Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa TAMECAT galinės durys

TAMECAT galinės durys

Autorius Mezo, Kenkėjiška programa, Išplėstinė nuolatinė grėsmė (APT), Užpakalinės durys
Versti į:

Paskelbta šnipinėjimo veiklos banga, susijusi su Irano valstybine grupuote APT42, o analitikai pastebi tikslines pastangas nukreipti veiksmus prieš asmenis ir organizacijas, susijusias su Islamo revoliucijos gvardijos korpuso (IRGC) interesais. Ši operacija, aptikta 2025 m. rugsėjo pradžioje ir suteiktas kodinis pavadinimas „SpearSpecter“, demonstruoja sudėtingą socialinės inžinerijos ir pritaikyto kenkėjiškų programų diegimo, skirto žvalgybos informacijai rinkti, derinį.

Išplėstinė taikymo strategija

Šios kampanijos organizatoriai tiesiogiai taikėsi į vyresniuosius vyriausybės ir gynybos pareigūnus, naudodami itin suasmenintus metodus, kad įtrauktų juos į veiklą. Kvietimai į žinomas konferencijas ir įtakingų susitikimų pasiūlymai yra dažni viliokliai. Būdingas šios veiklos bruožas – aukų rato išplėtimas, įtraukiant šeimos narius, didinant spaudimą ir plečiant atakos paviršių aplink pagrindinius taikinius.

APT42 kilmė ir evoliucija

APT42 buvo viešai skelbiama 2022 m. pabaigoje, netrukus po to, kai tyrėjai susiejo jį su keliomis su IRGC susijusiomis grupuotėmis. Tarp jų yra tokie gerai žinomi klasteriai kaip APT35, „Charming Kitten“, ITG18, „Mint Sandstorm“ ir TA453. Šios grupės veiklos skiriamasis bruožas yra gebėjimas vykdyti ilgalaikes socialinės inžinerijos operacijas, kartais trunkančias savaites, ir apsimesti patikimais kontaktais, kad įgytų patikimumo prieš siunčiant kenksmingą informaciją ar kenkėjiškas nuorodas.

Anksčiau 2025 m. birželį specialistai atskleidė dar vieną didelę kampaniją, nukreiptą prieš Izraelio kibernetinio saugumo ir technologijų specialistus. Šiuo atveju užpuolikai tiek el. laiškuose, tiek „WhatsApp“ susirašinėdami apsimetė vadovais ir tyrėjais. Nors ir susiję, birželio mėnesio veikla ir „SpearSpecter“ kilo iš dviejų skirtingų APT42 vidinių klasterių – B klasteris sutelktas į kredencialų vagystes, o D klasteris – į kenkėjiškų programų sukeltus įsilaužimus.

Asmeninė apgaulės taktika

„SpearSpecter“ pagrindas – lanksti atakų metodika, pritaikyta prie taikinio vertės ir operatorių tikslų. Kai kurios aukos nukreipiamos į suklastotus susitikimų portalus, sukurtus kredencialams rinkti. Kitos susiduria su įkyresniu metodu, kuris pateikia nuolatines „PowerShell“ užkulisių duris, vadinamas TAMECAT – įrankį, kurį grupuotė ne kartą naudojo pastaraisiais metais.

Įprastos atakų grandinės prasideda apsimetinėjimu „WhatsApp“ programoje, kai priešininkas persiunčia kenkėjišką nuorodą, teigdamas, kad tai yra būtinas dokumentas būsimam bendravimui. Spustelėjus ją, suaktyvinama peradresavimo seka, kurios metu pristatomas „WebDAV“ talpinamas LNK failas, užmaskuotas kaip PDF, pasitelkiant „search-ms:“ protokolo tvarkyklę, kad apgautų auką.

TAMECAT galinės durys: modulinės, nuolatinės ir prisitaikančios

Paleidus LNK failą, jis prisijungia prie užpuoliko valdomo „Cloudflare Workers“ subdomeno, kad gautų paketinį scenarijų, kuris aktyvuoja TAMECAT. Ši „PowerShell“ pagrindu sukurta sistema naudoja modulinius komponentus, kad palaikytų eksfiltraciją, stebėjimą ir nuotolinį valdymą. Jos komandų ir valdymo (C2) kanalai apima HTTPS, „Discord“ ir „Telegram“, užtikrindami atsparumą net ir tada, kai vienas kanalas yra išjungtas.

„Telegram“ pagrindu veikiančioms operacijoms TAMECAT nuskaito ir vykdo užpuolikų kontroliuojamo roboto perduotą „PowerShell“ kodą. „Discord“ pagrindu veikiantis C2 naudoja žiniatinklio kablį, kuris siunčia sistemos informaciją ir gauna komandas iš iš anksto nustatyto kanalo. Analizė rodo, kad komandos gali būti pritaikytos kiekvienam užkrėstam kompiuteriui, o tai leidžia koordinuoti veiksmus prieš kelis taikinius per bendrą infrastruktūrą.

Galimybės, palaikančios giluminį šnipinėjimą

TAMECAT siūlo platų žvalgybos duomenų rinkimo funkcijų rinkinį. Tarp jų:

  • Duomenų rinkimas ir išgavimas
  • Failų su nurodytais plėtiniais rinkimas
  • Duomenų išgavimas iš „Google Chrome“, „Microsoft Edge“ ir „Outlook“ pašto dėžučių
  • Nuolatinis ekrano kopijų darymas kas 15 sekundžių
  • Surinktos informacijos išgavimas per HTTPS arba FTP
  • Slaptumo ir vengimo priemonės
  • Telemetrijos ir naudingosios apkrovos šifravimas
  • Supainiojantis „PowerShell“ šaltinio kodas
  • Naudojant gyvus, ne žemės paviršiuje esančius dvejetainius failus, siekiant sumaišyti kenkėjiškus veiksmus su įprastu sistemos elgesiu
  • Vykdomas daugiausia atmintyje, siekiant sumažinti disko artefaktus

Atspari ir užmaskuota infrastruktūra

„SpearSpecter“ palaikanti infrastruktūra sujungia užpuolikų kontroliuojamas sistemas su teisėtomis debesijos paslaugomis, kad užmaskuotų kenkėjišką veiklą. Šis hibridinis metodas leidžia sklandžiai atlikti pradinį užpuolimą, užtikrinti ilgalaikį C2 ryšį ir slaptą duomenų išgavimą. Operacinis dizainas atspindi grėsmės veikėjo ketinimą ilgalaikiam įsiskverbimui į didelės vertės tinklus, išlaikant minimalų pavojų.

Išvada

„SpearSpecter“ kampanija pabrėžia nuolatinį APT42 šnipinėjimo operacijų tobulinimą, derinant ilgalaikę socialinę inžineriją, adaptyvią kenkėjišką programinę įrangą ir tvirtą infrastruktūrą, siekiant žvalgybos tikslų. Nuolatinis ir itin tikslinis jos pobūdis kelia nuolatinį pavojų pareigūnams, gynybos personalui ir susijusiems asmenims, todėl visuose komunikacijos kanaluose reikia didesnio budrumo ir griežtos saugumo higienos.

 

Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
31,285
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...