国家资助的伊朗黑客组织 Charming Kitten 一直在使用一种新工具从目标 Gmail、雅虎和 Microsoft Outlook 帐户下载电子邮件。
该实用程序的名称是 Hyperscraper,与许多威胁参与者的工具和操作一样,它远非复杂。
但其缺乏技术复杂性与有效性相平衡,允许黑客窃取受害者的收件箱而不会留下许多入侵迹象。
简单而高效的电子邮件抓取工具
在今天的一份技术报告中,来自谷歌威胁分析小组 (TAG) 的研究人员分享了有关 Hyperscraper 功能的详细信息,并表示它正在积极开发中。
Google TAG 将该工具归功于 Charming Kitten,这是一个伊朗支持的组织,也被称为 APT35 和 Phosphorus,并表示他们发现的最早样本可以追溯到 2020 年。
研究人员在 2021 年 12 月发现了 Hyperscraper,并使用测试 Gmail 帐户对其进行了分析。它不是黑客工具,而是一种帮助攻击者在登录受害者的电子邮件帐户后窃取电子邮件数据并将其存储在计算机上的工具。
获取目标收件箱的凭据(用户名和密码、身份验证 cookie)是在攻击的前一步完成的,通常是通过窃取它们。
Hyperscraper 有一个嵌入式浏览器,并欺骗用户代理来模仿一个过时的网络浏览器,它提供了 Gmail 帐户内容的基本 HTML 视图。
“登录后,该工具会将帐户的语言设置更改为英语并遍历邮箱的内容,将邮件单独下载为 .eml 文件并将其标记为未读” – Google TAG
渗透完成后,Hyperscraper 将语言更改为原始设置并删除来自 Google 的安全警报,以减少占用空间。
Google TAG 研究人员表示,Charming Kitten 实用程序的旧变体可能会从Google Takeout请求数据,该服务允许用户从他们的 Google 帐户导出数据以备份或与第三方服务一起使用。
运行时,Hyperscraper 与命令和控制 (C2) 服务器通信,等待确认以启动渗透过程。
操作员可以使用命令行参数或通过最小的用户界面使用必要的参数(操作模式、有效 cookie 文件的路径、标识符字符串)配置工具。
Charming Kitten 的 Hyperscraper 配置选项
来源:Google TAG
如果没有通过命令行提供 cookie 文件的路径,操作员可以将其拖放到新表单中
Charming Kitten 的 Hyperscraper 中的 Cookie 拖放表单
来源:Google TAG
一旦 cookie 被成功解析并添加到 Web 浏览器的本地缓存中,Hyperscraper 就会创建一个“下载”文件夹,并在其中转储目标收件箱的内容。
研究人员指出,如果 cookie 不提供对帐户的访问权限,则操作员可以手动登录。
Hyperscraper 提供登录页面
来源:Google TAG
Hypercraper 自动浏览电子邮件帐户的所有部分,打开消息并以 .EML 格式下载它们,并将它们保持原样。
如果一条消息最初被标记为未读,那么 Charming Kitten 的工具会在复制它后使其保持相同的状态。
Hyperscraper 将所有电子邮件本地保存在操作员的机器上,以及显示被盗消息计数的日志,除了状态和系统信息之外,不会向 C2 服务器发送其他数据。
Hyperscrapers 发送到 C2
源的数据:Google TAG
在任务结束时,Hyperscraper 通过删除来自谷歌的任何电子邮件来掩盖其踪迹,这些电子邮件可能会提醒受害者威胁者的活动(安全通知、登录尝试、对应用程序的访问、数据存档的可用性)。
谷歌观察到 Hyperscraper 被用于少数账户,“不到两打”,所有账户都属于伊朗用户。
Charming Kitten 使用 Hyperscraper 的目标已通过有关政府支持的攻击的警告得到通知。
鼓励收到此类警告的用户通过注册 Google 的高级保护计划 ( AAP ) 和激活增强安全浏览功能来加强对更复杂攻击者的防御,这两者都为现有保护机制提供了额外的安全层。Google TAG 今天关于 Hyperscraper 的报告分享了危害指标,例如两个 C2 服务器和发现的工具二进制文件的哈希值。