Скидка на мультилицензию
База данных угроз Вредоносное ПО TAMECAT Backdoor

TAMECAT Backdoor

К Mezo году в Вредоносное ПО, Расширенная постоянная угроза (APT), Бэкдоры году
Перевести на:

Началась волна шпионской активности, связанной с иранской проправительственной группировкой APT42. Аналитики отмечают целенаправленные усилия против лиц и организаций, связанных с интересами Корпуса стражей исламской революции (КСИР). Эта операция, обнаруженная в начале сентября 2025 года и получившая кодовое название SpearSpecter, представляет собой сложное сочетание методов социальной инженерии и целенаправленного внедрения вредоносного ПО, направленного на сбор разведывательной информации.

Расширенная стратегия таргетинга

Операторы этой кампании нацелены непосредственно на высокопоставленных чиновников правительства и министерства обороны, используя крайне персонализированные подходы для вовлечения их в диалог. Приглашения на важные конференции и предложения влиятельных встреч являются распространёнными приманками. Отличительной чертой этой деятельности является расширение круга жертв за счёт включения членов семей, что усиливает давление и расширяет зону атаки вокруг основных целей.

Происхождение и эволюция APT42

APT42 начала публиковать данные о своей деятельности в конце 2022 года, вскоре после того, как исследователи связали её с несколькими группами, связанными с КСИР. К ним относятся такие известные группировки, как APT35, Charming Kitten, ITG18, Mint Sandstorm и TA453, среди прочих. Отличительной чертой группировки является её способность проводить длительные операции социальной инженерии, иногда длящиеся неделями, выдавая себя за доверенных лиц для повышения доверия перед отправкой вредоносных данных или ссылок.

Ранее, в июне 2025 года, специалисты раскрыли ещё одну масштабную кампанию, направленную на израильских специалистов по кибербезопасности и технологиям. В этом случае злоумышленники выдавали себя за руководителей и исследователей в электронной почте и WhatsApp. Хотя июньская активность и SpearSpecter связаны между собой, они относятся к двум разным внутренним кластерам APT42: кластер B был сосредоточен на краже учётных данных, а кластер D — на вторжениях с использованием вредоносного ПО.

Персонализированные тактики обмана

В основе SpearSpecter лежит гибкая методология атак, основанная на ценности цели и целях операторов. Некоторые жертвы перенаправляются на поддельные порталы для проведения встреч, разработанные для сбора учётных данных. Другие сталкиваются с более инвазивным подходом, включающим в себя постоянный бэкдор PowerShell под названием TAMECAT, инструмент, неоднократно использовавшийся группировкой в последние годы.

Типичные цепочки атак начинаются с имитации в WhatsApp, когда злоумышленник пересылает вредоносную ссылку, выдавая себя за необходимый документ для предстоящего взаимодействия. Нажатие на неё запускает переадресацию, которая приводит к доставке LNK-файла, хранящегося в WebDAV и замаскированного под PDF-файл, используя обработчик протокола search-ms: для обмана жертвы.

Бэкдор TAMECAT: модульный, постоянный и адаптивный

После выполнения LNK-файл подключается к управляемому злоумышленником поддомену Cloudflare Workers для загрузки пакетного скрипта, активирующего TAMECAT. Эта платформа на базе PowerShell использует модульные компоненты для поддержки эксфильтрации, наблюдения и удалённого управления. Каналы управления и контроля (C2) охватывают HTTPS, Discord и Telegram, обеспечивая отказоустойчивость даже при отключении одного из каналов.

Для операций через Telegram TAMECAT извлекает и выполняет код PowerShell, передаваемый ботом под управлением злоумышленников. Командный сервер на базе Discord использует веб-хук, который отправляет данные о системе и получает команды по предопределенному каналу. Анализ показывает, что команды могут быть настроены для каждого зараженного хоста, что позволяет координировать действия против нескольких целей через общую инфраструктуру.

Возможности, поддерживающие глубокий шпионаж

TAMECAT предлагает широкий набор функций для сбора разведывательной информации. Среди них:

  • Сбор и извлечение данных
  • Сбор файлов с указанными расширениями
  • Извлечение данных из почтовых ящиков Google Chrome, Microsoft Edge и Outlook
  • Выполнение непрерывного захвата скриншотов каждые 15 секунд
  • Извлечение собранной информации через HTTPS или FTP
  • Меры скрытности и уклонения
  • Шифрование телеметрии и полезных данных
  • Обфускация исходного кода PowerShell
  • Использование двоичных файлов, созданных на основе неземных технологий, для смешивания вредоносных действий с нормальным поведением системы
  • Выполнение преимущественно в памяти для минимизации артефактов на диске

Устойчивая и замаскированная инфраструктура

Инфраструктура, поддерживающая SpearSpecter, объединяет системы, контролируемые злоумышленниками, с легитимными облачными сервисами для сокрытия вредоносной активности. Этот гибридный подход обеспечивает беспроблемный первоначальный взлом, надежную связь с командным сервером (C2) и скрытое извлечение данных. Операционная схема отражает намерение злоумышленника долгосрочно проникнуть в ценные сети, сохраняя при этом минимальную уязвимость.

Заключение

Кампания SpearSpecter подчёркивает постоянное совершенствование шпионских операций APT42, сочетая долгосрочную социальную инженерию, адаптивное вредоносное ПО и надёжную инфраструктуру для достижения разведывательных целей. Её постоянный и целенаправленный характер подвергает чиновников, военнослужащих и связанных с ними лиц постоянному риску, что подчёркивает необходимость повышенной бдительности и строгого соблюдения правил безопасности на всех каналах связи.


В тренде

ЭлектронныйЛичный

Вредоносное ПО для Mac, Рекламное ПО, Потенциально нежелательные программы
В ходе комплексного анализа приложений, обладающих потенциальной навязчивостью и ненадежностью, исследователи наткнулись на приложение ElectronicPersonal. После тщательного изучения они...

Наиболее просматриваемые

Загрузка...