عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة باب خلفي TAMECAT

باب خلفي TAMECAT

بواسطة Mezo في البرمجيات الخبيثة, التهديد المستمر المتقدم (APT), الأبواب الخلفية
ترجمة الى:

ظهرت موجة من أنشطة التجسس المرتبطة بمجموعة APT42 الموالية للدولة الإيرانية، حيث لاحظ المحللون جهودًا مُركّزة ضد أفراد ومنظمات مرتبطة بمصالح الحرس الثوري الإسلامي. اكتُشفت هذه العملية في أوائل سبتمبر 2025، وأُطلق عليها الاسم الرمزي SpearSpecter، وتُظهر مزيجًا مُتطورًا من الهندسة الاجتماعية ونشر برامج ضارة مُصممة خصيصًا لجمع المعلومات الاستخبارية.

استراتيجية استهداف موسعة

استهدف مُشغِّلو هذه الحملة كبار المسؤولين الحكوميين والدفاعيين مباشرةً، مستخدمين أساليب مُصمَّمة خصيصًا لجذبهم إلى التفاعل. وتُعدّ الدعوات لحضور مؤتمرات بارزة وعروض لقاءات مؤثرة من أساليب الإغراء الشائعة. ومن السمات المُميِّزة لهذا النشاط توسُّع دائرة الضحايا لتشمل أفراد العائلة، مما يزيد الضغط، ويوسع نطاق الهجوم حول الأهداف الرئيسية.

أصول وتطور APT42

دخلت مجموعة APT42 إلى دائرة الإبلاغ العام أواخر عام 2022، بعد وقت قصير من ربط الباحثين لها بمجموعات متعددة مرتبطة بالحرس الثوري الإيراني. وتشمل هذه المجموعات مجموعات معروفة مثل APT35، وCharming Kitten، وITG18، وMint Sandstorm، وTA453، وغيرها. وتتمثل السمة التشغيلية المميزة للمجموعة في قدرتها على مواصلة عمليات الهندسة الاجتماعية طويلة الأمد، والتي تستمر أحيانًا لأسابيع، مع انتحال هوية جهات اتصال موثوقة لكسب المصداقية قبل إرسال حمولات ضارة أو روابط خبيثة.

في وقت سابق من يونيو 2025، كشف متخصصون عن حملة كبرى أخرى تستهدف خبراء الأمن السيبراني والتكنولوجيا الإسرائيليين. في تلك الحالة، انتحل المهاجمون صفة مديرين تنفيذيين وباحثين في كل من رسائل البريد الإلكتروني وواتساب. على الرغم من ارتباط نشاط يونيو وSpearSpecter، إلا أنهما ينبعان من مجموعتين داخليتين مختلفتين من APT42: المجموعة B التي تركز على سرقة بيانات الاعتماد، بينما تركز المجموعة D على عمليات الاختراق التي تعتمد على البرامج الضارة.

تكتيكات الخداع الشخصية

يعتمد SpearSpecter على منهجية هجوم مرنة مصممة خصيصًا لقيمة الهدف وأهداف مُشغّليه. يُعاد توجيه بعض الضحايا إلى بوابات اجتماعات مزيفة مُصممة لجمع بيانات الاعتماد. بينما يواجه آخرون نهجًا أكثر اقتحاميةً يُتيح منفذًا خلفيًا ثابتًا لبرنامج PowerShell يُسمى TAMECAT، وهي أداة استخدمتها المجموعة مرارًا وتكرارًا في السنوات الأخيرة.

تبدأ سلاسل الهجمات الشائعة بانتحال الهوية على واتساب، حيث يُعيد المُهاجم توجيه رابط خبيث يدّعي أنه مستند مطلوب لمهمة قادمة. يؤدي النقر عليه إلى تشغيل سلسلة إعادة توجيه تُؤدي إلى إرسال ملف LNK مُستضاف على WebDAV مُتنكرًا على هيئة ملف PDF، مُستغلًا مُعالج بروتوكول search-ms: لخداع الضحية.

