TAMECAT Backdoor

រលកនៃសកម្មភាពចារកម្មដែលចងភ្ជាប់ជាមួយក្រុម APT42 ដែលមានសម្ព័ន្ធភាពរដ្ឋអ៊ីរ៉ង់បានលេចចេញមក ដោយមានក្រុមអ្នកវិភាគសង្កេតលើកិច្ចខិតខំប្រឹងប្រែងផ្តោតទៅលើបុគ្គល និងអង្គការនានាដែលភ្ជាប់ទៅនឹងផលប្រយោជន៍របស់កងឆ្មាំបដិវត្តន៍អ៊ីស្លាម (IRGC) ។ បានរកឃើញនៅដើមខែកញ្ញា ឆ្នាំ 2025 និងបានកំណត់ឈ្មោះកូដ SpearSpecter ប្រតិបត្តិការនេះបង្ហាញពីការបញ្ចូលគ្នាដ៏ស្មុគ្រស្មាញនៃវិស្វកម្មសង្គម និងការដាក់ពង្រាយមេរោគដែលត្រូវបានកែសម្រួលក្នុងគោលបំណងប្រមូលព័ត៌មានសម្ងាត់។

យុទ្ធសាស្ត្រកំណត់គោលដៅទូលំទូលាយ

ប្រតិបត្តិករដែលនៅពីក្រោយយុទ្ធនាការនេះ មានគោលបំណងដោយផ្ទាល់ទៅលើមន្ត្រីជាន់ខ្ពស់រដ្ឋាភិបាល និងការពារជាតិ ដោយប្រើវិធីសាស្រ្តផ្ទាល់ខ្លួនខ្ពស់ ដើម្បីទាញពួកគេឱ្យចូលរួម។ ការអញ្ជើញឱ្យចូលរួមសន្និសីទដ៏លេចធ្លោ និងការផ្តល់ជូននៃកិច្ចប្រជុំដ៏មានឥទ្ធិពលគឺជាការទាក់ទាញទូទៅ។ លក្ខណៈកំណត់នៃសកម្មភាពនេះគឺការពង្រីកអាងជនរងគ្រោះ ដើម្បីរួមបញ្ចូលសមាជិកគ្រួសារ បង្កើនសម្ពាធ និងការពង្រីកផ្ទៃវាយប្រហារជុំវិញគោលដៅចម្បង។

ប្រភពដើម និងការវិវត្តន៍នៃ APT42

APT42 បានបញ្ចូលការរាយការណ៍ជាសាធារណៈនៅចុងឆ្នាំ 2022 ភ្លាមៗបន្ទាប់ពីអ្នកស្រាវជ្រាវបានភ្ជាប់វាទៅនឹងក្រុមដែលពាក់ព័ន្ធ IRGC ជាច្រើន។ ទាំងនេះរួមបញ្ចូលចង្កោមល្បីដូចជា APT35, Charming Kitten, ITG18, Mint Sandstorm និង TA453 ក្នុងចំណោមក្រុមផ្សេងៗទៀត។ ពាណិជ្ជសញ្ញាប្រតិបត្តិការរបស់ក្រុមនេះគឺជាសមត្ថភាពរបស់ខ្លួនក្នុងការទ្រទ្រង់ប្រតិបត្តិការវិស្វកម្មសង្គមដែលដំណើរការយូរអង្វែង ជួនកាលមានរយៈពេលជាច្រើនសប្តាហ៍ ខណៈពេលដែលការក្លែងបន្លំទំនាក់ទំនងដែលអាចទុកចិត្តបានដើម្បីទទួលបានភាពជឿជាក់មុននឹងចែកចាយបន្ទុកគ្រោះថ្នាក់ ឬតំណភ្ជាប់ដែលមានគំនិតអាក្រក់។

