TA453 и Yellow Garuda, които са част от Charming Kitten и също правят офанзиви за откуп в киберпространството. Ето за какво се допуска, че техните цели не са единствено шпионаж, само че и са чисто финансови.
Анализаторът от Гугъл TAG Аякс Баш твърди, че за задачите на HYPERSCRAPE идентификационните данни на акаунта на жертвата би трябвало да се употребяват в границите на годна, удостоверена потребителска сесия, която хакерът е „ отвлякъл “. Втората алтернатива да се случи " хакването " е посредством идентификационни данни, които зложелателят към този момент е придобил.
Инструментът на хакерите е планиран да работи на Windows и е с функционалности за евакуиране и ексфилтриране на наличието от входящите имейли на жертвата. Най-неприятното е, че този хакерски инструмент изтрива имейлите за сигурност, които Гугъл изпраща, с цел да предизвести жертвата, че в мейла й са регистрирани подозрителни влизания.
Ако обещано известие в началото е непрочетено, инструментът го маркира още веднъж като непрочетено даже и в случай че го е отворил и изтеглил като файл ".eml ". Нещо повече.
По-ранните версии на HYPERSCRAPE са присъединили алтернатива за условие на данни от Гугъл Takeout, функционалност, която разрешава на потребителите да експортват своите данни в архивен файл, който е приспособен за евакуиране. Експертът засяга неотдавнашното разкриване на основан на Telegram инструмент, посредством който се получава достъп до известия и контакти в негови съответни сметки.
Преди това иранската група беше видяна да внедрява персонализиран Android програмен продукт за наблюдаване, наименуван LittleLooter, който съставлява имплант, богат с разнообразни функционалности и кадърен да събира сензитивна информация, съхранявана в „ хакнатите “ устройства. Този инструмент може да записва аудио и видеоразговори. Аякс Баш се пробва да внесе утешение – той е безапелационен, че „ хватките “ на HYPERSCRAPE не се отличават с техническата си трудност, а по-скоро с успеваемостта си при постигането на задачите на Charming Kitten. Той обръща внимание, че засегнатите сметки още веднъж са предпазени, а жертвите са известени да бъдат по-внимателни в бъдеще.
Източник: banker.bg
КОМЕНТАРИ