Бекдор TAMECAT
З'явилася хвиля шпигунської діяльності, пов'язаної з іранським державним угрупованням APT42, і аналітики спостерігають цілеспрямовані зусилля проти осіб та організацій, пов'язаних з інтересами Корпусу вартових Ісламської революції (КВІР). Виявлена на початку вересня 2025 року та отримала кодову назву SpearSpecter, ця операція демонструє складне поєднання соціальної інженерії та спеціалізованого розгортання шкідливого програмного забезпечення, спрямованого на збір розвідувальних даних.
Зміст
Розширена стратегія таргетування
Організатори цієї кампанії безпосередньо націлилися на високопосадовців уряду та оборони, використовуючи високоперсоналізовані підходи для залучення їх до участі. Запрошення на важливі конференції та пропозиції впливових зустрічей є поширеними приманками. Визначальною рисою цієї діяльності є розширення кола жертв за рахунок членів сімей, що посилює тиск і розширює зону атаки навколо основних цілей.
Витоки та еволюція APT42
APT42 стала публічною відомістю наприкінці 2022 року, невдовзі після того, як дослідники пов'язали її з кількома групами, пов'язаними з КВІР. До них належать такі відомі кластери, як APT35, Charming Kitten, ITG18, Mint Sandstorm та TA453, серед інших. Відмінною рисою групи є її здатність підтримувати тривалі операції соціальної інженерії, які іноді тривають тижнями, видаючи себе за довірених контактів, щоб здобути довіру, перш ніж доставляти шкідливе навантаження або зловмисні посилання.
Раніше, у червні 2025 року, фахівці виявили ще одну масштабну кампанію, спрямовану на ізраїльських фахівців з кібербезпеки та технологій. У цьому випадку зловмисники видавали себе за керівників та дослідників як у листуванні електронною поштою, так і в повідомленнях WhatsApp. Хоча червнева активність та SpearSpecter пов'язані між собою, вони походять від двох різних внутрішніх кластерів APT42 — кластер B зосереджений на крадіжці облікових даних, тоді як кластер D зосереджений на вторгненнях, спричинених шкідливим програмним забезпеченням.
Персоналізовані тактики обману
В основі SpearSpecter лежить гнучка методологія атаки, що формується навколо цінності цілі та цілей операторів. Деяких жертв перенаправляють на підроблені портали зустрічей, розроблені для збору облікових даних. Інші стикаються з більш нав'язливим підходом, який передбачає використання постійного бекдору PowerShell під назвою TAMECAT – інструменту, який група неодноразово використовувала в останні роки.
Звичайні ланцюги атак починаються з імперсонації в WhatsApp, де зловмисник пересилає шкідливе посилання, яке стверджує, що є необхідним документом для майбутньої взаємодії. Натискання на нього запускає послідовність перенаправлення, яка призводить до доставки файлу LNK, розміщеного на WebDAV, замаскованого під PDF, використовуючи обробник протоколу search-ms: для обману жертви.
Бекдор TAMECAT: модульний, стійкий та адаптивний
Після виконання файл LNK підключається до піддомену Cloudflare Workers, яким керує зловмисник, для отримання пакетного скрипта, який активує TAMECAT. Цей фреймворк на основі PowerShell використовує модульні компоненти для підтримки вилучення, спостереження та віддаленого керування. Його канали командування та управління (C2) охоплюють HTTPS, Discord та Telegram, забезпечуючи стійкість навіть за умови блокування одного каналу.
Для операцій на основі Telegram TAMECAT отримує та виконує код PowerShell, що передається ботом під контролем зловмисників. C2 на основі Discord використовує вебхук, який надсилає системні відомості та отримує команди з попередньо визначеного каналу. Аналіз показує, що команди можна налаштовувати для кожного зараженого хоста, що дозволяє скоординувати дії проти кількох цілей через спільну інфраструктуру.
Можливості, що підтримують глибоке шпигунство
TAMECAT пропонує широкий набір функцій збору розвідувальних даних. Серед них:
- Збір та вилучення даних
- Збір файлів із заданими розширеннями
- Вилучення даних з поштових скриньок Google Chrome, Microsoft Edge та Outlook
- Виконання безперервного знімка екрана кожні 15 секунд
- Вилучення зібраної інформації через HTTPS або FTP
- Заходи прихованості та ухилення
- Шифрування телеметрії та корисних навантажень
- Заплутування вихідного коду PowerShell
- Використання бінарних файлів, що живуть поза межами землі, для поєднання шкідливих дій зі звичайною поведінкою системи
- Виконання переважно в пам'яті для мінімізації артефактів диска
Стійка та замаскована інфраструктура
Інфраструктура, що підтримує SpearSpecter, поєднує системи, контрольовані зловмисниками, з легітимними хмарними сервісами для приховування шкідливої активності. Цей гібридний підхід забезпечує безперешкодне початкове компрометування, надійний зв'язок C2 та приховане вилучення даних. Операційна структура відображає намір зловмисника на довгострокове проникнення у цінні мережі, зберігаючи при цьому мінімальний вплив.
Висновок
Кампанія SpearSpecter підкреслює постійне вдосконалення APT42 шпигунських операцій, поєднуючи довгострокову соціальну інженерію, адаптивне шкідливе програмне забезпечення та надійну інфраструктуру для досягнення цілей розвідки. Її постійний та цілеспрямований характер наражає посадовців, військовослужбовців та пов'язаних з ними осіб на постійну небезпеку, що підсилює необхідність підвищеної пильності та суворої гігієни безпеки на всіх каналах зв'язку.
