Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad Pintu Belakang TAMECAT

Pintu Belakang TAMECAT

Menjelang Mezo pada perisian hasad, Ancaman Berterusan Lanjutan (APT), Pintu belakang
Terjemahkan ke

Gelombang aktiviti pengintipan yang dikaitkan dengan kumpulan bersekutu negara Iran APT42 telah muncul, dengan penganalisis memerhatikan usaha tertumpu terhadap individu dan organisasi yang dikaitkan dengan kepentingan Kor Pengawal Revolusi Islam (IRGC). Dikesan pada awal September 2025 dan diberi nama kod SpearSpecter, operasi ini menunjukkan gabungan kejuruteraan sosial yang canggih dan penggunaan perisian hasad yang disesuaikan yang bertujuan untuk pengumpulan risikan.

Strategi Penyasaran yang Diperluaskan

Pengendali di sebalik kempen ini telah menyasarkan secara langsung kepada pegawai kanan kerajaan dan pertahanan, menggunakan pendekatan yang sangat diperibadikan untuk menarik mereka ke dalam penglibatan. Jemputan ke persidangan terkemuka dan tawaran mesyuarat berpengaruh adalah tarikan biasa. Ciri yang menentukan aktiviti ini ialah melebarkan kumpulan mangsa untuk memasukkan ahli keluarga, meningkatkan tekanan dan meluaskan permukaan serangan di sekitar sasaran utama.

Asal-usul dan Evolusi APT42

APT42 memasuki pelaporan awam pada akhir 2022, sejurus selepas penyelidik memautkannya kepada berbilang kumpulan berkaitan IRGC. Ini termasuk kelompok terkenal seperti APT35, Charming Kitten, ITG18, Mint Sandstorm dan TA453, antara lain. Tanda dagangan operasi kumpulan itu ialah keupayaannya untuk mengekalkan operasi kejuruteraan sosial yang berjalan lama, kadangkala berminggu-minggu, sambil menyamar sebagai kenalan yang dipercayai untuk mendapatkan kredibiliti sebelum menghantar muatan berbahaya atau pautan berniat jahat.

Terdahulu pada Jun 2025, pakar menemui satu lagi kempen utama yang bertujuan untuk keselamatan siber dan profesional teknologi Israel. Dalam kes itu, penyerang menyamar sebagai eksekutif dan penyelidik dalam kedua-dua e-mel dan komunikasi WhatsApp. Walaupun berkaitan, aktiviti Jun dan SpearSpecter berpunca daripada dua kluster dalaman APT42 yang berbeza—kluster B memfokuskan pada kecurian kelayakan, manakala kluster D tertumpu pada pencerobohan yang didorong oleh perisian hasad.

Taktik Penipuan Peribadi

Pada teras SpearSpecter terletak metodologi serangan fleksibel yang dibentuk di sekitar nilai sasaran dan objektif pengendali. Sesetengah mangsa diarahkan ke portal mesyuarat palsu yang direka bentuk untuk menuai kelayakan. Yang lain menghadapi pendekatan yang lebih mengganggu yang memberikan pintu belakang PowerShell yang berterusan bernama TAMECAT, alat yang berulang kali digunakan oleh kumpulan dalam beberapa tahun kebelakangan ini.

Rantaian serangan biasa bermula dengan penyamaran di WhatsApp, di mana musuh memajukan pautan berniat jahat yang mendakwa sebagai dokumen yang diperlukan untuk pertunangan yang akan datang. Mengkliknya mencetuskan jujukan ubah hala yang mengakibatkan penghantaran fail LNK yang dihoskan WebDAV yang menyamar sebagai PDF, memanfaatkan pengendali protokol carian-ms: untuk memperdaya mangsa.

Pintu Belakang TAMECAT: Modular, Berterusan dan Suai Suai

Setelah dilaksanakan, fail LNK bersambung ke subdomain Cloudflare Workers kendalian penyerang untuk mengambil skrip kelompok yang mengaktifkan TAMECAT. Rangka kerja berasaskan PowerShell ini menggunakan komponen modular untuk menyokong exfiltration, pengawasan dan pengurusan jauh. Saluran Perintah-dan-Kawalan (C2)nya menjangkau HTTPS, Discord dan Telegram, memastikan daya tahan walaupun satu saluran ditutup.

Untuk operasi berasaskan Telegram, TAMECAT mengambil dan melaksanakan kod PowerShell yang disampaikan oleh bot di bawah kawalan penyerang. C2 berasaskan Discord menggunakan webhook yang menghantar butiran sistem dan menerima arahan daripada saluran yang telah ditetapkan. Analisis mencadangkan arahan mungkin disesuaikan bagi setiap hos yang dijangkiti, membolehkan aktiviti diselaraskan terhadap berbilang sasaran melalui infrastruktur yang dikongsi.

Keupayaan Yang Menyokong Pengintipan Dalam

TAMECAT menawarkan rangkaian luas ciri pengumpulan kecerdasan. Antaranya:

  • Pengumpulan dan Pengekstrakan Data
  • Menuai fail dengan sambungan tertentu
  • Mengekstrak data daripada peti mel Google Chrome, Microsoft Edge dan Outlook
  • Melakukan tangkapan skrin berterusan setiap 15 saat
  • Mengeluarkan maklumat yang dikumpul melalui HTTPS atau FTP
  • Langkah Bersembunyi dan Mengelak
  • Menyulitkan telemetri dan muatan
  • Mengelirukan kod sumber PowerShell
  • Menggunakan binari yang tinggal di luar tanah untuk menggabungkan tindakan berniat jahat dengan tingkah laku sistem biasa
  • Melaksanakan terutamanya dalam ingatan untuk meminimumkan artifak cakera

Infrastruktur yang Berdaya Tahan dan Disamarkan

Infrastruktur yang menyokong SpearSpecter menggabungkan sistem dikawal penyerang dengan perkhidmatan awan yang sah untuk mengaburkan aktiviti berniat jahat. Pendekatan hibrid ini membolehkan kompromi awal yang lancar, komunikasi C2 yang tahan lama dan pengekstrakan data rahsia. Reka bentuk operasi mencerminkan niat pelaku ancaman pada penyusupan jangka panjang rangkaian bernilai tinggi sambil mengekalkan pendedahan minimum.

Kesimpulan

Kempen SpearSpecter menggariskan penambahbaikan berterusan APT42 dalam operasi pengintipan, menggabungkan kejuruteraan sosial jangka panjang, perisian hasad adaptif dan infrastruktur yang teguh untuk memajukan objektif risikan. Sifatnya yang berterusan dan sangat disasarkan meletakkan pegawai, kakitangan pertahanan dan individu yang bersekutu dalam risiko berterusan, memperkukuh keperluan untuk meningkatkan kewaspadaan dan kebersihan keselamatan yang kukuh di semua saluran komunikasi.

 

Trending

Paling banyak dilihat

Memuatkan...