قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار درِ پشتی TAMECAT

درِ پشتی TAMECAT

تا Mezo در بدافزار, تهدید مداوم پیشرفته (APT), درهای پشتی
ترجمه به:

موجی از فعالیت‌های جاسوسی مرتبط با گروه وابسته به دولت ایران، APT42، آشکار شده است و تحلیلگران شاهد تلاش متمرکز علیه افراد و سازمان‌های مرتبط با منافع سپاه پاسداران انقلاب اسلامی (IRGC) هستند. این عملیات که در اوایل سپتامبر 2025 شناسایی و با نام رمز SpearSpecter نامگذاری شد، ترکیبی پیچیده از مهندسی اجتماعی و استقرار بدافزارهای سفارشی با هدف جمع‌آوری اطلاعات را نشان می‌دهد.

یک استراتژی هدفمند گسترده‌تر

گردانندگان این کمپین مستقیماً مقامات ارشد دولتی و دفاعی را هدف قرار داده‌اند و از رویکردهای بسیار شخصی‌سازی‌شده برای جذب آنها به تعامل استفاده کرده‌اند. دعوت به کنفرانس‌های برجسته و پیشنهاد جلسات تأثیرگذار، از جمله ترفندهای رایج برای این کار هستند. یکی از ویژگی‌های بارز این فعالیت، گسترش دامنه قربانیان به اعضای خانواده، افزایش فشار و گسترش سطح حمله در اطراف اهداف اصلی است.

ریشه‌ها و تکامل APT42

APT42 در اواخر سال 2022، اندکی پس از آنکه محققان آن را به چندین گروه مرتبط با سپاه پاسداران انقلاب اسلامی مرتبط دانستند، وارد گزارش‌های عمومی شد. این گروه‌ها شامل خوشه‌های شناخته‌شده‌ای مانند APT35، Charming Kitten، ITG18، Mint Sandstorm و TA453 و موارد دیگر می‌شوند. مشخصه عملیاتی این گروه، توانایی آن در انجام عملیات مهندسی اجتماعی طولانی‌مدت است که گاهی اوقات هفته‌ها طول می‌کشد، در حالی که خود را به جای مخاطبین مورد اعتماد جا می‌زند تا قبل از ارسال بارهای مخرب یا لینک‌های مخرب، اعتبار کسب کند.

پیش از این در ژوئن ۲۰۲۵، متخصصان از یک کمپین بزرگ دیگر که متخصصان امنیت سایبری و فناوری اسرائیل را هدف قرار داده بود، پرده برداشتند. در آن مورد، مهاجمان خود را به عنوان مدیر و محقق در ارتباطات ایمیلی و واتس‌اپ جا زده بودند. اگرچه این فعالیت ژوئن و SpearSpecter مرتبط هستند، اما از دو خوشه داخلی مختلف APT42 ناشی می‌شوند - خوشه B بر سرقت اطلاعات کاربری متمرکز بود، در حالی که خوشه D بر نفوذهای مبتنی بر بدافزار تمرکز داشت.

تاکتیک‌های فریب شخصی‌سازی‌شده

در هسته SpearSpecter یک روش حمله انعطاف‌پذیر وجود دارد که حول ارزش هدف و اهداف اپراتورها شکل گرفته است. برخی از قربانیان به پورتال‌های جلسه جعلی که برای جمع‌آوری اعتبارنامه‌ها طراحی شده‌اند، هدایت می‌شوند. برخی دیگر با رویکردی تهاجمی‌تر مواجه می‌شوند که یک در پشتی PowerShell پایدار به نام TAMECAT را ارائه می‌دهد، ابزاری که بارها توسط این گروه در سال‌های اخیر مورد استفاده قرار گرفته است.

زنجیره‌های حمله رایج با جعل هویت در واتس‌اپ آغاز می‌شوند، جایی که مهاجم یک لینک مخرب را ارسال می‌کند که ادعا می‌کند سندی مورد نیاز برای یک تعامل آینده است. کلیک بر روی آن باعث ایجاد یک توالی تغییر مسیر می‌شود که منجر به تحویل یک فایل LNK میزبانی شده توسط WebDAV می‌شود که به عنوان یک PDF پنهان شده است و از کنترل‌کننده پروتکل search-ms: برای فریب قربانی استفاده می‌کند.

