Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό TAMECAT Backdoor

TAMECAT Backdoor

Μέχρι το Mezo το Κακόβουλο λογισμικό, Προηγμένη επίμονη απειλή (APT), Backdoors
Μετάφραση σε:

Ένα κύμα κατασκοπευτικής δραστηριότητας που συνδέεται με την ιρανική κρατική ομάδα APT42 έχει εμφανιστεί, με τους αναλυτές να παρατηρούν μια στοχευμένη προσπάθεια εναντίον ατόμων και οργανισμών που συνδέονται με τα συμφέροντα του Σώματος των Φρουρών της Ισλαμικής Επανάστασης (IRGC). Η επιχείρηση, η οποία εντοπίστηκε στις αρχές Σεπτεμβρίου 2025 και της δόθηκε η κωδική ονομασία SpearSpecter, καταδεικνύει έναν εξελιγμένο συνδυασμό κοινωνικής μηχανικής και προσαρμοσμένης ανάπτυξης κακόβουλου λογισμικού με στόχο τη συλλογή πληροφοριών.

Μια διευρυμένη στρατηγική στόχευσης

Οι φορείς πίσω από αυτήν την εκστρατεία έχουν στοχεύσει άμεσα σε ανώτερους κυβερνητικούς και αμυντικούς αξιωματούχους, χρησιμοποιώντας εξαιρετικά εξατομικευμένες προσεγγίσεις για να τους προσελκύσουν σε εμπλοκή. Οι προσκλήσεις σε εξέχοντα συνέδρια και οι προσφορές για συναντήσεις με επιρροή αποτελούν συνηθισμένα δολώματα. Ένα καθοριστικό χαρακτηριστικό αυτής της δραστηριότητας είναι η διεύρυνση της ομάδας των θυμάτων ώστε να συμπεριλάβει μέλη της οικογένειας, η αύξηση της πίεσης και η επέκταση της επιφάνειας επίθεσης γύρω από τους κύριους στόχους.

Προέλευση και Εξέλιξη του APT42

Η APT42 τέθηκε σε δημόσια αναφορά στα τέλη του 2022, λίγο αφότου οι ερευνητές τη συνέδεσαν με πολλαπλές ομάδες που σχετίζονται με το IRGC. Σε αυτές περιλαμβάνονται γνωστές ομάδες όπως οι APT35, Charming Kitten, ITG18, Mint Sandstorm και TA453, μεταξύ άλλων. Το επιχειρησιακό σήμα κατατεθέν της ομάδας είναι η ικανότητά της να διατηρεί μακροχρόνιες επιχειρήσεις κοινωνικής μηχανικής, που μερικές φορές διαρκούν εβδομάδες, ενώ παράλληλα υποδύεται αξιόπιστες επαφές για να αποκτήσει αξιοπιστία πριν παραδώσει επιβλαβή ωφέλιμα φορτία ή κακόβουλους συνδέσμους.

Νωρίτερα τον Ιούνιο του 2025, ειδικοί αποκάλυψαν μια άλλη σημαντική εκστρατεία που στόχευε Ισραηλινούς επαγγελματίες στον κυβερνοχώρο και την τεχνολογία. Σε αυτήν την περίπτωση, οι επιτιθέμενοι παρίσταναν στελέχη και ερευνητές τόσο στις επικοινωνίες μέσω email όσο και στο WhatsApp. Αν και σχετίζονται, η δραστηριότητα του Ιουνίου και το SpearSpecter προέρχονται από δύο διαφορετικές εσωτερικές ομάδες του APT42 - η ομάδα Β επικεντρώνεται στην κλοπή διαπιστευτηρίων, ενώ η ομάδα D επικεντρώνεται σε εισβολές που προκαλούνται από κακόβουλο λογισμικό.

Εξατομικευμένες τακτικές εξαπάτησης

Στον πυρήνα του SpearSpecter βρίσκεται μια ευέλικτη μεθοδολογία επίθεσης που διαμορφώνεται γύρω από την αξία του στόχου και τους στόχους των χειριστών. Ορισμένα θύματα ανακατευθύνονται σε πλαστές πύλες συσκέψεων που έχουν σχεδιαστεί για να συλλέγουν διαπιστευτήρια. Άλλα αντιμετωπίζουν μια πιο παρεμβατική προσέγγιση που προσφέρει ένα επίμονο backdoor PowerShell που ονομάζεται TAMECAT, ένα εργαλείο που χρησιμοποιείται επανειλημμένα από την ομάδα τα τελευταία χρόνια.

Οι συνηθισμένες αλυσίδες επιθέσεων ξεκινούν με την πλαστοπροσωπία στο WhatsApp, όπου ο κακόβουλος σύνδεσμος προωθεί έναν κακόβουλο σύνδεσμο που ισχυρίζεται ότι είναι απαραίτητο έγγραφο για μια επερχόμενη αλληλεπίδραση. Κάνοντας κλικ σε αυτόν ενεργοποιείται μια ακολουθία ανακατεύθυνσης που έχει ως αποτέλεσμα την παράδοση ενός αρχείου LNK που φιλοξενείται από το WebDAV, μεταμφιεσμένου σε PDF, αξιοποιώντας τον χειριστή πρωτοκόλλου search-ms: για να εξαπατήσει το θύμα.

