Slevová nabídka pro více licencí
Databáze hrozeb Malware Zadní vrátka TAMECAT

Zadní vrátka TAMECAT

V roce Mezo v roce Malware, Pokročilá trvalá hrozba (APT), Zadní vrátka
Přeložit do:

Objevila se vlna špionážní aktivity spojené s íránskou státní skupinou APT42. Analytici pozorují cílené úsilí proti jednotlivcům a organizacím spojeným se zájmy Islámských revolučních gard (IRGC). Tato operace, odhalená začátkem září 2025 a označená krycím názvem SpearSpecter, demonstruje sofistikovanou kombinaci sociálního inženýrství a nasazení malwaru na míru zaměřeného na shromažďování zpravodajských informací.

Rozšířená strategie cílení

Aktéři stojící za touto kampaní se zaměřili přímo na vysoké vládní a obranné úředníky a k jejich zapojení využívali vysoce personalizované přístupy. Častými lákadly jsou pozvánky na významné konference a nabídky vlivných setkání. Charakteristickým rysem této aktivity je rozšíření okruhu obětí o rodinné příslušníky, čímž se zvyšuje tlak a rozšiřuje se plocha útoku kolem primárních cílů.

Počátky a vývoj APT42

Skupina APT42 se stala veřejně známou koncem roku 2022, krátce poté, co ji vědci spojili s několika skupinami spojenými s IRGC. Mezi ně patří mimo jiné známé klastry jako APT35, Charming Kitten, ITG18, Mint Sandstorm a TA453. Provozním znakem skupiny je její schopnost udržovat dlouhodobé operace sociálního inženýrství, někdy trvající týdny, a zároveň se vydávat za důvěryhodné kontakty, aby získala důvěryhodnost, než doručí škodlivé datové zásilky nebo škodlivé odkazy.

Začátkem června 2025 specialisté odhalili další rozsáhlou kampaň zaměřenou na izraelské profesionály v oblasti kybernetické bezpečnosti a technologií. V tomto případě se útočníci vydávali za manažery a výzkumníky v e-mailové i WhatsApp komunikaci. Ačkoli spolu červnová aktivita a SpearSpecter souvisejí, pocházejí ze dvou různých interních klastrů APT42 – klastr B se zaměřil na krádež přihlašovacích údajů, zatímco klastr D se soustředí na útoky vyvolané malwarem.

Personalizované podvodné taktiky

Jádrem kybernetického frakce SpearSpecter je flexibilní metodologie útoku, která je přizpůsobena hodnotě cíle a cílům operátorů. Některé oběti jsou přesměrovány na falešné portály pro schůzky, které jsou navrženy tak, aby shromažďovaly přihlašovací údaje. Jiné čelí invazivnějšímu přístupu, který zahrnuje perzistentní backdoor PowerShellu s názvem TAMECAT, což je nástroj, který skupina v posledních letech opakovaně používá.

Běžné řetězce útoků začínají vydáváním se za jinou osobu na WhatsAppu, kde útočník přeposílá škodlivý odkaz, který se vydává za požadovaný dokument pro nadcházející komunikaci. Kliknutím na něj se spustí přesměrování, které vede k doručení souboru LNK hostovaného přes WebDAV maskovaného jako PDF, přičemž se k oklamání oběti využívá obslužný program protokolu search-ms:.

Backdoor TAMECAT: Modulární, perzistentní a adaptivní

Po spuštění se soubor LNK připojí k subdoméně Cloudflare Workers provozované útočníkem, aby načetl dávkový skript aktivující TAMECAT. Tento framework založený na PowerShellu využívá modulární komponenty k podpoře exfiltrace, dohledu a vzdálené správy. Jeho kanály Command-and-Control (C2) zahrnují HTTPS, Discord a Telegram, což zajišťuje odolnost i v případě, že je jedna z možností uzavřena.

Pro operace založené na Telegramu TAMECAT načítá a spouští kód PowerShellu přenášený botem pod kontrolou útočníků. C2 založené na Discordu využívá webhook, který odesílá systémové podrobnosti a přijímá příkazy z předdefinovaného kanálu. Analýza naznačuje, že příkazy lze přizpůsobit pro každý infikovaný hostitel, což umožňuje koordinovanou aktivitu proti více cílům prostřednictvím sdílené infrastruktury.

Schopnosti podporující hlubokou špionáž

TAMECAT nabízí širokou škálu funkcí pro shromažďování informací. Mezi ně patří:

  • Sběr a extrakce dat
  • Sběr souborů se zadanými příponami
  • Extrahování dat z poštovních schránek Google Chrome, Microsoft Edge a Outlooku
  • Provádění nepřetržitého snímání obrazovky každých 15 sekund
  • Získávání shromážděných informací přes HTTPS nebo FTP
  • Tajná a úniková opatření
  • Šifrování telemetrie a datových dat
  • Zamlžování zdrojového kódu PowerShellu
  • Využití binárních souborů žijících mimo systém k propojení škodlivých akcí s běžným chováním systému
  • Spouštění primárně v paměti pro minimalizaci artefaktů na disku

Odolná a maskovaná infrastruktura

Infrastruktura podporující SpearSpecter kombinuje systémy ovládané útočníkem s legitimními cloudovými službami, aby zamaskovala škodlivou aktivitu. Tento hybridní přístup umožňuje bezproblémové počáteční narušení bezpečnosti, odolnou komunikaci C2 a skrytou extrakci dat. Provozní design odráží záměr aktéra hrozby dlouhodobě infiltrovat sítě s vysokou hodnotou a zároveň minimalizovat expozici.

Závěr

Kampaň SpearSpecter podtrhuje neustálé zdokonalování špionážních operací APT42, které kombinuje dlouhodobé sociální inženýrství, adaptivní malware a robustní infrastrukturu k dosažení cílů zpravodajských služeb. Její přetrvávající a vysoce cílená povaha vystavuje úředníky, příslušníky obrany a s nimi spojené osoby neustálému riziku, což posiluje potřebu zvýšené ostražitosti a silné bezpečnostní hygieny napříč všemi komunikačními kanály.

 

Trendy

Nejvíce shlédnuto

Načítání...