TAMECAT பின்னணி

ஈரானிய அரசுடன் இணைந்த குழுவான APT42 உடன் தொடர்புடைய உளவு நடவடிக்கைகளின் அலை ஒன்று உருவாகியுள்ளது, ஆய்வாளர்கள் இஸ்லாமிய புரட்சிகர காவல்படையின் (IRGC) நலன்களுடன் தொடர்புடைய தனிநபர்கள் மற்றும் அமைப்புகளுக்கு எதிராக ஒரு கவனம் செலுத்தும் முயற்சியைக் கவனிக்கின்றனர். செப்டம்பர் 2025 தொடக்கத்தில் கண்டறியப்பட்டு ஸ்பியர்ஸ்பெக்டர் என்ற குறியீட்டுப் பெயர் சூட்டப்பட்ட இந்த நடவடிக்கை, உளவுத்துறை சேகரிப்பை நோக்கமாகக் கொண்ட சமூக பொறியியல் மற்றும் வடிவமைக்கப்பட்ட தீம்பொருள் பயன்பாடு ஆகியவற்றின் அதிநவீன கலவையை நிரூபிக்கிறது.

ஒரு விரிவான இலக்கு உத்தி

இந்தப் பிரச்சாரத்தின் பின்னணியில் உள்ளவர்கள், மூத்த அரசு மற்றும் பாதுகாப்பு அதிகாரிகளை நேரடியாக இலக்காகக் கொண்டு, அவர்களை ஈடுபாட்டிற்கு இழுக்க மிகவும் தனிப்பயனாக்கப்பட்ட அணுகுமுறைகளைப் பயன்படுத்துகின்றனர். முக்கிய மாநாடுகளுக்கான அழைப்புகள் மற்றும் செல்வாக்கு மிக்க கூட்டங்களுக்கான சலுகைகள் பொதுவான கவர்ச்சிகளாகும். இந்த செயல்பாட்டின் ஒரு வரையறுக்கும் பண்பு, குடும்ப உறுப்பினர்களைச் சேர்க்க பாதிக்கப்பட்டவர்களின் குழுவை விரிவுபடுத்துதல், அழுத்தத்தை அதிகரித்தல் மற்றும் முதன்மை இலக்குகளைச் சுற்றி தாக்குதல் மேற்பரப்பை விரிவுபடுத்துதல் ஆகும்.

APT42 இன் தோற்றம் மற்றும் பரிணாமம்

2022 ஆம் ஆண்டின் பிற்பகுதியில், ஆராய்ச்சியாளர்கள் APT42 ஐ பல IRGC-தொடர்புடைய குழுக்களுடன் இணைத்த சிறிது நேரத்திலேயே, பொது அறிக்கையிடலில் நுழைந்தது. இவற்றில் APT35, Charming Kitten, ITG18, Mint Sandstorm மற்றும் TA453 போன்ற நன்கு அறியப்பட்ட கிளஸ்டர்கள் அடங்கும். குழுவின் செயல்பாட்டு வர்த்தக முத்திரை நீண்டகால சமூக பொறியியல் செயல்பாடுகளைத் தக்கவைத்துக்கொள்ளும் திறன் ஆகும், சில நேரங்களில் வாரங்கள் நீடிக்கும், அதே நேரத்தில் தீங்கு விளைவிக்கும் பேலோடுகள் அல்லது தீங்கிழைக்கும் இணைப்புகளை வழங்குவதற்கு முன்பு நம்பகத்தன்மையைப் பெற நம்பகமான தொடர்புகளைப் போல ஆள்மாறாட்டம் செய்கிறது.

ஜூன் 2025 இன் தொடக்கத்தில், இஸ்ரேலிய சைபர் பாதுகாப்பு மற்றும் தொழில்நுட்ப நிபுணர்களை இலக்காகக் கொண்ட மற்றொரு பெரிய பிரச்சாரத்தை நிபுணர்கள் கண்டுபிடித்தனர். அந்த வழக்கில், தாக்குதல் நடத்தியவர்கள் மின்னஞ்சல் மற்றும் வாட்ஸ்அப் தகவல்தொடர்புகளில் நிர்வாகிகள் மற்றும் ஆராய்ச்சியாளர்களாகக் காட்டிக் கொண்டனர். தொடர்புடையதாக இருந்தாலும், ஜூன் செயல்பாடும் ஸ்பியர்ஸ்பெக்டரும் APT42 இன் இரண்டு வெவ்வேறு உள் கிளஸ்டர்களிலிருந்து உருவாகின்றன - கிளஸ்டர் B நற்சான்றிதழ் திருட்டில் கவனம் செலுத்துகிறது, அதே நேரத்தில் கிளஸ்டர் D தீம்பொருள் சார்ந்த ஊடுருவல்களை மையமாகக் கொண்டுள்ளது.