នៅដើមខែមិថុនា ឆ្នាំ 2025 អ្នកឯកទេសបានរកឃើញយុទ្ធនាការដ៏សំខាន់មួយផ្សេងទៀតដែលសំដៅទៅលើសន្តិសុខតាមអ៊ីនធឺណិត និងអ្នកជំនាញបច្ចេកវិទ្យារបស់អ៊ីស្រាអែល។ ក្នុង​ករណី​នោះ អ្នក​វាយ​ប្រហារ​បាន​តាំង​ខ្លួន​ជា​នាយក​ប្រតិបត្តិ និង​អ្នក​ស្រាវ​ជ្រាវ​ទាំង​ការ​ទំនាក់​ទំនង​តាម​អ៊ីមែល និង WhatsApp។ ទោះបីជាមានការពាក់ព័ន្ធក៏ដោយ សកម្មភាពខែមិថុនា និង SpearSpecter កើតចេញពីចង្កោមខាងក្នុងពីរផ្សេងគ្នានៃ APT42—ចង្កោម B ដែលផ្តោតលើការលួចព័ត៌មានសម្ងាត់ ខណៈពេលដែលចង្កោម D ផ្តោតលើការឈ្លានពានដែលជំរុញដោយមេរោគ។

ល្បិចបោកបញ្ឆោតផ្ទាល់ខ្លួន

ស្នូលនៃ SpearSpecter មានវិធីសាស្រ្តវាយប្រហារដែលអាចបត់បែនបានដែលមានរាងជុំវិញតម្លៃរបស់គោលដៅ និងគោលបំណងរបស់ប្រតិបត្តិករ។ ជនរងគ្រោះមួយចំនួនត្រូវបានបញ្ជូនបន្តទៅកាន់វិបផតថលប្រជុំក្លែងក្លាយដែលត្រូវបានបង្កើតឡើងដើម្បីប្រមូលព័ត៌មានអត្តសញ្ញាណ។ អ្នកផ្សេងទៀតប្រឈមមុខនឹងវិធីសាស្រ្តដែលរំខានបន្ថែមទៀតដែលផ្តល់នូវ PowerShell backdoor ជាប់លាប់ដែលមានឈ្មោះថា TAMECAT ដែលជាឧបករណ៍ដែលត្រូវបានប្រើម្តងហើយម្តងទៀតដោយក្រុមក្នុងប៉ុន្មានឆ្នាំថ្មីៗនេះ។

ខ្សែសង្វាក់វាយប្រហារទូទៅចាប់ផ្តើមដោយការក្លែងបន្លំនៅលើ WhatsApp ជាកន្លែងដែលសត្រូវបញ្ជូនតំណព្យាបាទដែលអះអាងថាជាឯកសារដែលត្រូវការសម្រាប់ការចូលរួមនាពេលខាងមុខ។ ការចុចវាបង្កឱ្យមានលំដាប់ប្តូរទិសដែលនាំឱ្យបញ្ជូនឯកសារ LNK ដែលរៀបចំដោយ WebDAV ដែលក្លែងបន្លំជា PDF ដោយប្រើប្រាស់ឧបករណ៍ដោះស្រាយពិធីការ-ms: ដើម្បីបញ្ឆោតជនរងគ្រោះ។

TAMECAT Backdoor: ម៉ូឌុល ជាប់លាប់ និងសម្របខ្លួន

នៅពេលដែលត្រូវបានប្រតិបត្តិ ឯកសារ LNK ភ្ជាប់ទៅដែនរង Cloudflare Workers ដែលដំណើរការដោយអ្នកវាយប្រហារ ដើម្បីទាញយកស្គ្រីបជាបាច់ដែលធ្វើឲ្យ TAMECAT សកម្ម។ ក្របខ័ណ្ឌដែលមានមូលដ្ឋានលើ PowerShell នេះប្រើប្រាស់សមាសធាតុម៉ូឌុលដើម្បីគាំទ្រដល់ការបណ្តេញចេញ ការឃ្លាំមើល និងការគ្រប់គ្រងពីចម្ងាយ។ ប៉ុស្តិ៍ Command-and-Control (C2) របស់វាលាតសន្ធឹងលើ HTTPS, Discord, និង Telegram ដែលធានានូវភាពធន់ ទោះបីផ្លូវមួយត្រូវបានបិទក៏ដោយ។

សម្រាប់ប្រតិបត្តិការដែលមានមូលដ្ឋានលើ Telegram TAMECAT ទាញយក និងប្រតិបត្តិកូដ PowerShell ដែលបញ្ជូនបន្តដោយ bot ក្រោមការគ្រប់គ្រងរបស់អ្នកវាយប្រហារ។ C2 ដែលមានមូលដ្ឋានលើ Discord ប្រើ webhook ដែលផ្ញើព័ត៌មានលម្អិតនៃប្រព័ន្ធ និងទទួលពាក្យបញ្ជាពីឆានែលដែលបានកំណត់ជាមុន។ ការវិភាគបង្ហាញថាពាក្យបញ្ជាអាចត្រូវបានប្ដូរតាមបំណងក្នុងមួយម៉ាស៊ីនដែលឆ្លងមេរោគ ដោយបើកដំណើរការសកម្មភាពសម្របសម្រួលប្រឆាំងនឹងគោលដៅជាច្រើនតាមរយៈហេដ្ឋារចនាសម្ព័ន្ធរួមគ្នា។

