Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara TAMECATi tagauks

TAMECATi tagauks

Aastaks Mezo aastal Pahavara, Täiustatud püsiv oht (APT), Tagauksed
Tõlgi:

Iraani riikliku rühmitusega APT42 seotud spionaažilaine on ilmnenud ning analüütikud on täheldanud sihipärast tegevust Islamirevolutsioonikaardi (IRGC) huvidega seotud isikute ja organisatsioonide vastu. 2025. aasta septembri alguses avastatud ja koodnimega SpearSpecter nimetatud operatsioon kujutab endast keerukat sotsiaalse manipuleerimise ja luureandmete kogumiseks mõeldud kohandatud pahavara juurutamise kombinatsiooni.

Laiendatud sihtimisstrateegia

Selle kampaania taga olevad operaatorid on sihtinud otse kõrgemaid valitsusametnikke ja kaitseametnikke, kasutades nende kaasamiseks isikupärastatud lähenemisviise. Levinud meelitajateks on kutsed silmapaistvatele konverentsidele ja pakkumised mõjukatele kohtumistele. Selle tegevuse iseloomulikuks tunnuseks on ohvrite ringi laiendamine pereliikmete kaasamisega, suurendades survet ja laiendades rünnakupinda peamiste sihtmärkide ümber.

APT42 päritolu ja areng

APT42 jõudis avalikkuse ette 2022. aasta lõpus, vahetult pärast seda, kui teadlased seostasid selle mitme IRGC-ga seotud rühmitusega. Nende hulka kuuluvad muuhulgas tuntud klastrid nagu APT35, Charming Kitten, ITG18, Mint Sandstorm ja TA453. Rühmituse tegevusalane tunnusjoon on võime teostada pikaajalisi sotsiaalse manipuleerimise operatsioone, mis mõnikord kestavad nädalaid, samal ajal võltsitud kontaktide isikupärastamise abil usaldusväärsuse suurendamiseks enne kahjulike koormuste või pahatahtlike linkide edastamist.

2025. aasta juuni alguses paljastasid spetsialistid veel ühe suure kampaania, mis oli suunatud Iisraeli küberturvalisuse ja tehnoloogiaspetsialistide vastu. Sel juhul teesklesid ründajad nii e-kirjades kui ka WhatsAppi suhtluses juhtide ja teadlastena. Kuigi need on omavahel seotud, pärinevad juuni tegevus ja SpearSpecter kahest erinevast APT42 sisemisest klastrist – klaster B keskendub volituste vargusele, klaster D aga pahavara põhjustatud sissetungidele.

Isikupärastatud pettuse taktika

SpearSpecteri tuumaks on paindlik rünnakumetoodika, mis on loodud sihtmärgi väärtuse ja operaatorite eesmärkide ümber. Mõned ohvrid suunatakse võltsitud kohtumisportaalidesse, mis on loodud volituste kogumiseks. Teised seisavad silmitsi pealetükkivama lähenemisviisiga, mis pakub püsivat PowerShelli tagaust nimega TAMECAT – tööriista, mida rühmitus on viimastel aastatel korduvalt kasutanud.

Levinud rünnakuahelad algavad WhatsAppis kellegi teisena esinemisega, kus vastane edastab pahatahtliku lingi, mis väidab end olevat eelseisva suhtluse jaoks vajalik dokument. Sellele klõpsamine käivitab ümbersuunamisjada, mille tulemuseks on WebDAV-is hostitud LNK-faili edastamine, mis on maskeeritud PDF-iks, kasutades ohvri petmiseks search-ms: protokolli käitlejat.

TAMECATi tagauks: modulaarne, püsiv ja adaptiivne

Pärast käivitamist loob LNK-fail ühenduse ründaja hallatava Cloudflare Workers alamdomeeniga, et hankida TAMECATi aktiveeriv partii-skript. See PowerShelli-põhine raamistik kasutab modulaarseid komponente väljafiltreerimise, jälgimise ja kaughalduse toetamiseks. Selle käsu- ja kontrollikanalid (C2) hõlmavad HTTPS-i, Discordi ja Telegrami, tagades vastupidavuse isegi siis, kui üks kanal on suletud.

Telegram-põhiste operatsioonide puhul hangib ja käivitab TAMECAT ründaja kontrolli all oleva boti poolt edastatud PowerShelli koodi. Discord-põhine C2 kasutab veebikonksu, mis saadab süsteemiandmeid ja võtab vastu käske eelnevalt määratletud kanalilt. Analüüs näitab, et käske saab iga nakatunud hosti jaoks kohandada, võimaldades jagatud infrastruktuuri kaudu koordineeritud tegevust mitme sihtmärgi vastu.

Süvaluuret toetavad võimed

TAMECAT pakub laia valikut luureandmete kogumise funktsioone. Nende hulgas on:

  • Andmete kogumine ja ekstraheerimine
  • Failide kogumine määratud laienditega
  • Andmete ekstraheerimine Google Chrome'i, Microsoft Edge'i ja Outlooki postkastidest
  • Jätkub ekraanipildi jäädvustamine iga 15 sekundi järel
  • Kogutud teabe väljafiltreerimine HTTPS-i või FTP kaudu
  • Varjatud ja kõrvalehoidumise meetmed
  • Telemeetria ja kasulike koormuste krüptimine
  • Varjatud PowerShelli lähtekood
  • Kasutades maalt väljaspool elavaid binaarfaile pahatahtlike tegevuste segamiseks süsteemi tavapärase käitumisega
  • Käivitamine peamiselt mälus, et minimeerida ketta artefakte

Vastupidav ja maskeeritud infrastruktuur

SpearSpecterit toetav infrastruktuur ühendab ründajate kontrolli all olevad süsteemid legitiimsete pilveteenustega, et varjata pahatahtlikku tegevust. See hübriidlähenemine võimaldab sujuvat esialgset kompromiteerimist, vastupidavat C2-sidet ja salajast andmete ekstraheerimist. Operatiivne ülesehitus peegeldab ohutegelase eesmärki pikaajaliselt tungida kõrge väärtusega võrkudesse, säilitades samal ajal minimaalse kokkupuute.

Kokkuvõte

SpearSpecteri kampaania rõhutab APT42 pidevat spionaažioperatsioonide täiustamist, ühendades luureeesmärkide saavutamiseks pikaajalise sotsiaalse manipuleerimise, adaptiivse pahavara ja tugeva infrastruktuuri. Selle püsiv ja väga sihipärane olemus seab ametnikud, kaitsetöötajad ja nendega seotud isikud pidevasse ohtu, rõhutades vajadust suurenenud valvsuse ja tugeva turvahügieeni järele kõigis suhtluskanalites.

 

Trendikas

Enim vaadatud

Laadimine...