தனிப்பயனாக்கப்பட்ட ஏமாற்று தந்திரங்கள்

ஸ்பியர்ஸ்பெக்டரின் மையத்தில் இலக்கின் மதிப்பு மற்றும் ஆபரேட்டர்களின் நோக்கங்களைச் சுற்றி வடிவமைக்கப்பட்ட ஒரு நெகிழ்வான தாக்குதல் முறை உள்ளது. சில பாதிக்கப்பட்டவர்கள் சான்றுகளை சேகரிக்க வடிவமைக்கப்பட்ட போலி சந்திப்பு போர்டல்களுக்கு திருப்பி விடப்படுகிறார்கள். மற்றவர்கள் TAMECAT எனப்படும் தொடர்ச்சியான பவர்ஷெல் பின்கதவை வழங்கும் மிகவும் ஊடுருவும் அணுகுமுறையை எதிர்கொள்கின்றனர், இது சமீபத்திய ஆண்டுகளில் குழுவால் மீண்டும் மீண்டும் பயன்படுத்தப்படும் ஒரு கருவியாகும்.

பொதுவான தாக்குதல் சங்கிலிகள் வாட்ஸ்அப்பில் ஆள்மாறாட்டத்துடன் தொடங்குகின்றன, அங்கு எதிரி வரவிருக்கும் நிச்சயதார்த்தத்திற்குத் தேவையான ஆவணம் என்று கூறி ஒரு தீங்கிழைக்கும் இணைப்பை அனுப்புகிறார். அதைக் கிளிக் செய்வதன் மூலம் ஒரு திருப்பிவிடல் வரிசையைத் தூண்டுகிறது, இதன் விளைவாக PDF ஆக மாறுவேடமிட்டு WebDAV-ஹோஸ்ட் செய்யப்பட்ட LNK கோப்பு வழங்கப்படுகிறது, இது பாதிக்கப்பட்டவரை ஏமாற்ற தேடல்-ms: நெறிமுறை கையாளுபவரைப் பயன்படுத்துகிறது.

TAMECAT பின்னணி: மட்டு, நிலையான மற்றும் தகவமைப்பு

செயல்படுத்தப்பட்டதும், LNK கோப்பு, TAMECAT ஐ செயல்படுத்தும் ஒரு தொகுதி ஸ்கிரிப்டைப் பெற, தாக்குபவர் இயக்கும் Cloudflare Workers துணை டொமைனுடன் இணைகிறது. இந்த PowerShell-அடிப்படையிலான கட்டமைப்பானது வெளியேற்றம், கண்காணிப்பு மற்றும் தொலை மேலாண்மையை ஆதரிக்க மட்டு கூறுகளைப் பயன்படுத்துகிறது. அதன் கட்டளை-மற்றும்-கட்டுப்பாட்டு (C2) சேனல்கள் HTTPS, Discord மற்றும் Telegram வரை பரவி, ஒரு வழி மூடப்பட்டாலும் கூட மீள்தன்மையை உறுதி செய்கிறது.

டெலிகிராம் அடிப்படையிலான செயல்பாடுகளுக்கு, தாக்குபவர்களின் கட்டுப்பாட்டின் கீழ் உள்ள ஒரு பாட் மூலம் அனுப்பப்படும் பவர்ஷெல் குறியீட்டை TAMECAT மீட்டெடுத்து செயல்படுத்துகிறது. டிஸ்கார்ட் அடிப்படையிலான C2, முன் வரையறுக்கப்பட்ட சேனலில் இருந்து கணினி விவரங்களை அனுப்பும் மற்றும் கட்டளைகளைப் பெறும் ஒரு வெப்ஹூக்கைப் பயன்படுத்துகிறது. பாதிக்கப்பட்ட ஹோஸ்டுக்கு கட்டளைகளைத் தனிப்பயனாக்கலாம், பகிரப்பட்ட உள்கட்டமைப்பு வழியாக பல இலக்குகளுக்கு எதிராக ஒருங்கிணைந்த செயல்பாட்டை செயல்படுத்தலாம் என்று பகுப்பாய்வு கூறுகிறது.