Η πίσω πόρτα TAMECAT: Αρθρωτή, μόνιμη και προσαρμοστική

Μόλις εκτελεστεί, το αρχείο LNK συνδέεται με έναν υποτομέα Cloudflare Workers που λειτουργεί από εισβολέα για να ανακτήσει ένα δέσμη ενεργειών που ενεργοποιεί το TAMECAT. Αυτό το πλαίσιο που βασίζεται σε PowerShell χρησιμοποιεί αρθρωτά στοιχεία για την υποστήριξη της εξαγωγής, της επιτήρησης και της απομακρυσμένης διαχείρισης. Τα κανάλια Command-and-Control (C2) που διαθέτει εκτείνονται σε HTTPS, Discord και Telegram, εξασφαλίζοντας ανθεκτικότητα ακόμη και όταν μια δίοδος είναι απενεργοποιημένη.

Για λειτουργίες που βασίζονται σε Telegram, το TAMECAT ανακτά και εκτελεί κώδικα PowerShell που μεταδίδεται από ένα bot υπό τον έλεγχο των εισβολέων. Το C2 που βασίζεται σε Discord χρησιμοποιεί ένα webhook που στέλνει λεπτομέρειες συστήματος και λαμβάνει εντολές από ένα προκαθορισμένο κανάλι. Η ανάλυση υποδηλώνει ότι οι εντολές μπορούν να προσαρμοστούν ανά μολυσμένο κεντρικό υπολογιστή, επιτρέποντας τη συντονισμένη δραστηριότητα εναντίον πολλαπλών στόχων μέσω μιας κοινόχρηστης υποδομής.

Δυνατότητες που υποστηρίζουν την βαθιά κατασκοπεία

Το TAMECAT προσφέρει μια ευρεία γκάμα λειτουργιών συλλογής πληροφοριών. Μεταξύ αυτών:

  • Συλλογή και εξαγωγή δεδομένων
  • Συλλογή αρχείων με συγκεκριμένες επεκτάσεις
  • Εξαγωγή δεδομένων από γραμματοκιβώτια Google Chrome, Microsoft Edge και Outlook
  • Συνεχής λήψη στιγμιότυπων οθόνης κάθε 15 δευτερόλεπτα
  • Απομάκρυνση συλλεγμένων πληροφοριών μέσω HTTPS ή FTP
  • Μέτρα μυστικότητας και αποφυγής
  • Κρυπτογράφηση τηλεμετρίας και ωφέλιμων φορτίων
  • Αποκρύπτοντας τον πηγαίο κώδικα του PowerShell
  • Χρήση δυαδικών αρχείων που βασίζονται σε δεδομένα που δεν είναι συμβατά με το περιβάλλον για τον συνδυασμό κακόβουλων ενεργειών με την κανονική συμπεριφορά του συστήματος
  • Εκτέλεση κυρίως στη μνήμη για την ελαχιστοποίηση των τεχνουργημάτων του δίσκου

Μια Ανθεκτική και Καμουφλαρισμένη Υποδομή

Η υποδομή που υποστηρίζει το SpearSpecter συνδυάζει συστήματα που ελέγχονται από εισβολείς με νόμιμες υπηρεσίες cloud για την απόκρυψη κακόβουλης δραστηριότητας. Αυτή η υβριδική προσέγγιση επιτρέπει την απρόσκοπτη αρχική παραβίαση, ανθεκτικές επικοινωνίες C2 και μυστική εξαγωγή δεδομένων. Ο λειτουργικός σχεδιασμός αντικατοπτρίζει την πρόθεση ενός απειλητικού παράγοντα για μακροπρόθεσμη διείσδυση σε δίκτυα υψηλής αξίας, διατηρώντας παράλληλα ελάχιστη έκθεση.

Σύναψη

Η εκστρατεία SpearSpecter υπογραμμίζει τη συνεχή βελτίωση των κατασκοπευτικών επιχειρήσεων της APT42, συνδυάζοντας μακροπρόθεσμη κοινωνική μηχανική, προσαρμοστικό κακόβουλο λογισμικό και ισχυρή υποδομή για την προώθηση των στόχων των πληροφοριών. Η επίμονη και άκρως στοχευμένη φύση της θέτει τους αξιωματούχους, το προσωπικό άμυνας και τα συνδεδεμένα άτομα σε συνεχή κίνδυνο, ενισχύοντας την ανάγκη για αυξημένη επαγρύπνηση και ισχυρή υγιεινή ασφαλείας σε όλα τα κανάλια επικοινωνίας.


Τάσεις

Ηλεκτρονική Προσωπική

Κακόβουλο λογισμικό Mac, Adware, Πιθανώς ανεπιθύμητα προγράμματα
Κατά τη διάρκεια μιας ολοκληρωμένης ανάλυσης εφαρμογών με πιθανή παρεμβατικότητα και αναξιοπιστία, οι ερευνητές έπεσαν πάνω στην εφαρμογή ElectronicPersonal. Μετά από ενδελεχή εξέταση, διαπίστωσαν...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
31,285
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...