TIMECAT బ్యాక్‌డోర్

ఇరాన్ ప్రభుత్వ అనుబంధ సంస్థ APT42తో ముడిపడి ఉన్న గూఢచర్య కార్యకలాపాల అల వెలుగులోకి వచ్చింది, ఇస్లామిక్ రివల్యూషనరీ గార్డ్ కార్ప్స్ (IRGC) ప్రయోజనాలతో ముడిపడి ఉన్న వ్యక్తులు మరియు సంస్థలపై దృష్టి సారించిన ప్రయత్నాన్ని విశ్లేషకులు గమనిస్తున్నారు. సెప్టెంబర్ 2025 ప్రారంభంలో కనుగొనబడింది మరియు స్పియర్‌స్పెక్టర్ అనే సంకేతనామం కేటాయించబడింది, ఈ ఆపరేషన్ సోషల్ ఇంజనీరింగ్ మరియు ఇంటెలిజెన్స్ సేకరణను లక్ష్యంగా చేసుకుని రూపొందించిన మాల్వేర్ విస్తరణ యొక్క అధునాతన మిశ్రమాన్ని ప్రదర్శిస్తుంది.

విస్తృత లక్ష్య వ్యూహం

ఈ ప్రచారం వెనుక ఉన్న నిర్వాహకులు సీనియర్ ప్రభుత్వ మరియు రక్షణ అధికారులను నేరుగా లక్ష్యంగా చేసుకుని, వారిని నిమగ్నం చేయడానికి అత్యంత వ్యక్తిగతీకరించిన విధానాలను ఉపయోగిస్తున్నారు. ప్రముఖ సమావేశాలకు ఆహ్వానాలు మరియు ప్రభావవంతమైన సమావేశాల ఆఫర్లు సాధారణ ఆకర్షణలు. ఈ కార్యకలాపాల యొక్క నిర్వచించే లక్షణం ఏమిటంటే కుటుంబ సభ్యులను చేర్చడానికి బాధితుల సమూహాన్ని విస్తరించడం, ఒత్తిడిని పెంచడం మరియు ప్రాథమిక లక్ష్యాల చుట్టూ దాడి ఉపరితలాన్ని విస్తరించడం.

APT42 యొక్క మూలాలు మరియు పరిణామం

2022 చివరిలో APT42 పబ్లిక్ రిపోర్టింగ్‌లోకి ప్రవేశించింది, పరిశోధకులు దీనిని బహుళ IRGC-అనుబంధ సమూహాలకు లింక్ చేసిన కొద్దికాలానికే. వీటిలో APT35, చార్మింగ్ కిట్టెన్, ITG18, మింట్ సాండ్‌స్టార్మ్ మరియు TA453 వంటి ప్రసిద్ధ క్లస్టర్‌లు ఉన్నాయి. హానికరమైన పేలోడ్‌లను లేదా హానికరమైన లింక్‌లను అందించే ముందు విశ్వసనీయతను పొందడానికి విశ్వసనీయ పరిచయాలను అనుకరిస్తూ, దీర్ఘకాలిక సోషల్ ఇంజనీరింగ్ కార్యకలాపాలను, కొన్నిసార్లు వారాల పాటు కొనసాగించగల సామర్థ్యం ఈ సమూహం యొక్క కార్యాచరణ ట్రేడ్‌మార్క్.

జూన్ 2025 ప్రారంభంలో, నిపుణులు ఇజ్రాయెల్ సైబర్ సెక్యూరిటీ మరియు టెక్నాలజీ నిపుణులను లక్ష్యంగా చేసుకుని మరో ప్రధాన ప్రచారాన్ని కనుగొన్నారు. ఆ సందర్భంలో, దాడి చేసినవారు ఇమెయిల్ మరియు వాట్సాప్ కమ్యూనికేషన్లలో ఎగ్జిక్యూటివ్‌లు మరియు పరిశోధకులుగా నటించారు. సంబంధితంగా ఉన్నప్పటికీ, జూన్ కార్యాచరణ మరియు స్పియర్‌స్పెక్టర్ APT42 యొక్క రెండు వేర్వేరు అంతర్గత క్లస్టర్‌ల నుండి వచ్చాయి - క్లస్టర్ B ఆధారాల దొంగతనంపై దృష్టి సారించింది, అయితే క్లస్టర్ D మాల్వేర్-ఆధారిత చొరబాట్లపై కేంద్రీకృతమై ఉంది.

