Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware TAMECAT hátsó ajtó

TAMECAT hátsó ajtó

Mezo -ra Malware, Advanced Persistent Threat (APT), Hátsó ajtók-ben
Fordítás ide:

Felbukkant egy, az iráni államhoz köthető APT42 csoporthoz köthető kémkedési hullám, amelynek elemzői az Iszlám Forradalmi Gárda (IRGC) érdekeltségeihez kötődő személyek és szervezetek elleni célzott erőfeszítéseket figyelték meg. A 2025 szeptember elején észlelt és a SpearSpecter kódnevet kapó művelet a társadalmi manipuláció és a hírszerzésre irányuló, testreszabott rosszindulatú programok telepítésének kifinomult keverékét mutatja be.

Kiterjedtebb célzási stratégia

A kampány mögött álló szervezők közvetlenül a magas rangú kormányzati és védelmi tisztviselőket célozták meg, személyre szabott megközelítéseket alkalmazva, hogy bevonják őket a tevékenységbe. A meghívások neves konferenciákra és a befolyásos találkozók felajánlása gyakori csali. E tevékenység meghatározó jellemzője az áldozati kör bővítése a családtagok bevonásával, a nyomás fokozása és a támadási felület kiterjesztése az elsődleges célpontok körül.

Az APT42 eredete és fejlődése

Az APT42 2022 végén került a nyilvánosság elé, röviddel azután, hogy a kutatók több, az IRGC-hez köthető csoporttal kötötték összefüggésbe. Ezek közé tartoznak többek között olyan ismert klaszterek, mint az APT35, a Charming Kitten, az ITG18, a Mint Sandstorm és a TA453. A csoport működési védjegye, hogy hosszú ideig tartó, néha hetekig tartó társadalmi manipulációs műveleteket tud fenntartani, miközben megbízható kapcsolatokat ad ki a hitelesség növelése érdekében, mielőtt káros hasznos adatokat vagy rosszindulatú linkeket küldene.

2025 júniusának elején a szakemberek egy másik jelentős kampányt is lelepleztek, amely izraeli kiberbiztonsági és technológiai szakemberek ellen irányult. Ebben az esetben a támadók vezetőknek és kutatóknak adták ki magukat mind az e-mailben, mind a WhatsApp-kommunikációban. Bár összefüggenek, a júniusi tevékenység és a SpearSpecter az APT42 két különböző belső klaszteréből származik – a B klaszter a hitelesítő adatok ellopására, míg a D klaszter a rosszindulatú programok által vezérelt behatolásokra összpontosít.

Személyre szabott megtévesztési taktikák

A SpearSpecter lényege egy rugalmas támadási módszertan, amelyet a célpont értéke és a kezelők céljai köré alakítottak. Egyes áldozatokat hamisított találkozóportálokra irányítanak át, amelyeket hitelesítő adatok megszerzésére terveztek. Mások egy tolakodóbb megközelítéssel szembesülnek, amely egy TAMECAT nevű állandó PowerShell hátsó ajtót biztosít, egy olyan eszközt, amelyet a csoport az elmúlt években többször is használt.

A gyakori támadási láncok a WhatsAppon történő megszemélyesítéssel kezdődnek, ahol a támadó egy rosszindulatú linket továbbít, amely azt állítja, hogy egy közelgő eseményhez szükséges dokumentum. A linkre kattintva egy átirányítási sorozat indul el, amely egy WebDAV-on tárolt, PDF-ként álcázott LNK fájl kézbesítését eredményezi, kihasználva a search-ms: protokollkezelőt az áldozat megtévesztésére.

A TAMECAT hátsó ajtó: Moduláris, állandó és adaptív

A végrehajtás után az LNK fájl egy támadó által üzemeltetett Cloudflare Workers aldomainhez csatlakozik, hogy lekérjen egy kötegelt szkriptet, amely aktiválja a TAMECAT-ot. Ez a PowerShell-alapú keretrendszer moduláris komponenseket használ a kiszűrés, a megfigyelés és a távoli felügyelet támogatásához. Command-and-Control (C2) csatornái kiterjednek a HTTPS, a Discord és a Telegram protokollon, biztosítva a rugalmasságot még akkor is, ha az egyik csatorna leáll.

Telegram-alapú műveletek esetén a TAMECAT a támadók felügyelete alatt álló bot által továbbított PowerShell-kódot kéri le és hajtja végre. A Discord-alapú C2 egy webhookot használ, amely rendszeradatokat küld és parancsokat fogad egy előre meghatározott csatornáról. Az elemzések szerint a parancsok fertőzött gazdagépenként testreszabhatók, lehetővé téve a több célpont elleni összehangolt tevékenységet egy megosztott infrastruktúrán keresztül.

A mélykémkedést támogató képességek

A TAMECAT széleskörű információgyűjtő funkciókat kínál. Többek között:

  • Adatgyűjtés és -kinyerés
  • Megadott kiterjesztésű fájlok begyűjtése
  • Adatok kinyerése a Google Chrome, a Microsoft Edge és az Outlook postaládákból
  • Folyamatos képernyőkép-készítés 15 másodpercenként
  • A gyűjtött információk kiszivárogtatása HTTPS vagy FTP kapcsolaton keresztül
  • Lopakodó és kitérő intézkedések
  • Telemetria és hasznos adatok titkosítása
  • A PowerShell forráskódjának homályosítása
  • Élő, földönkívüli binárisok használata a rosszindulatú műveletek és a normális rendszerviselkedés összekeverésére
  • Elsősorban a memóriában fut a lemezhibák minimalizálása érdekében

Rugalmas és álcázott infrastruktúra

A SpearSpectert támogató infrastruktúra a támadók által irányított rendszereket legitim felhőszolgáltatásokkal ötvözi a rosszindulatú tevékenységek elfedése érdekében. Ez a hibrid megközelítés zökkenőmentes kezdeti kompromittálódást, tartós C2-kommunikációt és titkos adatkinyerést tesz lehetővé. Az operatív felépítés egy olyan fenyegető szereplőt tükröz, aki a nagy értékű hálózatokba való hosszú távú beszivárgásra törekszik, miközben minimális kitettséget tart fenn.

Következtetés

A SpearSpecter kampány kiemeli az APT42 kémkedési műveleteinek folyamatos finomítását, amely a hosszú távú társadalmi manipulációt, az adaptív rosszindulatú programokat és a robusztus infrastruktúrát ötvözi a hírszerzési célok elérése érdekében. Állandó és rendkívül célzott jellege folyamatos veszélynek teszi ki a tisztviselőket, a védelmi személyzetet és a velük kapcsolatban álló személyeket, megerősítve a fokozott éberség és az erős biztonsági higiénia szükségességét minden kommunikációs csatornán.

 

Felkapott

Legnézettebb

Betöltés...