Попуст за више лиценци
Тхреат Датабасе Малваре TAMECAT задња врата

TAMECAT задња врата

До Mezo. у Малваре, Напредна трајна претња (АПТ), Бацкдоорс
Преведи на:

Појавио се талас шпијунских активности повезаних са иранском државном групом АПТ42, а аналитичари примећују фокусиране напоре против појединаца и организација повезаних са интересима Исламске револуционарне гарде (ИРГЦ). Откривена почетком септембра 2025. године и додељено јој је кодно име SpearSpecter, ова операција демонстрира софистицирану мешавину друштвеног инжењеринга и прилагођеног распоређивања злонамерног софтвера усмереног на прикупљање обавештајних података.

Проширена стратегија циљања

Оператори који стоје иза ове кампање су директно циљали на високе владине и одбрамбене званичнике, користећи високо персонализоване приступе како би их привукли у ангажовање. Позиви на истакнуте конференције и понуде за утицајне састанке су уобичајени мамци. Одлика ове активности је проширење круга жртава како би се укључили чланови породице, повећавајући притисак и ширећи површину напада око примарних мета.

Порекло и еволуција APT42

APT42 је ушла у јавност крајем 2022. године, убрзо након што су је истраживачи повезали са више група повезаних са IRGC-ом. То укључује добро познате кластере као што су APT35, Charming Kitten, ITG18, Mint Sandstorm и TA453, између осталих. Оперативни заштитни знак групе је њена способност да одржава дуготрајне операције социјалног инжењеринга, које понекад трају недељама, док се лажно представља као поуздани контакт како би стекла кредибилитет пре него што испоручи штетне терете или злонамерне линкове.

Раније у јуну 2025. године, стручњаци су открили још једну велику кампању усмерену на израелске стручњаке за сајбер безбедност и технологију. У том случају, нападачи су се представљали као руководиоци и истраживачи и у имејл и у WhatsApp комуникацији. Иако повезане, јунска активност и SpearSpecter потичу из два различита интерна кластера APT42 - кластер Б фокусиран на крађу акредитива, док се кластер Д фокусира на упаде изазване злонамерним софтвером.

Персонализоване тактике обмане

У сржи SpearSpecter-а лежи флексибилна методологија напада обликована око вредности мете и циљева оператера. Неке жртве се преусмеравају на лажне портале за састанке пројектоване за прикупљање акредитива. Друге се суочавају са интрузивнијим приступом који пружа упорни PowerShell бекдор под називом TAMECAT, алат који је група више пута користила последњих година.

Уобичајени ланци напада почињу лажним представљањем на WhatsApp-у, где противник прослеђује злонамерни линк тврдећи да је потребан документ за предстојећи ангажман. Клик на њега покреће секвенцу преусмеравања која резултира испоруком LNK датотеке хостоване на WebDAV-у, прерушене у PDF, користећи обрађивач протокола search-ms: да би обмануо жртву.

TAMECAT задња врата: Модуларна, упорна и адаптивна

Једном извршена, LNK датотека се повезује са поддоменом Cloudflare Workers којим управља нападач како би преузела пакетни скрипт који активира TAMECAT. Овај оквир заснован на PowerShell-у користи модуларне компоненте за подршку извлачењу података, надзору и даљинском управљању. Његови канали за командовање и контролу (C2) обухватају HTTPS, Discord и Telegram, осигуравајући отпорност чак и када је један канал затворен.

За операције засноване на Телеграму, TAMECAT преузима и извршава PowerShell код који преноси бот под контролом нападача. C2 базиран на Discord-у користи вебхук који шаље системске детаље и прима команде са унапред дефинисаног канала. Анализа сугерише да се команде могу прилагодити по зараженом хосту, омогућавајући координисане активности против више мета путем дељене инфраструктуре.

Способности које подржавају дубоку шпијунажу

TAMECAT нуди широк скуп функција за прикупљање обавештајних података. Међу њима су:

  • Прикупљање и екстракција података
  • Прикупљање датотека са одређеним екстензијама
  • Издвајање података из поштанских сандучића у Google Chrome-у, Microsoft Edge-у и Outlook-у
  • Непрекидно снимање екрана сваких 15 секунди
  • Извлачење прикупљених информација путем HTTPS-а или FTP-а
  • Мере прикривености и избегавања
  • Шифровање телеметрије и корисних оптерећења
  • Замагљивање изворног кода PowerShell-а
  • Коришћење бинарних датотека које живе ван земље за комбиновање злонамерних радњи са нормалним понашањем система
  • Извршавање првенствено у меморији ради минимизирања артефаката диска

Отпорна и камуфлирана инфраструктура

Инфраструктура која подржава SpearSpecter комбинује системе које контролишу нападачи са легитимним услугама у облаку како би се прикриле злонамерне активности. Овај хибридни приступ омогућава беспрекорно почетно компромитовање, трајну C2 комуникацију и тајно издвајање података. Оперативни дизајн одражава намеру актера претње да дугорочно инфилтрира мреже високе вредности, уз одржавање минималне изложености.

Закључак

Кампања SpearSpecter наглашава континуирано усавршавање шпијунских операција од стране APT42, комбинујући дугорочни друштвени инжењеринг, адаптивни злонамерни софтвер и робусну инфраструктуру за унапређење обавештајних циљева. Њена упорна и високо циљана природа излаже званичнике, припаднике одбране и повезане појединце сталном ризику, појачавајући потребу за повећаном будношћу и јаком безбедносном хигијеном на свим комуникационим каналима.

 

У тренду

ЕлецтроницПерсонал

Мац малвер, Адваре, Потенцијално нежељени програми
Током свеобухватне анализе апликација са потенцијалном наметљивошћу и непоузданошћу, истраживачи су наишли на ЕлецтроницПерсонал апликацију. Након детаљног прегледа, они су дефинитивно утврдили да...

Најгледанији

Злонамерних програма

Пецање, Спам
31,285
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...