Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kötü amaçlı yazılım TAMECAT Arka Kapısı

TAMECAT Arka Kapısı

Mezo'de Kötü amaçlı yazılım, Gelişmiş Sürekli Tehdit (APT), Arka kapılar'de
Çevir:

İran devlet bağlantılı APT42 grubuyla bağlantılı bir casusluk faaliyeti dalgası ortaya çıktı ve analistler, İslam Devrim Muhafızları Ordusu'nun (DMO) çıkarlarıyla bağlantılı kişi ve kuruluşlara yönelik yoğun bir çaba gözlemliyor. Eylül 2025 başlarında tespit edilen ve SpearSpecter kod adıyla anılan bu operasyon, sosyal mühendislik ve istihbarat toplamayı amaçlayan özel kötü amaçlı yazılım dağıtımının karmaşık bir karışımını ortaya koyuyor.

Genişletilmiş Hedefleme Stratejisi

Bu kampanyanın arkasındaki kişiler, üst düzey hükümet ve savunma yetkililerini doğrudan hedef alarak, onları etkileşime çekmek için son derece kişiselleştirilmiş yaklaşımlar kullanmıştır. Önemli konferanslara davetler ve etkili toplantı teklifleri yaygın birer tuzaktır. Bu faaliyetin belirleyici bir özelliği, mağdur havuzunun aile üyelerini de içerecek şekilde genişletilmesi, baskının artırılması ve birincil hedefler etrafındaki saldırı alanının genişletilmesidir.

APT42’nin Kökenleri ve Evrimi

APT42, araştırmacıların onu Devrim Muhafızları Ordusu ile bağlantılı birden fazla grupla ilişkilendirmesinden kısa bir süre sonra, 2022'nin sonlarında kamuoyuna duyuruldu. Bunlar arasında APT35, Charming Kitten, ITG18, Mint Sandstorm ve TA453 gibi tanınmış gruplar da yer alıyor. Grubun operasyonel ayırt edici özelliği, zararlı yükler veya kötü amaçlı bağlantılar göndermeden önce güvenilirlik kazanmak için güvenilir kişileri taklit ederek, bazen haftalarca süren uzun süreli sosyal mühendislik operasyonlarını sürdürebilme becerisidir.

Haziran 2025'in başlarında, uzmanlar İsrailli siber güvenlik ve teknoloji profesyonellerini hedef alan başka bir büyük saldırıyı ortaya çıkardı. Bu vakada, saldırganlar hem e-posta hem de WhatsApp iletişimlerinde yönetici ve araştırmacı olarak poz vermişlerdi. Her ne kadar birbiriyle ilişkili olsa da, Haziran etkinliği ve SpearSpecter, APT42'nin iki farklı dahili kümesinden kaynaklanıyor: B kümesi kimlik bilgisi hırsızlığına odaklanırken, D kümesi kötü amaçlı yazılım kaynaklı saldırılara odaklanıyor.

Kişiselleştirilmiş Aldatma Taktikleri

SpearSpecter'ın temelinde, hedefin değeri ve operatörlerin hedefleri etrafında şekillenen esnek bir saldırı metodolojisi yatıyor. Bazı kurbanlar, kimlik bilgilerini toplamak için tasarlanmış sahte toplantı portallarına yönlendiriliyor. Diğerleri ise, grubun son yıllarda tekrar tekrar kullandığı TAMECAT adlı kalıcı bir PowerShell arka kapısı sunan daha müdahaleci bir yaklaşımla karşı karşıya kalıyor.

Yaygın saldırı zincirleri, saldırganın yaklaşan bir çatışma için gerekli bir belge olduğunu iddia eden kötü amaçlı bir bağlantıyı WhatsApp'ta iletmesiyle başlar. Bu bağlantıya tıklandığında, kurbanı aldatmak için search-ms: protokol işleyicisini kullanan, PDF kisvesi altında WebDAV tarafından barındırılan bir LNK dosyasının iletilmesiyle sonuçlanan bir yönlendirme dizisi tetiklenir.

TAMECAT Arka Kapısı: Modüler, Kalıcı ve Uyarlanabilir

LNK dosyası çalıştırıldıktan sonra, TAMECAT'ı etkinleştiren bir toplu iş betiğini almak için saldırgan tarafından yönetilen bir Cloudflare Workers alt etki alanına bağlanır. Bu PowerShell tabanlı çerçeve, sızdırma, gözetim ve uzaktan yönetimi desteklemek için modüler bileşenler kullanır. Komuta ve Kontrol (C2) kanalları HTTPS, Discord ve Telegram'ı kapsayarak, bir yol kapatıldığında bile dayanıklılığı garanti eder.

Telegram tabanlı operasyonlar için TAMECAT, saldırganların kontrolündeki bir bot tarafından iletilen PowerShell kodunu alır ve çalıştırır. Discord tabanlı C2, sistem ayrıntılarını gönderen ve önceden tanımlanmış bir kanaldan komutlar alan bir webhook kullanır. Analizler, komutların enfekte olmuş ana bilgisayara göre özelleştirilebileceğini ve böylece paylaşılan bir altyapı aracılığıyla birden fazla hedefe karşı koordineli bir faaliyet sağlanabileceğini göstermektedir.

Derin Casusluğu Destekleyen Yetenekler

TAMECAT, geniş bir istihbarat toplama özellikleri yelpazesi sunar. Bunlar arasında şunlar yer alır:

  • Veri Toplama ve Çıkarma
  • Belirtilen uzantılara sahip dosyaların toplanması
  • Google Chrome, Microsoft Edge ve Outlook posta kutularından veri çıkarma
  • Her 15 saniyede bir sürekli ekran görüntüsü yakalama işlemi gerçekleştiriliyor
  • Toplanan bilgilerin HTTPS veya FTP aracılığıyla dışarı sızdırılması
  • Gizlilik ve Kaçınma Önlemleri
  • Telemetri ve yüklerin şifrelenmesi
  • PowerShell kaynak kodunun gizlenmesi
  • Kötü amaçlı eylemleri normal sistem davranışıyla birleştirmek için araziden elde edilen ikili dosyaları kullanma
  • Diskteki bozulmaları en aza indirmek için öncelikle bellekte yürütülür

Dayanıklı ve Kamufle Edilmiş Bir Altyapı

SpearSpecter'ı destekleyen altyapı, kötü amaçlı faaliyetleri gizlemek için saldırgan kontrolündeki sistemleri meşru bulut hizmetleriyle birleştirir. Bu hibrit yaklaşım, sorunsuz ilk güvenlik açığı, kalıcı C2 iletişimleri ve gizli veri çıkarımı sağlar. Operasyonel tasarım, minimum düzeyde maruziyet sağlarken yüksek değerli ağlara uzun vadeli sızma niyetinde olan bir tehdit aktörünü yansıtır.

Çözüm

SpearSpecter kampanyası, APT42'nin casusluk operasyonlarını sürekli olarak geliştirerek, istihbarat hedeflerini ilerletmek için uzun vadeli sosyal mühendislik, uyarlanabilir kötü amaçlı yazılım ve sağlam altyapıyı bir araya getirdiğini vurgulamaktadır. Sürekli ve son derece hedef odaklı yapısı, yetkilileri, savunma personelini ve ilgili kişileri sürekli riske atarak, tüm iletişim kanallarında daha yüksek teyakkuz ve güçlü güvenlik hijyeni ihtiyacını pekiştirmektedir.

 

trend

En çok görüntülenen

Yükleniyor...