Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại Cửa sau TAMECAT

Cửa sau TAMECAT

Đến năm Mezo năm Phần mềm độc hại, Mối đe dọa dai dẳng nâng cao (APT), Cửa sau
Dịch sang:

Một làn sóng hoạt động gián điệp liên quan đến nhóm APT42, được Iran hậu thuẫn, đã nổi lên, với các nhà phân tích quan sát thấy một nỗ lực tập trung nhắm vào các cá nhân và tổ chức có liên quan đến lợi ích của Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC). Được phát hiện vào đầu tháng 9 năm 2025 và được đặt mật danh SpearSpecter, chiến dịch này cho thấy sự kết hợp tinh vi giữa kỹ thuật xã hội và triển khai phần mềm độc hại được thiết kế riêng nhằm thu thập thông tin tình báo.

Chiến lược nhắm mục tiêu mở rộng

Những kẻ đứng sau chiến dịch này đã nhắm trực tiếp vào các quan chức chính phủ và quốc phòng cấp cao, sử dụng các phương pháp tiếp cận được cá nhân hóa cao để lôi kéo họ vào cuộc. Lời mời tham dự các hội nghị quan trọng và lời mời tham gia các cuộc họp có ảnh hưởng là những chiêu trò phổ biến. Một đặc điểm nổi bật của hoạt động này là việc mở rộng nhóm nạn nhân, bao gồm cả thành viên gia đình, gia tăng áp lực và mở rộng phạm vi tấn công xung quanh các mục tiêu chính.

Nguồn gốc và sự tiến hóa của APT42

APT42 đã công khai báo cáo vào cuối năm 2022, ngay sau khi các nhà nghiên cứu liên kết nó với nhiều nhóm liên quan đến IRGC. Trong số đó có các nhóm nổi tiếng như APT35, Charming Kitten, ITG18, Mint Sandstorm và TA453, cùng nhiều nhóm khác. Điểm đặc trưng trong hoạt động của nhóm này là khả năng duy trì các hoạt động tấn công kỹ thuật xã hội kéo dài, đôi khi kéo dài hàng tuần, đồng thời mạo danh các liên hệ đáng tin cậy để tạo uy tín trước khi phát tán các nội dung độc hại hoặc liên kết độc hại.

Đầu tháng 6 năm 2025, các chuyên gia đã phát hiện ra một chiến dịch lớn khác nhắm vào các chuyên gia công nghệ và an ninh mạng Israel. Trong trường hợp này, những kẻ tấn công đã giả danh giám đốc điều hành và nhà nghiên cứu trong cả email và WhatsApp. Mặc dù có liên quan, hoạt động tháng 6 và SpearSpecter xuất phát từ hai nhóm nội bộ khác nhau của APT42—nhóm B tập trung vào đánh cắp thông tin đăng nhập, trong khi nhóm D tập trung vào các cuộc xâm nhập do phần mềm độc hại gây ra.

Chiến thuật lừa dối cá nhân

Cốt lõi của SpearSpecter là một phương pháp tấn công linh hoạt, được xây dựng dựa trên giá trị của mục tiêu và mục tiêu của kẻ tấn công. Một số nạn nhân bị chuyển hướng đến các cổng thông tin họp giả mạo được thiết kế để thu thập thông tin đăng nhập. Những nạn nhân khác phải đối mặt với một phương pháp xâm nhập phức tạp hơn, sử dụng một backdoor PowerShell dai dẳng có tên là TAMECAT, một công cụ được nhóm này sử dụng nhiều lần trong những năm gần đây.

Chuỗi tấn công phổ biến bắt đầu bằng việc mạo danh trên WhatsApp, trong đó kẻ tấn công chuyển tiếp một liên kết độc hại tự xưng là tài liệu bắt buộc cho một cuộc giao tranh sắp tới. Nhấp vào liên kết đó sẽ kích hoạt một chuỗi chuyển hướng dẫn đến việc gửi tệp LNK được lưu trữ trên WebDAV được ngụy trang thành PDF, lợi dụng trình xử lý giao thức search-ms: để đánh lừa nạn nhân.

Cửa sau TAMECAT: Mô-đun, Bền bỉ và Thích ứng

Sau khi được thực thi, tệp LNK sẽ kết nối với tên miền phụ Cloudflare Workers do kẻ tấn công vận hành để lấy tập lệnh hàng loạt kích hoạt TAMECAT. Khung dựa trên PowerShell này sử dụng các thành phần mô-đun để hỗ trợ trích xuất dữ liệu, giám sát và quản lý từ xa. Các kênh Chỉ huy và Kiểm soát (C2) của nó trải dài qua HTTPS, Discord và Telegram, đảm bảo khả năng phục hồi ngay cả khi một kênh bị chặn.

Đối với các hoạt động dựa trên Telegram, TAMECAT truy xuất và thực thi mã PowerShell được chuyển tiếp bởi một bot do kẻ tấn công kiểm soát. C2 dựa trên Discord sử dụng webhook để gửi thông tin chi tiết về hệ thống và nhận lệnh từ một kênh được xác định trước. Phân tích cho thấy các lệnh có thể được tùy chỉnh cho từng máy chủ bị nhiễm, cho phép phối hợp hoạt động chống lại nhiều mục tiêu thông qua một cơ sở hạ tầng dùng chung.

Khả năng hỗ trợ gián điệp sâu

TAMECAT cung cấp một bộ tính năng thu thập thông tin tình báo đa dạng. Trong số đó có:

  • Thu thập và trích xuất dữ liệu
  • Thu thập các tập tin có phần mở rộng được chỉ định
  • Trích xuất dữ liệu từ hộp thư Google Chrome, Microsoft Edge và Outlook
  • Thực hiện chụp ảnh màn hình liên tục sau mỗi 15 giây
  • Đánh cắp thông tin thu thập được thông qua HTTPS hoặc FTP
  • Các biện pháp tàng hình và trốn tránh
  • Mã hóa dữ liệu đo từ xa và tải trọng
  • Làm tối mã nguồn PowerShell
  • Sử dụng các nhị phân sống ngoài đất liền để kết hợp các hành động độc hại với hành vi hệ thống bình thường
  • Thực hiện chủ yếu trong bộ nhớ để giảm thiểu các hiện tượng lạ trên đĩa

Cơ sở hạ tầng kiên cường và ngụy trang

Cơ sở hạ tầng hỗ trợ SpearSpecter kết hợp các hệ thống do kẻ tấn công kiểm soát với các dịch vụ đám mây hợp pháp để che giấu hoạt động độc hại. Phương pháp kết hợp này cho phép xâm nhập ban đầu liền mạch, truyền thông C2 bền vững và trích xuất dữ liệu bí mật. Thiết kế hoạt động phản ánh ý định của kẻ tấn công nhằm xâm nhập lâu dài vào các mạng có giá trị cao trong khi vẫn duy trì mức độ phơi nhiễm tối thiểu.

Phần kết luận

Chiến dịch SpearSpecter nhấn mạnh sự tinh vi liên tục của APT42 trong các hoạt động gián điệp, kết hợp kỹ thuật xã hội dài hạn, phần mềm độc hại thích ứng và cơ sở hạ tầng mạnh mẽ để đạt được các mục tiêu tình báo. Bản chất dai dẳng và có mục tiêu cao của nó đặt các quan chức, nhân viên quốc phòng và các cá nhân liên quan vào tình thế nguy hiểm liên tục, củng cố nhu cầu cảnh giác cao độ và đảm bảo an ninh chặt chẽ trên tất cả các kênh truyền thông.

 

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
31,285
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...