Ponuda s popustom na više licenci
Baza prijetnji Malware TAMECAT Stražnja vrata

TAMECAT Stražnja vrata

Do Mezo. Malware, Napredna trajna prijetnja (APT), Stražnja vrata. godine
Prevedi na:

Pojavio se val špijunskih aktivnosti povezanih s iranskom državnom skupinom APT42, a analitičari primjećuju usmjerene napore protiv pojedinaca i organizacija povezanih s interesima Korpusa islamske revolucionarne garde (IRGC). Otkrivena početkom rujna 2025. i dodijeljeno joj je kodno ime SpearSpecter, ova operacija pokazuje sofisticiranu mješavinu društvenog inženjeringa i prilagođenog raspoređivanja zlonamjernog softvera usmjerenog na prikupljanje obavještajnih podataka.

Proširena strategija ciljanja

Operateri koji stoje iza ove kampanje izravno su ciljali na visoke vladine i obrambene dužnosnike, koristeći vrlo personalizirane pristupe kako bi ih privukli na angažman. Pozivi na istaknute konferencije i ponude utjecajnih sastanaka uobičajeni su mamci. Karakteristična karakteristika ove aktivnosti je širenje kruga žrtava kako bi se uključili članovi obitelji, povećavajući pritisak i proširujući površinu napada oko primarnih meta.

Podrijetlo i evolucija APT42

APT42 je ušao u javno izvještavanje krajem 2022., ubrzo nakon što su ga istraživači povezali s više skupina povezanih s IRGC-om. To uključuje poznate klastere poput APT35, Charming Kitten, ITG18, Mint Sandstorm i TA453, među ostalima. Operativni zaštitni znak skupine je njezina sposobnost održavanja dugotrajnih operacija socijalnog inženjeringa, koje ponekad traju tjednima, dok se lažno predstavlja kao pouzdani kontakt kako bi stekao kredibilitet prije isporuke štetnih sadržaja ili zlonamjernih poveznica.

Ranije u lipnju 2025., stručnjaci su otkrili još jednu veliku kampanju usmjerenu na izraelske stručnjake za kibernetičku sigurnost i tehnologiju. U tom slučaju, napadači su se predstavljali kao rukovoditelji i istraživači i u komunikaciji e-poštom i putem WhatsAppa. Iako povezani, aktivnost u lipnju i SpearSpecter proizlaze iz dva različita unutarnja klastera APT42 - klastera B usmjerenog na krađu vjerodajnica, dok se klaster D usredotočuje na upade uzrokovane zlonamjernim softverom.

Personalizirane taktike obmane

U srži SpearSpectera leži fleksibilna metodologija napada oblikovana oko vrijednosti mete i ciljeva operatera. Neke žrtve preusmjeravaju se na krivotvorene portale za sastanke osmišljene za prikupljanje vjerodajnica. Druge se suočavaju s nametljivijim pristupom koji pruža uporni PowerShell backdoor pod nazivom TAMECAT, alat koji je grupa više puta koristila posljednjih godina.

Uobičajeni lanci napada započinju lažnim predstavljanjem na WhatsAppu, gdje protivnik prosljeđuje zlonamjernu poveznicu tvrdeći da je potreban dokument za nadolazeći angažman. Klikom na nju pokreće se niz preusmjeravanja koji rezultira isporukom LNK datoteke hostirane na WebDAV-u prikrivene kao PDF, koristeći rukovatelj protokolom search-ms: kako bi obmanuo žrtvu.

TAMECAT stražnja vrata: modularna, perzistentna i prilagodljiva

Nakon izvršenja, LNK datoteka se povezuje s poddomenom Cloudflare Workers kojom upravlja napadač kako bi dohvatila batch skriptu koja aktivira TAMECAT. Ovaj okvir temeljen na PowerShellu koristi modularne komponente za podršku izvlačenju podataka, nadzoru i daljinskom upravljanju. Njegovi kanali za upravljanje i kontrolu (C2) obuhvaćaju HTTPS, Discord i Telegram, osiguravajući otpornost čak i kada je jedan kanal zatvoren.

Za operacije temeljene na Telegramu, TAMECAT dohvaća i izvršava PowerShell kod koji prenosi bot pod kontrolom napadača. C2 temeljen na Discordu koristi webhook koji šalje detalje sustava i prima naredbe s unaprijed definiranog kanala. Analiza sugerira da se naredbe mogu prilagoditi po zaraženom hostu, omogućujući koordiniranu aktivnost protiv više ciljeva putem zajedničke infrastrukture.

Mogućnosti koje podržavaju duboku špijunažu

TAMECAT nudi široki niz značajki za prikupljanje obavještajnih podataka. Među njima:

  • Prikupljanje i izdvajanje podataka
  • Prikupljanje datoteka s određenim ekstenzijama
  • Izdvajanje podataka iz poštanskih sandučića preglednika Google Chrome, Microsoft Edge i Outlook
  • Neprekidno snimanje zaslona svakih 15 sekundi
  • Izvlačenje prikupljenih informacija putem HTTPS-a ili FTP-a
  • Mjere prikrivenosti i izbjegavanja
  • Šifriranje telemetrije i korisnih tereta
  • Zataškavanje izvornog koda PowerShella
  • Korištenje binarnih datoteka koje žive izvan zemlje za miješanje zlonamjernih radnji s normalnim ponašanjem sustava
  • Izvršavanje prvenstveno u memoriji kako bi se smanjili artefakti diska

Otporna i kamuflirana infrastruktura

Infrastruktura koja podržava SpearSpecter kombinira sustave koje kontroliraju napadači s legitimnim uslugama u oblaku kako bi prikrila zlonamjerne aktivnosti. Ovaj hibridni pristup omogućuje besprijekorno početno kompromitiranje, izdržljivu C2 komunikaciju i tajno izdvajanje podataka. Operativni dizajn odražava namjeru aktera prijetnje da dugoročno infiltrira mreže visoke vrijednosti uz održavanje minimalne izloženosti.

Zaključak

Kampanja SpearSpecter naglašava kontinuirano usavršavanje špijunskih operacija APT42, kombinirajući dugoročni društveni inženjering, adaptivni zlonamjerni softver i robusnu infrastrukturu za unapređenje obavještajnih ciljeva. Njegova uporna i visoko ciljana priroda izlaže dužnosnike, obrambeno osoblje i povezane pojedince kontinuiranom riziku, pojačavajući potrebu za pojačanom budnošću i snažnom sigurnosnom higijenom na svim komunikacijskim kanalima.

 

U trendu

Nagledanije

Učitavam...