דלת אחורית של TAMECAT
גל של פעילות ריגול הקשורה לארגון APT42, המזוהה עם איראן, צץ, כאשר אנליסטים צופים במאמץ ממוקד נגד יחידים וארגונים המקושרים לאינטרסים של משמרות המהפכה האסלאמיים (IRGC). מבצע זה, שזוהה בתחילת ספטמבר 2025 וקיבל את שם הקוד SpearSpecter, מדגים שילוב מתוחכם של הנדסה חברתית ופריסת תוכנות זדוניות מותאמות אישית שמטרתן איסוף מודיעין.
תוכן העניינים
אסטרטגיית מיקוד מורחבת
המפעילים שמאחורי קמפיין זה כוונו ישירות אל בכירים בממשלה ובביטחון, תוך שימוש בגישות מותאמות אישית ביותר כדי למשוך אותם למעורבות. הזמנות לכנסים בולטים והצעות לפגישות בעלות השפעה הן פיתיונות נפוצים. מאפיין בולט של פעילות זו הוא הרחבת מאגר הקורבנות כך שיכלול בני משפחה, הגברת הלחץ והרחבת משטח התקיפה סביב מטרות עיקריות.
מקורות ואבולוציה של APT42
APT42 פורסם לציבור בסוף 2022, זמן קצר לאחר שחוקרים קישרו אותו למספר קבוצות הקשורות למשמרות המהפכה. אלה כוללים אשכולות ידועים כמו APT35, Charming Kitten, ITG18, Mint Sandstorm ו-TA453, בין היתר. סימן ההיכר המבצעי של הקבוצה הוא יכולתה לקיים פעולות הנדסה חברתית ארוכות טווח, שלעיתים נמשכות שבועות, תוך התחזות לאנשי קשר מהימנים כדי לצבור אמינות לפני העברת מטענים מזיקים או קישורים זדוניים.
מוקדם יותר ביוני 2025, חשפו מומחים קמפיין גדול נוסף שכוון נגד אנשי מקצוע בתחום הסייבר והטכנולוגיה בישראל. במקרה זה, התוקפים התחזו למנהלים וחוקרים הן בדוא"ל והן בתקשורת בוואטסאפ. למרות שיש קשר, הפעילות ביוני ו-SpearSpecter נובעות משני אשכולות פנימיים שונים של APT42 - אשכול B המתמקד בגניבת אישורים, בעוד אשכול D מתמקד בפריצות המונעות על ידי תוכנות זדוניות.
טקטיקות הונאה מותאמות אישית
בליבת SpearSpecter טמונה מתודולוגיית תקיפה גמישה המותאמת לערך המטרה ולמטרות המפעילים. חלק מהקורבנות מופנים לפורטלים מזויפים של פגישות שנועדו לאסוף אישורים. אחרים מתמודדים עם גישה פולשנית יותר המספקת דלת אחורית מתמשכת של PowerShell בשם TAMECAT, כלי בו השתמשה הקבוצה שוב ושוב בשנים האחרונות.
שרשראות תקיפה נפוצות מתחילות בהתחזות בוואטסאפ, שם היריב מעביר קישור זדוני שטוען שהוא מסמך נדרש לפעילות קרובה. לחיצה עליו מפעילה רצף הפניה שמביא למסירת קובץ LNK המתארח ב-WebDAV במסווה של קובץ PDF, תוך ניצול מטפל הפרוטוקול search-ms: כדי להטעות את הקורבן.
דלת אחורית של TAMECAT: מודולרית, מתמשכת ואדפטיבית
לאחר ההפעלה, קובץ ה-LNK מתחבר לתת-דומיין של Cloudflare Workers המופעל על ידי תוקף כדי לאחזר סקריפט אצווה שמפעיל את TAMECAT. מסגרת זו, המבוססת על PowerShell, משתמשת ברכיבים מודולריים כדי לתמוך בחילוץ, מעקב וניהול מרחוק. ערוצי ה-Command-and-Control (C2) שלה משתרעים על פני HTTPS, Discord ו-Telegram, מה שמבטיח עמידות גם כאשר נתיב אחד מושבת.
עבור פעולות מבוססות טלגרם, TAMECAT מאחזר ומבצע קוד PowerShell המועבר על ידי בוט הנמצא תחת שליטת התוקפים. C2 מבוסס Discord משתמש ב-webhook ששולח פרטי מערכת ומקבל פקודות מערוץ מוגדר מראש. ניתוח מצביע על כך שניתן להתאים אישית את הפקודות לכל מארח נגוע, מה שמאפשר פעילות מתואמת כנגד מטרות מרובות באמצעות תשתית משותפת.
יכולות התומכות בריגול עמוק
TAMECAT מציעה חבילה רחבה של תכונות לאיסוף מודיעין. ביניהן:
- איסוף וחילוץ נתונים
- איסוף קבצים עם סיומות ספציפיות
- חילוץ נתונים מתיבות הדואר של גוגל כרום, מיקרוסופט אדג' ואאוטלוק
- ביצוע צילום מסך רציף כל 15 שניות
- חילוץ מידע שנאסף באמצעות HTTPS או FTP
- אמצעי התגנבות והתחמקות
- הצפנת טלמטריה ומטענים
- ערפול קוד המקור של PowerShell
- שימוש בקבצים בינאריים של "חיים מחוץ לאדמה" כדי לשלב פעולות זדוניות עם התנהגות מערכת רגילה
- ביצוע בעיקר בזיכרון כדי למזער ארטיפקטים של הדיסק
תשתית עמידה ומוסוות
התשתית התומכת ב-SpearSpecter משלבת מערכות הנשלטות על ידי תוקפים עם שירותי ענן לגיטימיים כדי להסתיר פעילות זדונית. גישה היברידית זו מאפשרת פריצה ראשונית חלקה, תקשורת C2 עמידה וחילוץ נתונים חשאי. התכנון התפעולי משקף את כוונת גורם האיום לחדור לטווח ארוך לרשתות בעלות ערך גבוה תוך שמירה על חשיפה מינימלית.
מַסְקָנָה
קמפיין SpearSpecter מדגיש את השיפור המתמשך של פעולות הריגול על ידי APT42, המשלב הנדסה חברתית ארוכת טווח, תוכנות זדוניות אדפטיביות ותשתית איתנה לקידום יעדי מודיעין. אופיו המתמשך והממוקד מאוד מציב פקידים, אנשי ביטחון ואנשים קשורים בסיכון מתמשך, מה שמחזק את הצורך בערנות מוגברת ובהיגיינת אבטחה חזקה בכל ערוצי התקשורת.
