Charming Kitten(別名APT35、Magic Hound)は、イランを拠点とする国家支援を受けた脅威アクターであり、すでに約10年間活動しています。この脅威アクターは、米国および中東の政府関係者、軍関係者、学者、ジャーナリストを標的としており、サイバースパイ活動を目的としています。
APT35 は、現在最も洗練された APT 脅威アクターではないかもしれませんが、そのツールは堅牢かつ効果的です。
Google の脅威分析グループ (TAG) は最近、Gmail、Yahoo!、Microsoft Outlook などのメールボックスからデータを盗むことができる Hyperscrape という新しいツールを発見しました。
Hyperscrape とは何ですか? どのように機能しますか?
Hyperscrapeは、Windowsシステム向けに.NETで作成されたツールです。攻撃者のコンピュータ上で実行され、有効なメール認証情報または有効なセッションCookieを入手すると、メールボックスからメールを密かに抽出することができます。
参照: モバイルデバイスのセキュリティポリシー (TechRepublic Premium)
特定のファイル依存関係を持つフォルダから実行されると、ツールは特定のコマンド&コントロールサーバーへの接続をチェックします。接続が確立されていない場合は終了します。問題がなければ、ソフトウェアはパラメータを指定するための初期フォームを開きます(図A)。
図A
パラメータはコマンドラインでも指定できます。指定すると、データは確認のためにC2サーバに送信されます。その後、新しいフォームが表示されるので、攻撃者はコマンドライン経由で提供していない限り、有効なCookieファイルを入力できます。
その後、Hyperscrapeは埋め込みウェブブラウザを起動し、そのブラウザが使用するローカルキャッシュにCookieを保存します。このブラウザは、古いブラウザのように表示されます。その後、ブラウザはGmailにアクセスします。
この場合の Gmail の動作は、エラー メッセージを表示し、電子メール サービスの「基本 HTML 表示」機能を使用する可能性を残すというものです (図 B )。
図B
セッション クッキーがメールボックスへのアクセスに失敗した場合、攻撃者はブラウザに有効な資格情報を手動で入力できるようになります。
メールボックスに正常に接続されると、ソフトウェアは Gmail の言語をチェックし、そうでない場合は英語に設定し、盗難操作が完了したら復元できるように現在の言語パラメータを保存します。
次に、ツールは受信トレイ内のすべての利用可能なタブを自動的にチェックし、見つかったすべての電子メールをダウンロードして、必要に応じて未読状態に再度設定します。
すべてのメールはローカルのダウンロードフォルダに保存され、ファイル名はメールの件名に対応します。ログファイルも生成されます(図C)。
図C
すべての電子メールがダンプされると、ソフトウェアはステータスとシステム情報を C2 サーバーに送信し、ツールのアクティビティによって生成された可能性のある Google からのセキュリティ メールをすべて削除します。
Google の研究者らは、このツールの以前のバージョンも発見した。このバージョンでは、攻撃者が Google TakeOut からデータをダウンロードできる。Google TakeOut は、Gmail、Google ドキュメント、Google カレンダーなど、さまざまな Google サービスからデータをダウンロードするために顧客が作成した Google サービスである。
Takeoutの場合、ツールは自身の新しいコピーを生成し、パイプ通信チャネルを初期化してCookieとアカウント名をサービスにリプレイし、正規のTakeoutリンクへ移動してデータを要求し、最終的にダウンロードすることを目的としています。Hyperscrapeツールの後のバージョンでこの機能がなぜ消えたのかは、研究者にも不明です。
Googleの研究者は、テスト用のGmailアカウントを用いて、管理された環境でこのツールを分析しました。その結果、Yahoo!やMicrosoftアカウントでは機能が異なる可能性があることが示されました。
PwCは2022年7月、Hyperscrapeツールに加えて、脅威アクターが使用し、おそらく開発した別のツールについても報告しました。このツールは、標的のTelegramアカウントの盗難を可能にしました。興味深いことに、この2つ目のツールは動作するために被害者のメールボックスへのアクセスを必要としました。そのため、Charming KittenはまずHyperscrapeを操作し、その後、メールデータをTelegramアカウントダンプなどのより侵害的なツールに利用したと考えられます。
この脅威からどのように身を守るのでしょうか?
Hyperscrape ツールの使用は、攻撃者がすでに有効な資格情報または対象のメールボックスの有効なセッション クッキーを所有している場合にのみ可能です。
ユーザーは、メールボックスを使用していないときは常に完全に切断する必要があります。これにより、盗まれた可能性のあるセッションCookieの有効期間が大幅に短縮されます。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
ユーザーは、メールボックスにアクセスする際に多要素認証(MFA)を使用する必要があります。2つ目の認証チャネルは、特に被害者のコンピュータが侵害されている場合、攻撃者がアクセスできないものにする必要があります。
Charming Kitten が被害者から有効な電子メール認証情報やセッション Cookie を取得する方法は不明ですが、マルウェアを使用する以外の方法でセッション Cookie を収集することは難しいようです。そのため、ユーザーは常にセキュリティ ソフトウェアを最新の状態にして、コンピューターにパッチを適用しておく必要があります。
最後に、ユーザーは、一般的な脆弱性による侵害を回避するために、オペレーティング システムとすべてのソフトウェアを常に最新の状態に保ち、パッチを適用する必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
