Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Tylne drzwi TAMECAT

Tylne drzwi TAMECAT

Do Mezo w Złośliwe oprogramowanie, Zaawansowane trwałe zagrożenie (APT), Tylne drzwi
Przetłumacz na:

Wypłynęła fala działań szpiegowskich powiązanych z irańską grupą APT42, a analitycy obserwują skoncentrowane działania przeciwko osobom i organizacjom powiązanym z interesami Korpusu Strażników Rewolucji Islamskiej (IRGC). Operacja, wykryta na początku września 2025 roku i oznaczona kryptonimem SpearSpecter, stanowi wyrafinowane połączenie socjotechniki i dostosowanego do potrzeb złośliwego oprogramowania, którego celem jest zbieranie informacji wywiadowczych.

Rozszerzona strategia targetowania

Operatorzy stojący za tą kampanią celowali bezpośrednio w wysokich rangą urzędników rządowych i obronnych, stosując wysoce spersonalizowane metody, aby zachęcić ich do zaangażowania. Zaproszenia na prestiżowe konferencje i oferty wpływowych spotkań to powszechne przynęty. Charakterystyczną cechą tej działalności jest poszerzenie grona ofiar o członków rodziny, zwiększenie presji i rozszerzenie obszaru ataku wokół głównych celów.

Geneza i ewolucja APT42

APT42 trafiło do publicznej wiadomości pod koniec 2022 roku, wkrótce po tym, jak badacze powiązali je z wieloma grupami powiązanymi z IRGC. Należą do nich między innymi znane klastry, takie jak APT35, Charming Kitten, ITG18, Mint Sandstorm i TA453. Znakiem rozpoznawczym tej grupy jest jej zdolność do prowadzenia długotrwałych, niekiedy trwających tygodnie, operacji socjotechnicznych, podczas których podszywa się pod zaufane osoby, aby zyskać wiarygodność i dostarczać szkodliwe ładunki lub złośliwe linki.

Na początku czerwca 2025 roku specjaliści odkryli kolejną dużą kampanię wymierzoną w izraelskich specjalistów ds. cyberbezpieczeństwa i technologii. W tym przypadku atakujący podszywali się pod kadrę kierowniczą i badaczy w komunikacji e-mailowej i WhatsApp. Choć powiązane, czerwcowa aktywność i atak SpearSpecter wywodzą się z dwóch różnych wewnętrznych klastrów APT42 – klastra B, który koncentrował się na kradzieży danych uwierzytelniających, oraz klastra D, który koncentruje się na włamaniach opartych na złośliwym oprogramowaniu.

Spersonalizowane taktyki oszukiwania

U podstaw ataku SpearSpecter leży elastyczna metodologia ataku, oparta na wartości celu i celach operatorów. Niektóre ofiary są przekierowywane na fałszywe portale konferencyjne, zaprojektowane w celu gromadzenia danych uwierzytelniających. Inne napotykają na bardziej inwazyjne podejście, które dostarcza trwałego backdoora w programie PowerShell o nazwie TAMECAT, narzędzia wielokrotnie wykorzystywanego przez grupę w ostatnich latach.

Typowe łańcuchy ataków rozpoczynają się od podszywania się pod użytkownika w WhatsApp, gdzie atakujący przesyła złośliwy link, podszywając się pod dokument wymagany do nadchodzącego spotkania. Kliknięcie go uruchamia sekwencję przekierowania, która skutkuje dostarczeniem hostowanego przez WebDAV pliku LNK podszywającego się pod plik PDF, wykorzystującego obsługę protokołu search-ms: do oszukania ofiary.

Tylne drzwi TAMECAT: modułowe, trwałe i adaptacyjne

Po uruchomieniu plik LNK łączy się z subdomeną Cloudflare Workers obsługiwaną przez atakującego, aby pobrać skrypt wsadowy aktywujący TAMECAT. Ta oparta na PowerShellu platforma wykorzystuje modułowe komponenty do obsługi eksfiltracji, nadzoru i zdalnego zarządzania. Jej kanały Command-and-Control (C2) obejmują HTTPS, Discord i Telegram, zapewniając odporność nawet w przypadku wyłączenia jednej z nich.

W przypadku operacji opartych na Telegramie, TAMECAT pobiera i wykonuje kod PowerShell przekazywany przez bota kontrolowanego przez atakujących. Oparty na Discordzie system C2 wykorzystuje webhook, który wysyła dane systemowe i odbiera polecenia z predefiniowanego kanału. Analiza sugeruje, że polecenia mogą być dostosowywane do każdego zainfekowanego hosta, umożliwiając skoordynowane działania przeciwko wielu celom za pośrednictwem współdzielonej infrastruktury.

Możliwości wspierające głębokie szpiegostwo

TAMECAT oferuje szeroki zestaw funkcji do gromadzenia informacji. Wśród nich:

  • Zbieranie i ekstrakcja danych
  • Zbieranie plików o określonych rozszerzeniach
  • Wyodrębnianie danych ze skrzynek pocztowych Google Chrome, Microsoft Edge i Outlook
  • Wykonywanie ciągłego zrzutu ekranu co 15 sekund
  • Wyciekanie zebranych informacji za pomocą protokołu HTTPS lub FTP
  • Środki ukrywania się i unikania
  • Szyfrowanie telemetrii i ładunków
  • Zaciemnianie kodu źródłowego programu PowerShell
  • Wykorzystanie binarnych mechanizmów „życia poza domem” do łączenia złośliwych działań z normalnym zachowaniem systemu
  • Wykonywanie głównie w pamięci w celu zminimalizowania artefaktów na dysku

Odporna i zakamuflowana infrastruktura

Infrastruktura obsługująca SpearSpecter łączy systemy kontrolowane przez atakujących z legalnymi usługami chmurowymi, aby ukryć szkodliwą aktywność. To hybrydowe podejście umożliwia bezproblemowe początkowe włamanie, trwałą komunikację C2 i ukrytą ekstrakcję danych. Projekt operacyjny odzwierciedla intencję cyberprzestępcy, który dąży do długoterminowej infiltracji sieci o wysokiej wartości, jednocześnie minimalizując ryzyko ataku.

Wniosek

Kampania SpearSpecter podkreśla ciągłe udoskonalanie operacji szpiegowskich przez APT42, łącząc długoterminową inżynierię społeczną, adaptacyjne złośliwe oprogramowanie i solidną infrastrukturę, aby realizować cele wywiadowcze. Jej uporczywy i wysoce ukierunkowany charakter naraża urzędników, personel obronny i osoby z nim powiązane na ciągłe ryzyko, co wzmacnia potrzebę wzmożonej czujności i ścisłej higieny bezpieczeństwa we wszystkich kanałach komunikacji.

 

Popularne

Najczęściej oglądane

Ładowanie...