Rabattilbud med flere licenser
Trusseldatabase Malware TAMECAT Bagdør

TAMECAT Bagdør

Med Mezo i Malware, Advanced Persistent Threat (APT), Bagdøre
Oversæt til:

En bølge af spionageaktivitet knyttet til den iransk-statstilknyttede gruppe APT42 er dukket op, og analytikere har observeret en fokuseret indsats mod enkeltpersoner og organisationer med tilknytning til Den Islamiske Revolutionsgarde (IRGC) interesser. Denne operation, der blev opdaget i begyndelsen af september 2025 og tildelt kodenavnet SpearSpecter, demonstrerer en sofistikeret blanding af social engineering og skræddersyet malware-implementering med henblik på indsamling af efterretninger.

En udvidet målretningsstrategi

Kampagnens aktører har rettet sig direkte mod højtstående embedsmænd og forsvarsrepræsentanter ved hjælp af meget personlige tilgange til at engagere dem. Invitationer til fremtrædende konferencer og tilbud om indflydelsesrige møder er almindelige lokkemidler. Et definerende kendetegn ved denne aktivitet er udvidelsen af offerpuljen til også at omfatte familiemedlemmer, hvilket øger presset og udvider angrebsfladen omkring primære mål.

Oprindelse og udvikling af APT42

APT42 blev offentliggjort i slutningen af 2022, kort efter at forskere havde forbundet den med flere IRGC-associerede grupper. Disse omfatter blandt andet velkendte klynger som APT35, Charming Kitten, ITG18, Mint Sandstorm og TA453. Gruppens operationelle kendetegn er dens evne til at opretholde langvarige social engineering-operationer, nogle gange ugevis lange, samtidig med at den udgiver sig for at være betroede kontakter for at opnå troværdighed, før den leverer skadelige nyttelast eller ondsindede links.

Tidligere i juni 2025 afslørede specialister endnu en større kampagne rettet mod israelske cybersikkerheds- og teknologieksperter. I dette tilfælde udgav angriberne sig for at være ledere og forskere i både e-mail- og WhatsApp-kommunikation. Selvom aktiviteten i juni og SpearSpecter er relateret, stammer den fra to forskellige interne klynger af APT42 - klynge B fokuserer på tyveri af legitimationsoplysninger, mens klynge D fokuserer på malware-drevne indtrængen.

Personlige bedragstaktikker

Kernen i SpearSpecter ligger en fleksibel angrebsmetode, der er formet omkring målets værdi og operatørernes mål. Nogle ofre omdirigeres til forfalskede mødeportaler, der er designet til at indsamle legitimationsoplysninger. Andre står over for en mere påtrængende tilgang, der leverer en vedvarende PowerShell-bagdør ved navn TAMECAT, et værktøj, der gentagne gange er blevet brugt af gruppen i de senere år.

Almindelige angrebskæder starter med efterligning på WhatsApp, hvor modstanderen videresender et ondsindet link, der hævder at være et obligatorisk dokument til et kommende engagement. Klik på det udløser en omdirigeringssekvens, der resulterer i levering af en WebDAV-hostet LNK-fil forklædt som en PDF, hvilket udnytter search-ms: protokolhåndteringen til at narre offeret.

TAMECAT-bagdøren: Modulær, persistent og adaptiv

Når den er udført, opretter LNK-filen forbindelse til et angriberdrevet Cloudflare Workers-underdomæne for at hente et batchscript, der aktiverer TAMECAT. Dette PowerShell-baserede framework bruger modulære komponenter til at understøtte eksfiltrering, overvågning og fjernadministration. Dets Command-and-Control (C2)-kanaler spænder over HTTPS, Discord og Telegram, hvilket sikrer robusthed, selv når én rute er lukket ned.

Til Telegram-baserede operationer henter og udfører TAMECAT PowerShell-kode, der videresendes af en bot under angribernes kontrol. Discord-baseret C2 bruger en webhook, der sender systemoplysninger og modtager kommandoer fra en foruddefineret kanal. Analyse tyder på, at kommandoer kan tilpasses pr. inficeret vært, hvilket muliggør koordineret aktivitet mod flere mål via en delt infrastruktur.

Kapabiliteter, der understøtter dyb spionage

TAMECAT tilbyder en bred vifte af funktioner til indsamling af efterretninger. Blandt dem:

  • Dataindsamling og -udtrækning
  • Indsamling af filer med angivne filtypenavne
  • Udtrækning af data fra Google Chrome-, Microsoft Edge- og Outlook-postkasser
  • Udfører kontinuerlig skærmbilledeoptagelse hvert 15. sekund
  • Eksfiltrering af indsamlede oplysninger via HTTPS eller FTP
  • Stealth- og undvigelsesforanstaltninger
  • Kryptering af telemetri og nyttelast
  • Tilsløring af PowerShell-kildekode
  • Brug af binære filer fra "living-off-the-land" til at blande ondsindede handlinger med normal systemadfærd
  • Udfører primært i hukommelsen for at minimere diskartefakter

En robust og camoufleret infrastruktur

Infrastrukturen, der understøtter SpearSpecter, blander angriberstyrede systemer med legitime cloudtjenester for at skjule ondsindet aktivitet. Denne hybride tilgang muliggør problemfri initial kompromittering, holdbar C2-kommunikation og skjult dataudtrækning. Det operationelle design afspejler en trusselsaktørs intention om langsigtet infiltration af netværk med høj værdi, samtidig med at minimal eksponering opretholdes.

Konklusion

SpearSpecter-kampagnen understreger APT42's løbende forbedring af spionageoperationer ved at kombinere langsigtet social engineering, adaptiv malware og robust infrastruktur for at fremme efterretningsmål. Dens vedvarende og meget målrettede natur sætter embedsmænd, forsvarspersonale og tilknyttede personer i fortsat risiko, hvilket forstærker behovet for øget årvågenhed og stærk sikkerhedshygiejne på tværs af alle kommunikationskanaler.

 

Trending

Mest sete

Indlæser...