សមត្ថភាពដែលគាំទ្រចារកម្មជ្រៅ

TAMECAT ផ្តល់នូវឈុតទូលំទូលាយនៃលក្ខណៈពិសេសប្រមូលផ្តុំបញ្ញា។ ក្នុងចំណោមពួកគេ៖

• ការប្រមូល និងស្រង់ទិន្នន័យ
• ការប្រមូលឯកសារជាមួយផ្នែកបន្ថែមដែលបានបញ្ជាក់
• ស្រង់ទិន្នន័យចេញពីប្រអប់សំបុត្រ Google Chrome, Microsoft Edge និង Outlook
• អនុវត្តការថតអេក្រង់បន្តរៀងរាល់ 15 វិនាទី
• ការទាញយកព័ត៌មានដែលប្រមូលបានតាមរយៈ HTTPS ឬ FTP
• វិធានការបំបាំងកាយ និងគេចវេស
• ការអ៊ិនគ្រីប telemetry និង payloads
• កូដប្រភព PowerShell ច្របូកច្របល់
• ការប្រើប្រាស់ប្រព័ន្ធគោលពីរដែលរស់នៅក្រៅដី ដើម្បីបញ្ចូលគ្នានូវសកម្មភាពព្យាបាទជាមួយនឹងឥរិយាបថប្រព័ន្ធធម្មតា។
• ការប្រតិបត្តិជាចម្បងនៅក្នុងអង្គចងចាំ ដើម្បីកាត់បន្ថយវត្ថុបុរាណរបស់ថាស

ហេដ្ឋារចនាសម្ព័ន្ធដែលធន់ទ្រាំ និងក្លែងបន្លំ

ហេដ្ឋារចនាសម្ព័ន្ធដែលគាំទ្រ SpearSpecter រួមបញ្ចូលគ្នានូវប្រព័ន្ធគ្រប់គ្រងដោយអ្នកវាយប្រហារជាមួយនឹងសេវាកម្មពពកស្របច្បាប់ ដើម្បីបិទបាំងសកម្មភាពព្យាបាទ។ វិធីសាស្រ្តកូនកាត់នេះអនុញ្ញាតឱ្យមានការសម្របសម្រួលដំបូងដោយគ្មានថ្នេរ ការទំនាក់ទំនង C2 ជាប់លាប់ និងការទាញយកទិន្នន័យសម្ងាត់។ ការរចនាប្រតិបត្តិការឆ្លុះបញ្ចាំងពីចេតនារបស់តួអង្គគំរាមកំហែងលើការជ្រៀតចូលរយៈពេលវែងនៃបណ្តាញដែលមានតម្លៃខ្ពស់ ខណៈពេលដែលរក្សាការប៉ះពាល់តិចតួចបំផុត។

សេចក្តីសន្និដ្ឋាន

យុទ្ធនាការ SpearSpecter គូសបញ្ជាក់ការចម្រាញ់ជាបន្តរបស់ APT42 នៃប្រតិបត្តិការចារកម្ម ដោយរួមបញ្ចូលគ្នានូវវិស្វកម្មសង្គមរយៈពេលវែង មេរោគអាដាប់ធ័រ និងហេដ្ឋារចនាសម្ព័ន្ធដ៏រឹងមាំ ដើម្បីជំរុញគោលបំណងស៊ើបការណ៍។ ធម្មជាតិជាប់លាប់ និងគោលដៅខ្ពស់របស់វាធ្វើឱ្យមន្ត្រី បុគ្គលិកការពារជាតិ និងបុគ្គលដែលជាប់ពាក់ព័ន្ធប្រឈមនឹងហានិភ័យជាបន្តបន្ទាប់ ដោយពង្រឹងតម្រូវការសម្រាប់ការប្រុងប្រយ័ត្នខ្ពស់ និងអនាម័យសុវត្ថិភាពខ្លាំងនៅគ្រប់បណ្តាញទំនាក់ទំនងទាំងអស់។