వ్యక్తిగతీకరించిన మోసపూరిత వ్యూహాలు

స్పియర్‌స్పెక్టర్ యొక్క ప్రధాన లక్ష్యం లక్ష్యం యొక్క విలువ మరియు ఆపరేటర్ల లక్ష్యాల చుట్టూ రూపొందించబడిన ఒక సరళమైన దాడి పద్దతి. కొంతమంది బాధితులు ఆధారాలను సేకరించడానికి రూపొందించబడిన నకిలీ సమావేశ పోర్టల్‌లకు దారి మళ్లించబడతారు. మరికొందరు TAMECAT అనే నిరంతర పవర్‌షెల్ బ్యాక్‌డోర్‌ను అందించే మరింత చొరబాటు విధానాన్ని ఎదుర్కొంటారు, ఈ సాధనాన్ని ఇటీవలి సంవత్సరాలలో సమూహం పదేపదే ఉపయోగిస్తుంది.

సాధారణ దాడి గొలుసులు వాట్సాప్‌లో అనుకరణతో ప్రారంభమవుతాయి, ఇక్కడ ప్రత్యర్థి రాబోయే నిశ్చితార్థానికి అవసరమైన పత్రం అని చెప్పుకునే హానికరమైన లింక్‌ను ఫార్వార్డ్ చేస్తాడు. దానిపై క్లిక్ చేయడం వలన దారిమార్పు క్రమాన్ని ప్రేరేపిస్తుంది, దీని ఫలితంగా PDF వలె మారువేషంలో ఉన్న WebDAV-హోస్ట్ చేసిన LNK ఫైల్ డెలివరీ అవుతుంది, బాధితుడిని మోసం చేయడానికి శోధన-ms: ప్రోటోకాల్ హ్యాండ్లర్‌ను ఉపయోగిస్తుంది.

TAMECAT బ్యాక్‌డోర్: మాడ్యులర్, పెర్సిస్టెంట్ మరియు అడాప్టివ్

అమలు చేసిన తర్వాత, LNK ఫైల్ TAMECATని సక్రియం చేసే బ్యాచ్ స్క్రిప్ట్‌ను పొందడానికి దాడి చేసేవారు నిర్వహించే క్లౌడ్‌ఫ్లేర్ వర్కర్స్ సబ్‌డొమైన్‌కు కనెక్ట్ అవుతుంది. ఈ పవర్‌షెల్-ఆధారిత ఫ్రేమ్‌వర్క్ ఎక్స్‌ఫిల్ట్రేషన్, నిఘా మరియు రిమోట్ నిర్వహణకు మద్దతు ఇవ్వడానికి మాడ్యులర్ భాగాలను ఉపయోగిస్తుంది. దీని కమాండ్-అండ్-కంట్రోల్ (C2) ఛానెల్‌లు HTTPS, డిస్కార్డ్ మరియు టెలిగ్రామ్‌లను విస్తరించి, ఒక మార్గం మూసివేయబడినప్పుడు కూడా స్థితిస్థాపకతను నిర్ధారిస్తాయి.

టెలిగ్రామ్ ఆధారిత కార్యకలాపాల కోసం, దాడి చేసేవారి నియంత్రణలో ఉన్న బాట్ ద్వారా ప్రసారం చేయబడిన పవర్‌షెల్ కోడ్‌ను TAMECAT తిరిగి పొందుతుంది మరియు అమలు చేస్తుంది. డిస్కార్డ్ ఆధారిత C2 వెబ్‌హుక్‌ను ఉపయోగిస్తుంది, ఇది సిస్టమ్ వివరాలను పంపుతుంది మరియు ముందే నిర్వచించిన ఛానెల్ నుండి ఆదేశాలను స్వీకరిస్తుంది. విశ్లేషణ ప్రకారం, సంక్రమణకు సంబంధించిన హోస్ట్‌కు ఆదేశాలను అనుకూలీకరించవచ్చు, భాగస్వామ్య మౌలిక సదుపాయాల ద్వారా బహుళ లక్ష్యాలకు వ్యతిరేకంగా సమన్వయ కార్యాచరణను అనుమతిస్తుంది.