الباب الخلفي TAMECAT: معياري، مستمر، وقابل للتكيف

بمجرد تنفيذه، يتصل ملف LNK بنطاق فرعي من Cloudflare Workers يُشغّله المهاجم لجلب نص برمجي دفعي يُفعّل TAMECAT. يستخدم هذا الإطار القائم على PowerShell مكونات معيارية لدعم التسلل والمراقبة والإدارة عن بُعد. تمتد قنوات الأوامر والتحكم (C2) الخاصة به عبر HTTPS وDiscord وTelegram، مما يضمن استمرارية العمل حتى عند إغلاق أحد هذه القنوات.

بالنسبة للعمليات القائمة على تيليجرام، يسترد برنامج TAMECAT وينفذ شيفرة PowerShell المرسلة من بوت تحت سيطرة المهاجمين. أما C2 القائم على ديسكورد، فيستخدم خطاف ويب يرسل تفاصيل النظام ويستقبل الأوامر من قناة محددة مسبقًا. يشير التحليل إلى إمكانية تخصيص الأوامر لكل مضيف مصاب، مما يتيح تنسيق النشاط ضد أهداف متعددة عبر بنية تحتية مشتركة.

القدرات التي تدعم التجسس العميق

يقدم TAMECAT مجموعة واسعة من ميزات جمع المعلومات الاستخبارية. من بينها:

  • جمع البيانات واستخراجها
  • حصاد الملفات ذات الامتدادات المحددة
  • استخراج البيانات من صناديق البريد الخاصة بمتصفحات Google Chrome وMicrosoft Edge وOutlook
  • إجراء التقاط لقطة شاشة مستمرة كل 15 ثانية
  • استخراج المعلومات المجمعة عبر HTTPS أو FTP
  • إجراءات التخفي والتهرب
  • تشفير القياس عن بعد والحمولات
  • إخفاء كود مصدر PowerShell
  • استخدام الثنائيات التي تعيش على الأرض لدمج الإجراءات الخبيثة مع سلوك النظام الطبيعي
  • يتم التنفيذ بشكل أساسي في الذاكرة لتقليل آثار القرص

بنية تحتية مرنة ومموهة

تدمج البنية التحتية الداعمة لـ SpearSpecter أنظمةً يتحكم بها المهاجمون مع خدمات سحابية شرعية لإخفاء النشاط الخبيث. يتيح هذا النهج الهجين اختراقًا أوليًا سلسًا، واتصالات قيادة وتحكم متينة، واستخراجًا سريًا للبيانات. يعكس التصميم التشغيلي جهة تهديد عازمة على التسلل طويل الأمد إلى الشبكات عالية القيمة مع الحفاظ على أدنى حد من التعرض.

خاتمة

تُبرز حملة SpearSpecter جهود APT42 المستمرة في تحسين عمليات التجسس، من خلال الجمع بين الهندسة الاجتماعية طويلة المدى، والبرمجيات الخبيثة التكيفية، والبنية التحتية القوية لتحقيق أهداف استخباراتية. طبيعتها المستمرة والمُستهدفة للغاية تُعرّض المسؤولين وأفراد الدفاع والأفراد التابعين لهم لخطر مستمر، مما يُعزز الحاجة إلى يقظة مُشددة وتدابير أمنية مُشددة عبر جميع قنوات الاتصال.

الشائع

الشخصية الإلكترونية

برامج ضارة لنظام Mac, برامج إعلانية, البرامج غير المرغوب فيها
خلال تحليل شامل للتطبيقات التي تنطوي على احتمالية التطفل وعدم الموثوقية، عثر الباحثون على تطبيق ElectronicPersonal. بعد إجراء فحص شامل، تأكدوا بشكل قاطع من أن التطبيق مضمن بوظيفة برامج الإعلانات...

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
31,285
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...