درب پشتی TAMECAT: ماژولار، پایدار و تطبیق‌پذیر

پس از اجرا، فایل LNK به یک زیردامنه Cloudflare Workers که توسط مهاجم اداره می‌شود متصل می‌شود تا یک اسکریپت دسته‌ای را که TAMECAT را فعال می‌کند، دریافت کند. این چارچوب مبتنی بر PowerShell از اجزای ماژولار برای پشتیبانی از استخراج، نظارت و مدیریت از راه دور استفاده می‌کند. کانال‌های فرماندهی و کنترل (C2) آن شامل HTTPS، Discord و Telegram می‌شود و حتی در صورت خاموش شدن یک مسیر، انعطاف‌پذیری را تضمین می‌کند.

برای عملیات مبتنی بر تلگرام، TAMECAT کد PowerShell را که توسط یک ربات تحت کنترل مهاجمان ارسال می‌شود، بازیابی و اجرا می‌کند. C2 مبتنی بر Discord از یک webhook استفاده می‌کند که جزئیات سیستم را ارسال و دستورات را از یک کانال از پیش تعریف شده دریافت می‌کند. تجزیه و تحلیل نشان می‌دهد که دستورات ممکن است برای هر میزبان آلوده سفارشی‌سازی شوند و فعالیت هماهنگ علیه چندین هدف را از طریق یک زیرساخت مشترک امکان‌پذیر سازند.

قابلیت‌هایی که از جاسوسی عمیق پشتیبانی می‌کنند

TAMECAT مجموعه‌ای گسترده از ویژگی‌های جمع‌آوری اطلاعات را ارائه می‌دهد. از جمله آنها:

  • جمع‌آوری و استخراج داده‌ها
  • استخراج فایل‌ها با پسوندهای مشخص
  • استخراج داده‌ها از صندوق‌های پستی گوگل کروم، مایکروسافت اج و اوت‌لوک
  • انجام مداوم ضبط تصویر هر ۱۵ ثانیه
  • استخراج اطلاعات جمع‌آوری‌شده از طریق HTTPS یا FTP
  • اقدامات مخفی‌کاری و گریز
  • رمزگذاری تله‌متری و پیلودها
  • مبهم‌سازی کد منبع پاورشل
  • استفاده از فایل‌های باینری قابل استفاده در خارج از کشور برای ترکیب اقدامات مخرب با رفتار عادی سیستم
  • اجرا در درجه اول در حافظه برای به حداقل رساندن مصنوعات دیسک

زیرساختی مقاوم و استتار شده

زیرساخت پشتیبانی‌کننده SpearSpecter، سیستم‌های تحت کنترل مهاجم را با سرویس‌های ابری قانونی ترکیب می‌کند تا فعالیت‌های مخرب را پنهان کند. این رویکرد ترکیبی، امکان نفوذ اولیه یکپارچه، ارتباطات پایدار C2 و استخراج پنهان داده‌ها را فراهم می‌کند. طراحی عملیاتی، نشان‌دهنده‌ی قصد یک عامل تهدید برای نفوذ بلندمدت به شبکه‌های با ارزش بالا و در عین حال حفظ حداقل میزان افشای اطلاعات است.

نتیجه‌گیری

کمپین SpearSpecter بر بهبود مداوم عملیات جاسوسی APT42، با ترکیب مهندسی اجتماعی بلندمدت، بدافزار تطبیقی و زیرساخت‌های قوی برای پیشبرد اهداف اطلاعاتی، تأکید دارد. ماهیت مداوم و بسیار هدفمند آن، مقامات، پرسنل دفاعی و افراد وابسته را در معرض خطر مداوم قرار می‌دهد و نیاز به هوشیاری بیشتر و بهداشت امنیتی قوی در تمام کانال‌های ارتباطی را تقویت می‌کند.

پرطرفدار

شخصی الکترونیکی

بدافزار مک, ابزارهای تبلیغاتی مزاحم, برنامه های بالقوه ناخواسته
در طی یک تجزیه و تحلیل جامع از برنامه های کاربردی با احتمال نفوذ و غیرقابل اعتماد بودن، محققان به طور تصادفی به برنامه ElectronicPersonal برخوردند. پس از بررسی کامل، آنها به طور قطعی متوجه شدند که...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
31,285
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...