లోతైన గూఢచర్యానికి మద్దతు ఇచ్చే సామర్థ్యాలు

TAMECAT విస్తృత శ్రేణి నిఘా-సేకరణ లక్షణాలను అందిస్తుంది. వాటిలో:

• డేటా సేకరణ మరియు సంగ్రహణ
• పేర్కొన్న పొడిగింపులతో ఫైళ్ళను సేకరించడం
• Google Chrome, Microsoft Edge మరియు Outlook మెయిల్‌బాక్స్‌ల నుండి డేటాను సంగ్రహిస్తోంది
• ప్రతి 15 సెకన్లకు నిరంతర స్క్రీన్‌షాట్ క్యాప్చర్‌ను నిర్వహిస్తోంది
• సేకరించిన సమాచారాన్ని HTTPS లేదా FTP ద్వారా బయటకు పంపడం
• దొంగతనం మరియు ఎగవేత చర్యలు
• టెలిమెట్రీ మరియు పేలోడ్‌లను గుప్తీకరించడం
• పవర్‌షెల్ సోర్స్ కోడ్‌ను అస్పష్టం చేస్తోంది
• హానికరమైన చర్యలను సాధారణ వ్యవస్థ ప్రవర్తనతో కలపడానికి భూమికి దూరంగా నివసించే బైనరీలను ఉపయోగించడం.
• డిస్క్ కళాఖండాలను తగ్గించడానికి ప్రధానంగా మెమరీలో అమలు చేయడం

స్థితిస్థాపకమైన మరియు మభ్యపెట్టే మౌలిక సదుపాయాలు

స్పియర్‌స్పెక్టర్‌కు మద్దతు ఇచ్చే మౌలిక సదుపాయాలు దాడి చేసేవారి-నియంత్రిత వ్యవస్థలను చట్టబద్ధమైన క్లౌడ్ సేవలతో కలిపి హానికరమైన కార్యకలాపాలను అస్పష్టం చేస్తాయి. ఈ హైబ్రిడ్ విధానం సజావుగా ప్రారంభ రాజీ, మన్నికైన C2 కమ్యూనికేషన్‌లు మరియు రహస్య డేటా వెలికితీతను అనుమతిస్తుంది. కార్యాచరణ రూపకల్పన తక్కువ ఎక్స్‌పోజర్‌ను కొనసాగిస్తూ అధిక-విలువ నెట్‌వర్క్‌ల దీర్ఘకాలిక చొరబాటుపై ముప్పు కలిగించే వ్యక్తి ఉద్దేశాన్ని ప్రతిబింబిస్తుంది.

ముగింపు

స్పియర్‌స్పెక్టర్ ప్రచారం APT42 యొక్క గూఢచర్య కార్యకలాపాలలో కొనసాగుతున్న మెరుగుదలను నొక్కి చెబుతుంది, దీర్ఘకాలిక సోషల్ ఇంజనీరింగ్, అడాప్టివ్ మాల్వేర్ మరియు బలమైన మౌలిక సదుపాయాలను కలిపి నిఘా లక్ష్యాలను ముందుకు తీసుకెళ్లడానికి సహాయపడుతుంది. దీని నిరంతర మరియు అత్యంత లక్ష్యంగా ఉన్న స్వభావం అధికారులు, రక్షణ సిబ్బంది మరియు అనుబంధ వ్యక్తులను నిరంతర ప్రమాదంలో ఉంచుతుంది, అన్ని కమ్యూనికేషన్ మార్గాలలో అధిక నిఘా మరియు బలమైన భద్రతా పరిశుభ్రత అవసరాన్ని బలోపేతం చేస్తుంది.