ஆழ்ந்த உளவுத்துறையை ஆதரிக்கும் திறன்கள்

TAMECAT பல்வேறு வகையான புலனாய்வுச் சேகரிப்பு அம்சங்களை வழங்குகிறது. அவற்றில்:

• தரவு சேகரிப்பு மற்றும் பிரித்தெடுத்தல்
• குறிப்பிட்ட நீட்டிப்புகளுடன் கோப்புகளை அறுவடை செய்தல்
• கூகிள் குரோம், மைக்ரோசாஃப்ட் எட்ஜ் மற்றும் அவுட்லுக் அஞ்சல் பெட்டிகளிலிருந்து தரவைப் பிரித்தெடுத்தல்
• ஒவ்வொரு 15 வினாடிகளுக்கும் தொடர்ச்சியான ஸ்கிரீன்ஷாட் பிடிப்பைச் செய்கிறது.
• சேகரிக்கப்பட்ட தகவல்களை HTTPS அல்லது FTP மூலம் வெளியேற்றுதல்
• திருட்டுத்தனம் மற்றும் ஏய்ப்பு நடவடிக்கைகள்
• டெலிமெட்ரி மற்றும் பேலோடுகளை குறியாக்கம் செய்தல்
• குழப்பமான பவர்ஷெல் மூலக் குறியீடு
• தீங்கிழைக்கும் செயல்களை இயல்பான அமைப்பு நடத்தையுடன் கலக்க நிலத்திற்கு வெளியே வாழும் பைனரிகளைப் பயன்படுத்துதல்.
• வட்டு கலைப்பொருட்களைக் குறைக்க முதன்மையாக நினைவகத்தில் செயல்படுத்துதல்.

ஒரு நெகிழ்திறன் மற்றும் மறைக்கப்பட்ட உள்கட்டமைப்பு

ஸ்பியர்ஸ்பெக்டரை ஆதரிக்கும் உள்கட்டமைப்பு, தீங்கிழைக்கும் செயல்பாட்டை மறைக்க, தாக்குதல் நடத்துபவர் கட்டுப்படுத்தும் அமைப்புகளை முறையான கிளவுட் சேவைகளுடன் கலக்கிறது. இந்த கலப்பின அணுகுமுறை தடையற்ற ஆரம்ப சமரசம், நீடித்த C2 தகவல்தொடர்புகள் மற்றும் இரகசிய தரவு பிரித்தெடுத்தல் ஆகியவற்றை அனுமதிக்கிறது. செயல்பாட்டு வடிவமைப்பு, குறைந்தபட்ச வெளிப்பாட்டைப் பராமரிக்கும் அதே வேளையில், அதிக மதிப்புள்ள நெட்வொர்க்குகளின் நீண்டகால ஊடுருவலில் அச்சுறுத்தல் நடிகரின் நோக்கத்தை பிரதிபலிக்கிறது.

முடிவுரை

ஸ்பியர்ஸ்பெக்டர் பிரச்சாரம், APT42 இன் உளவு நடவடிக்கைகளில் தொடர்ச்சியான சுத்திகரிப்பு, நீண்டகால சமூக பொறியியல், தகவமைப்பு தீம்பொருள் மற்றும் வலுவான உள்கட்டமைப்பு ஆகியவற்றை இணைத்து, உளவுத்துறை நோக்கங்களை மேம்படுத்துவதை அடிக்கோடிட்டுக் காட்டுகிறது. அதன் தொடர்ச்சியான மற்றும் அதிக இலக்கு வைக்கப்பட்ட தன்மை அதிகாரிகள், பாதுகாப்புப் பணியாளர்கள் மற்றும் தொடர்புடைய நபர்களை தொடர்ந்து ஆபத்தில் ஆழ்த்துகிறது, அனைத்து தகவல் தொடர்பு சேனல்களிலும் அதிகரித்த விழிப்புணர்வு மற்றும் வலுவான பாதுகாப்பு சுகாதாரத்தின் தேவையை வலுப்படுத்துகிறது.