Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Ușă din spate TAMECAT

Ușă din spate TAMECAT

Până în Mezo în Programe malware, Amenințare persistentă avansată (APT), Ușile din spate
Tradu in:

Un val de activități de spionaj legate de gruparea APT42, aliniată statului iranian, analiștii observând un efort concentrat împotriva unor persoane și organizații legate de interesele Corpului Gărzilor Revoluționare Islamice (IRGC). Detectată la începutul lunii septembrie 2025 și având numele de cod SpearSpecter, această operațiune demonstrează o combinație sofisticată de inginerie socială și implementare personalizată de programe malware, care vizează colectarea de informații.

O strategie de direcționare extinsă

Operatorii din spatele acestei campanii au vizat direct înalți oficiali guvernamentali și din domeniul apărării, folosind abordări extrem de personalizate pentru a-i atrage în acțiune. Invitațiile la conferințe importante și ofertele de întâlniri influente sunt atracții comune. O caracteristică definitorie a acestei activități este lărgirea numărului de victime pentru a include membrii familiei, crescând presiunea și extinzând suprafața de atac în jurul țintelor principale.

Originile și evoluția APT42

APT42 a intrat în domeniul raportării publice la sfârșitul anului 2022, la scurt timp după ce cercetătorii l-au asociat cu mai multe grupuri asociate IRGC. Acestea includ clustere bine-cunoscute precum APT35, Charming Kitten, ITG18, Mint Sandstorm și TA453, printre altele. Marca operațională a grupului este capacitatea sa de a susține operațiuni de inginerie socială de lungă durată, uneori durând săptămâni, în timp ce se dă drept contacte de încredere pentru a câștiga credibilitate înainte de a livra sarcini utile dăunătoare sau linkuri rău intenționate.

La începutul lunii iunie 2025, specialiștii au descoperit o altă campanie majoră care viza profesioniștii israelieni în domeniul securității cibernetice și tehnologiei. În acest caz, atacatorii s-au dat drept directori și cercetători atât în comunicările prin e-mail, cât și prin WhatsApp. Deși sunt legate, activitatea din iunie și SpearSpecter provin din două clustere interne diferite ale APT42 - clusterul B s-a concentrat pe furtul de acreditări, în timp ce clusterul D se concentrează pe intruziuni generate de programe malware.

Tactici de înșelăciune personalizate

În centrul SpearSpecter se află o metodologie de atac flexibilă, structurată în jurul valorii țintei și a obiectivelor operatorilor. Unele victime sunt redirecționate către portaluri de întâlniri contrafăcute, concepute pentru a colecta acreditări. Altele se confruntă cu o abordare mai intruzivă, care oferă un backdoor PowerShell persistent numit TAMECAT, un instrument utilizat în mod repetat de grup în ultimii ani.

Lanțurile de atac obișnuite încep cu uzurparea identității pe WhatsApp, unde adversarul transmite mai departe un link malițios care pretinde a fi un document necesar pentru o interacțiune viitoare. Dacă se dă clic pe acesta, se declanșează o secvență de redirecționare care are ca rezultat livrarea unui fișier LNK găzduit de WebDAV, deghizat în PDF, utilizând protocolul search-ms: pentru a înșela victima.

Ușa din spate TAMECAT: Modulară, Persistentă și Adaptivă

Odată executat, fișierul LNK se conectează la un subdomeniu Cloudflare Workers operat de atacator pentru a prelua un script batch care activează TAMECAT. Acest framework bazat pe PowerShell folosește componente modulare pentru a sprijini exfiltrarea, supravegherea și gestionarea de la distanță. Canalele sale de comandă și control (C2) se întind pe HTTPS, Discord și Telegram, asigurând reziliența chiar și atunci când o cale este închisă.

Pentru operațiunile bazate pe Telegram, TAMECAT preia și execută cod PowerShell transmis de un bot aflat sub controlul atacatorilor. C2 bazat pe Discord utilizează un webhook care trimite detalii despre sistem și primește comenzi de la un canal predefinit. Analizele sugerează că comenzile pot fi personalizate în funcție de gazda infectată, permițând o activitate coordonată împotriva mai multor ținte prin intermediul unei infrastructuri partajate.

Capacități care susțin spionajul profund

TAMECAT oferă o gamă largă de funcții de colectare a informațiilor. Printre acestea:

  • Colectarea și extragerea datelor
  • Recoltarea fișierelor cu extensiile specificate
  • Extragerea datelor din cutiile poștale Google Chrome, Microsoft Edge și Outlook
  • Efectuarea continuă a capturii de ecran la fiecare 15 secunde
  • Exfiltrarea informațiilor colectate prin HTTPS sau FTP
  • Măsuri de ascundere și evitare
  • Criptarea telemetriei și a sarcinilor utile
  • Obfuscarea codului sursă PowerShell
  • Utilizarea fișierelor binare care trăiesc în afara mediului pentru a combina acțiunile rău intenționate cu comportamentul normal al sistemului
  • Executare principală în memorie pentru a minimiza artefactele de pe disc

O infrastructură rezistentă și camuflată

Infrastructura care susține SpearSpecter combină sistemele controlate de atacatori cu servicii cloud legitime pentru a ascunde activitatea rău intenționată. Această abordare hibridă permite compromiterea inițială fără probleme, comunicații C2 durabile și extragerea datelor sub acoperire. Designul operațional reflectă intenția actorului amenințător de a se infiltra pe termen lung în rețele de mare valoare, menținând în același timp o expunere minimă.

Concluzie

Campania SpearSpecter subliniază rafinarea continuă a operațiunilor de spionaj de către APT42, combinând ingineria socială pe termen lung, malware-ul adaptiv și o infrastructură robustă pentru a avansa obiectivele de informații. Natura sa persistentă și extrem de direcționată expune oficialilor, personalului de apărare și persoanelor afiliate la riscuri continue, întărind necesitatea unei vigilențe sporite și a unei igiene stricte a securității pe toate canalele de comunicare.

 

Trending

Cele mai văzute

Se încarcă...