Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra TAMECAT aizmugurējās durvis

TAMECAT aizmugurējās durvis

Līdz Mezo. gadam Ļaunprātīga programmatūra, Advanced Persistent Threat (APT), Aizmugures durvis. gadā
Tulkot uz:

Ir parādījies spiegošanas aktivitāšu vilnis, kas saistīts ar Irānas valsts atbalstīto grupējumu APT42, analītiķiem novērojot mērķtiecīgus centienus pret personām un organizācijām, kas saistītas ar Islāma revolucionārās gvardes korpusa (IRGC) interesēm. Šī operācija, kas tika atklāta 2025. gada septembra sākumā un kurai tika piešķirts koda nosaukums SpearSpecter, demonstrē sarežģītu sociālās inženierijas un pielāgotas ļaunprogrammatūras izvietošanas apvienojumu, kura mērķis ir vākt izlūkdienestus.

Paplašināta mērķauditorijas atlases stratēģija

Šīs kampaņas organizatori ir tieši vērsušies pret augsta ranga valdības un aizsardzības amatpersonām, izmantojot ļoti personalizētas pieejas, lai iesaistītu viņus darbībā. Ielūgumi uz ievērojamām konferencēm un ietekmīgu tikšanos piedāvājumi ir bieži sastopami vilinājumi. Šīs aktivitātes raksturīga iezīme ir upuru loka paplašināšana, iekļaujot tajā ģimenes locekļus, palielinot spiedienu un paplašinot uzbrukuma virsmu ap galvenajiem mērķiem.

APT42 izcelsme un evolūcija

APT42 tika publiski ziņots 2022. gada beigās, neilgi pēc tam, kad pētnieki to saistīja ar vairākām ar IRGC saistītām grupām. Starp tām ir tādi labi zināmi klasteri kā APT35, Charming Kitten, ITG18, Mint Sandstorm un TA453, kā arī citi. Grupas darbības iezīme ir spēja uzturēt ilgstošas sociālās inženierijas operācijas, dažkārt pat nedēļām ilgi, vienlaikus uzdodoties par uzticamiem kontaktiem, lai iegūtu ticamību, pirms piegādāt kaitīgus datus vai ļaunprātīgas saites.

2025. gada jūnija sākumā speciālisti atklāja vēl vienu lielu kampaņu, kas bija vērsta pret Izraēlas kiberdrošības un tehnoloģiju speciālistiem. Šajā gadījumā uzbrucēji gan e-pastā, gan WhatsApp saziņā izlikās par vadītājiem un pētniekiem. Lai gan jūnija aktivitāte un SpearSpecter ir saistītas, tās izriet no diviem dažādiem APT42 iekšējiem klasteriem — B klasteris koncentrējas uz akreditācijas datu zādzībām, savukārt D klasteris koncentrējas uz ļaunprogrammatūras izraisītiem ielaušanās gadījumiem.

Personalizēta maldināšanas taktika

SpearSpecter pamatā ir elastīga uzbrukuma metodoloģija, kas veidota, ņemot vērā mērķa vērtību un operatoru mērķus. Daži upuri tiek novirzīti uz viltotiem tikšanās portāliem, kas izstrādāti, lai iegūtu akreditācijas datus. Citi saskaras ar uzmācīgāku pieeju, kas nodrošina pastāvīgu PowerShell aizmugures durvis ar nosaukumu TAMECAT — rīku, ko grupa atkārtoti izmanto pēdējos gados.

Bieži sastopamas uzbrukumu ķēdes sākas ar personības uzdošanos lietotnē WhatsApp, kur pretinieks pārsūta ļaunprātīgu saiti, kas apgalvo, ka ir obligāts dokuments gaidāmajai saziņai. Noklikšķinot uz tās, tiek aktivizēta pāradresācijas secība, kuras rezultātā tiek piegādāts WebDAV mitināts LNK fails, kas maskēts kā PDF fails, izmantojot search-ms: protokola apstrādātāju, lai maldinātu upuri.

TAMECAT aizmugurējā durvis: modulāras, pastāvīgas un adaptīvas

Pēc izpildes LNK fails izveido savienojumu ar uzbrucēja pārvaldītu Cloudflare Workers apakšdomēnu, lai ielādētu pakešskriptu, kas aktivizē TAMECAT. Šis uz PowerShell balstītais ietvars izmanto modulārus komponentus, lai atbalstītu eksfiltrāciju, uzraudzību un attālo pārvaldību. Tā komandvadības (C2) kanāli aptver HTTPS, Discord un Telegram, nodrošinot noturību pat tad, ja viena kanāla darbība tiek pārtraukta.

Telegram balstītām operācijām TAMECAT izgūst un izpilda PowerShell kodu, ko uzbrucēju kontrolē pārraida bots. Discord balstītā C2 izmanto tīmekļa āķi, kas nosūta sistēmas informāciju un saņem komandas no iepriekš definēta kanāla. Analīze liecina, ka komandas var pielāgot katram inficētajam resursdatoram, nodrošinot koordinētu darbību pret vairākiem mērķiem, izmantojot koplietojamu infrastruktūru.

Iespējas, kas atbalsta dziļu spiegošanu

TAMECAT piedāvā plašu informācijas vākšanas funkciju klāstu. Starp tām:

  • Datu vākšana un ieguve
  • Failu ar norādītajiem paplašinājumiem apkopošana
  • Datu ieguve no Google Chrome, Microsoft Edge un Outlook pastkastēm
  • Nepārtraukta ekrānuzņēmumu uzņemšana ik pēc 15 sekundēm
  • Apkopotās informācijas izvilkšana, izmantojot HTTPS vai FTP
  • Slepenības un izvairīšanās pasākumi
  • Telemetrijas un vērtumu šifrēšana
  • Apmulsinošs PowerShell avota kods
  • Izmantojot dzīvus, ārpus zemes esošus bināros failus, lai apvienotu ļaunprātīgas darbības ar normālu sistēmas darbību
  • Izpilde galvenokārt atmiņā, lai samazinātu diska artefaktus

Izturīga un maskēta infrastruktūra

SpearSpecter atbalstošā infrastruktūra apvieno uzbrucēju kontrolētas sistēmas ar likumīgiem mākoņpakalpojumiem, lai slēptu ļaunprātīgu darbību. Šī hibrīda pieeja nodrošina nemanāmu sākotnējo kompromitēšanu, noturīgu C2 komunikāciju un slepenu datu ieguvi. Operacionālais dizains atspoguļo apdraudējuma dalībnieka nolūku ilgtermiņā iefiltrēties augstas vērtības tīklos, vienlaikus saglabājot minimālu atkarību.

Secinājums

SpearSpecter kampaņa uzsver APT42 pastāvīgo spiegošanas operāciju pilnveidošanu, apvienojot ilgtermiņa sociālo inženieriju, adaptīvu ļaunprogrammatūru un stabilu infrastruktūru, lai sasniegtu izlūkošanas mērķus. Tās pastāvīgā un ļoti mērķtiecīgā daba pakļauj amatpersonas, aizsardzības personālu un saistītās personas pastāvīgam riskam, pastiprinot nepieciešamību pēc pastiprinātas modrības un stingras drošības higiēnas visos saziņas kanālos.

 

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
31,285
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...