Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер Задна вратичка TAMECAT

Задна вратичка TAMECAT

До Mezo през Зловреден софтуер, Усъвършенствана постоянна заплаха (APT), Задни вратиг
Превод на:

Вълна от шпионска дейност, свързана с иранската държавна групировка APT42, се появи, като анализаторите наблюдават целенасочени усилия срещу лица и организации, свързани с интересите на Корпуса на стражите на ислямската революция (IRGC). Засечена в началото на септември 2025 г. и получила кодовото име SpearSpecter, тази операция демонстрира сложна комбинация от социално инженерство и внедряване на зловреден софтуер, насочено към събиране на разузнавателна информация.

Разширена стратегия за таргетиране

Операторите, стоящи зад тази кампания, са се насочили директно към висши държавни и отбранителни служители, използвайки силно персонализирани подходи, за да ги привлекат към ангажираност. Поканите за видни конференции и предложенията за влиятелни срещи са често срещани примамки. Определяща характеристика на тази дейност е разширяването на кръга от жертви, за да се включат членове на семейството, увеличавайки натиска и разширявайки повърхността на атаката около основните цели.

Произход и еволюция на APT42

APT42 стана публично достояние в края на 2022 г., малко след като изследователи я свързаха с множество групи, свързани с IRGC. Те включват добре познати клъстери като APT35, Charming Kitten, ITG18, Mint Sandstorm и TA453, наред с други. Оперативната запазена марка на групата е способността ѝ да поддържа дългосрочни операции по социално инженерство, понякога продължаващи седмици, като същевременно се представя за доверени контакти, за да спечели доверие, преди да достави вредни товари или злонамерени връзки.

По-рано през юни 2025 г. специалисти разкриха друга голяма кампания, насочена към израелски специалисти по киберсигурност и технологии. В този случай нападателите се представяха за ръководители и изследователи както в имейл комуникациите, така и в комуникациите в WhatsApp. Въпреки че са свързани, юнската активност и SpearSpecter произтичат от два различни вътрешни клъстера на APT42 – клъстер B, фокусиран върху кражба на идентификационни данни, докато клъстер D се съсредоточава върху прониквания, задвижвани от зловреден софтуер.

Персонализирани тактики за измама

В основата на SpearSpecter се крие гъвкава методология за атака, оформена около стойността на целта и целите на операторите. Някои жертви са пренасочени към фалшиви портали за срещи, проектирани за събиране на идентификационни данни. Други са изправени пред по-натрапчив подход, който предоставя постоянна задна врата PowerShell, наречена TAMECAT, инструмент, многократно използван от групата през последните години.

Често срещаните вериги за атаки започват с представяне за друг човек в WhatsApp, където злонамереният потребител препраща злонамерен линк, твърдейки, че е необходим документ за предстояща среща. Щракването върху него задейства пренасочваща последователност, която води до доставяне на LNK файл, хостван чрез WebDAV, маскиран като PDF, използвайки обработчика на протокола search-ms:, за да заблуди жертвата.

Задната врата TAMECAT: Модулна, устойчива и адаптивна

След изпълнение, LNK файлът се свързва с управляван от хакер поддомейн на Cloudflare Workers, за да извлече пакетен скрипт, който активира TAMECAT. Тази рамка, базирана на PowerShell, използва модулни компоненти за поддръжка на изтичане, наблюдение и дистанционно управление. Нейните канали за командване и контрол (C2) обхващат HTTPS, Discord и Telegram, осигурявайки устойчивост дори когато един канал е затворен.

За операции, базирани на Telegram, TAMECAT извлича и изпълнява PowerShell код, предаван от бот под контрола на нападателите. C2, базиран на Discord, използва webhook, който изпраща системни данни и получава команди от предварително дефиниран канал. Анализът показва, че командите могат да бъдат персонализирани за всеки заразен хост, което позволява координирана дейност срещу множество цели чрез споделена инфраструктура.

Възможности, които поддържат дълбок шпионаж

TAMECAT предлага широк набор от функции за събиране на разузнавателна информация. Сред тях:

  • Събиране и извличане на данни
  • Събиране на файлове с определени разширения
  • Извличане на данни от пощенски кутии на Google Chrome, Microsoft Edge и Outlook
  • Извършване на непрекъснато заснемане на екранни снимки на всеки 15 секунди
  • Извличане на събрана информация чрез HTTPS или FTP
  • Мерки за скритост и укриване
  • Криптиране на телеметрия и полезни товари
  • Обфускиране на изходния код на PowerShell
  • Използване на „живеещи извън земята“ двоични файлове за смесване на злонамерени действия с нормалното системно поведение
  • Изпълняване предимно в паметта за минимизиране на дисковите артефакти

Устойчива и камуфлирана инфраструктура

Инфраструктурата, поддържаща SpearSpecter, съчетава контролирани от нападателите системи с легитимни облачни услуги, за да прикрие злонамерена дейност. Този хибриден подход позволява безпроблемно първоначално компрометиране, трайни C2 комуникации и скрито извличане на данни. Оперативният дизайн отразява намерението на злонамерената страна за дългосрочно проникване в мрежи с висока стойност, като същевременно поддържа минимална експозиция.

Заключение

Кампанията SpearSpecter подчертава непрекъснатото усъвършенстване на шпионските операции на APT42, комбинирайки дългосрочно социално инженерство, адаптивен зловреден софтуер и стабилна инфраструктура за постигане на целите на разузнаването. Нейният постоянен и силно таргетиран характер излага длъжностни лица, служители на отбраната и свързани с тях лица на постоянен риск, засилвайки необходимостта от повишена бдителност и силна хигиена на сигурността във всички комуникационни канали.

 

Тенденция

ElectronicPersonal

Зловреден софтуер за Mac, Рекламен софтуер, Потенциално нежелани програми
По време на цялостен анализ на приложения с потенциална натрапчивост и ненадеждност, изследователите се натъкнаха на приложението ElectronicPersonal. След щателна проверка те окончателно...

Най-гледан

Зареждане...