Der von der iranischen Regierung unterstützte Akteur, der als Charming Kitten bekannt ist, hat seinem Malware-Arsenal ein neues Tool hinzugefügt, mit dem er Benutzerdaten von Gmail-, Yahoo! und Microsoft Outlook-Konten abrufen kann.
Die von der Google Threat Analysis Group (TAG) als HYPERSCRAPE bezeichnete, in der Entwicklung befindliche Schadsoftware soll gegen weniger als zwei Dutzend Konten im Iran eingesetzt worden sein, wobei das älteste bekannte Beispiel auf das Jahr 2020 zurückgeht. Das Tool wurde erstmals im Dezember 2021 entdeckt.
Es wird vermutet, dass Charming Kitten, eine fortschrittliche, hartnäckige Bedrohung (Advanced Persistent Threat, APT), mit dem Korps der Islamischen Revolutionsgarde (IRGC) im Iran in Verbindung steht und in der Vergangenheit Spionage für die Interessen der Regierung betrieben hat.
Elemente der Gruppe, die als APT35, Cobalt Illusion, ITG18, Phosphorus, TA453 und Yellow Garuda bekannt sind, haben auch Ransomware-Angriffe durchgeführt, was darauf hindeutet, dass die Motive der Bedrohungsakteure sowohl spionage- als auch finanzorientiert sind.
„HYPERSCRAPE benötigt die Zugangsdaten des Opfers, um mit einer gültigen, authentifizierten Benutzersitzung, die der Angreifer gekapert hat, oder mit Zugangsdaten, die der Angreifer bereits erworben hat, ausgeführt zu werden“, so Google TAG-Forscher Ajax Bash.
Das in .NET geschriebene und auf dem Windows-Rechner des Angreifers ausgeführte Tool verfügt über Funktionen zum Herunterladen und Exfiltrieren des Inhalts des E-Mail-Postfachs des Opfers sowie zum Löschen von Sicherheits-E-Mails, die von Google gesendet wurden, um das Ziel vor verdächtigen Logins zu warnen.
Sollte eine Nachricht ursprünglich ungelesen sein, markiert das Tool sie als ungelesen, nachdem es die E-Mail geöffnet und als „.eml“-Datei heruntergeladen hat. Darüber hinaus sollen frühere Versionen von HYPERSCRAPE eine Option zum Anfordern von Daten von Google Takeout enthalten haben, eine Funktion, mit der Nutzer/innen ihre Daten in eine herunterladbare Archivdatei exportieren können.
Die Erkenntnisse folgen auf die kürzliche Entdeckung eines C++-basierten Telegram-„Grabber“-Tools durch PwC, das gegen inländische Zielpersonen eingesetzt wurde, um Zugang zu Telegram-Nachrichten und Kontakten von bestimmten Konten zu erhalten.
Zuvor wurde die Gruppe dabei erwischt, wie sie eine maßgeschneiderte Android-Überwachungssoftware namens LittleLooter einsetzte, ein funktionsreiches Implantat, das in der Lage ist, sensible Informationen zu sammeln, die auf den kompromittierten Geräten gespeichert sind, sowie Audio- und Videodaten und Anrufe aufzuzeichnen.
„Wie viele ihrer Werkzeuge ist HYPERSCRAPE nicht für seine technische Raffinesse bekannt, sondern eher für seine Effektivität beim Erreichen der Ziele von Charming Kitten“, sagte Bash. Die betroffenen Konten wurden inzwischen wieder abgesichert und die Opfer benachrichtigt.