谷歌发现伊朗黑客窃取Gmail、Yahoo、Outlook等电子邮件帐户的新工具。从Gmail、Yahoo和MicrosoftOutlook帐户检索用户数据的工具。谷歌将该工具命名为HYPERSCRAPE,该工具于2021年12月首次被发现。据说伊朗已经使用开发中的软件入侵了超过20个帐户,已知最早的样本可追溯到2020年。CharmingKitten是一种高度活跃的高级持久性威胁(APT)被认为与伊朗伊斯兰革命卫队(IRGC)有关,并参与了符合政府利益的间谍活动。它还被追踪为APT35、CobaltIllusion、ITG18、Phosphorus、TA453和YellowGaruda,其中的成员也进行勒索软件攻击,这表明威胁行为者的动机包括间谍活动和经济原因。谷歌TAG研究员AjaxBash表示:“HYPERSCRAPE需要受害者的账户凭证,并通过被劫持的有效、经过身份验证的用户会话或攻击者已经获得的凭证来运行。该工具是用.NET编写的,可以在Windows机器上运行。它具有能够下载和窃取受害者电子邮件收件箱的内容,此外,它还可以删除Google发送的安全电子邮件。如果电子邮件最初未读,该工具将打开并下载电子邮件的“.eml”文件,将其标记为之后未读。此外,据说早期版本的HYPERSCRAPE包含一个从GoogleTakeout请求数据的选项,该功能允许用户将他们的数据导出到可下载的存档文件中。在此之前,PwC最近发现了一个基于C++的Telegram“抓取”工具,用于获取特定账户的Telegram消息和联系人,CharmingKitten此前还部署了一款定制的Android监控软件LittleLooter,这是一款功能丰富的im收集和存储来自被入侵设备的敏感信息,并记录音频、视频和通话的工厂。“与他们的许多工具一样,HYPERSCRAPE技术并不复杂,但在实现其目标方面非常有效,”研究人员说。.他说,受影响的账户已被重新保护,并通知了受害者。
