TAMECAT ब्याकडोर

इरानी राज्य-सम्बद्ध समूह APT42 सँग सम्बन्धित जासुसी गतिविधिको लहर देखा परेको छ, विश्लेषकहरूले इस्लामिक रिभोलुसनरी गार्ड कोर्प्स (IRGC) को हितसँग जोडिएका व्यक्ति र संस्थाहरू विरुद्ध केन्द्रित प्रयास अवलोकन गरिरहेका छन्। सेप्टेम्बर २०२५ को सुरुमा पत्ता लगाइएको र स्पियरस्पेक्टर कोडनेम तोकिएको, यो अपरेशनले सामाजिक इन्जिनियरिङ र गुप्तचर सङ्कलनका लागि लक्षित मालवेयर तैनाथीको परिष्कृत मिश्रण प्रदर्शन गर्दछ।

एक विस्तृत लक्षित रणनीति

यस अभियानका पछाडि रहेका सञ्चालकहरूले वरिष्ठ सरकारी र रक्षा अधिकारीहरूलाई प्रत्यक्ष रूपमा लक्षित गरेका छन्, उनीहरूलाई संलग्नतामा तान्न अत्यधिक व्यक्तिगत दृष्टिकोणहरू प्रयोग गरिरहेका छन्। प्रमुख सम्मेलनहरूमा निमन्त्रणा र प्रभावशाली बैठकहरूको प्रस्तावहरू सामान्य प्रलोभन हुन्। यस गतिविधिको एक परिभाषित विशेषता भनेको परिवारका सदस्यहरूलाई समावेश गर्न पीडितहरूको समूहलाई फराकिलो बनाउनु, दबाब बढाउनु र प्राथमिक लक्ष्यहरू वरिपरि आक्रमणको सतह विस्तार गर्नु हो।

APT42 को उत्पत्ति र विकास

अनुसन्धानकर्ताहरूले यसलाई धेरै IRGC-सम्बद्ध समूहहरूसँग जोडेको केही समयपछि, APT42 ले २०२२ को अन्त्यतिर सार्वजनिक रिपोर्टिङमा प्रवेश गर्यो। यसमा APT35, Charming Kitten, ITG18, Mint Sandstorm, र TA453 जस्ता प्रसिद्ध क्लस्टरहरू समावेश छन्। समूहको सञ्चालन ट्रेडमार्क भनेको हानिकारक पेलोड वा दुर्भावनापूर्ण लिङ्कहरू प्रदान गर्नु अघि विश्वसनीयता प्राप्त गर्न विश्वसनीय सम्पर्कहरूको प्रतिरूपण गर्दै, कहिलेकाहीँ हप्ताहरूसम्म चल्ने सामाजिक इन्जिनियरिङ सञ्चालनहरू कायम राख्ने क्षमता हो।

जुन २०२५ को सुरुमा, विशेषज्ञहरूले इजरायली साइबर सुरक्षा र प्रविधि पेशेवरहरूलाई लक्षित अर्को प्रमुख अभियानको पर्दाफास गरे। त्यस अवस्थामा, आक्रमणकारीहरूले इमेल र व्हाट्सएप सञ्चार दुवैमा कार्यकारी र अनुसन्धानकर्ताको रूपमा प्रस्तुत गरे। सम्बन्धित भए पनि, जुन गतिविधि र स्पियरस्पेक्टर APT42 को दुई फरक आन्तरिक क्लस्टरहरूबाट उत्पन्न भएका थिए - क्लस्टर B प्रमाण चोरीमा केन्द्रित थियो, जबकि क्लस्टर D मालवेयर-संचालित घुसपैठहरूमा केन्द्रित थियो।

व्यक्तिगत छलकपटका रणनीतिहरू

स्पियरस्पेक्टरको मूल भागमा लक्ष्यको मूल्य र अपरेटरहरूको उद्देश्य वरिपरि आकार दिइएको लचिलो आक्रमण पद्धति रहेको छ। केही पीडितहरूलाई प्रमाणहरू संकलन गर्न इन्जिनियर गरिएको नक्कली बैठक पोर्टलहरूमा पुन: निर्देशित गरिन्छ। अरूले थप हस्तक्षेपकारी दृष्टिकोणको सामना गर्छन् जसले TAMECAT नामक निरन्तर पावरशेल ब्याकडोर प्रदान गर्दछ, जुन हालका वर्षहरूमा समूहद्वारा बारम्बार प्रयोग गरिएको उपकरण हो।

सामान्य आक्रमण शृङ्खलाहरू व्हाट्सएपमा प्रतिरूपणबाट सुरु हुन्छन्, जहाँ विपक्षीले आगामी संलग्नताको लागि आवश्यक कागजात भएको दाबी गर्दै दुर्भावनापूर्ण लिङ्क फर्वार्ड गर्दछ। यसमा क्लिक गर्नाले एक रिडिरेक्ट अनुक्रम ट्रिगर हुन्छ जसले गर्दा पीडितलाई धोका दिन खोज-एमएस: प्रोटोकल ह्यान्डलरको प्रयोग गर्दै PDF को रूपमा भेषमा WebDAV-होस्ट गरिएको LNK फाइल डेलिभर हुन्छ।

TAMECAT ब्याकडोर: मोड्युलर, निरन्तर, र अनुकूलनीय

एकपटक कार्यान्वयन भएपछि, LNK फाइलले TAMECAT सक्रिय गर्ने ब्याच स्क्रिप्ट ल्याउन आक्रमणकारी-संचालित क्लाउडफ्लेयर वर्कर्स सबडोमेनमा जडान गर्दछ। यो PowerShell-आधारित फ्रेमवर्कले एक्सफिल्ट्रेसन, निगरानी, र रिमोट व्यवस्थापनलाई समर्थन गर्न मोड्युलर कम्पोनेन्टहरू प्रयोग गर्दछ। यसको कमाण्ड-एन्ड-कन्ट्रोल (C2) च्यानलहरूले HTTPS, Discord, र Telegram फैलाउँछन्, जसले एउटा बाटो बन्द हुँदा पनि लचिलोपन सुनिश्चित गर्दछ।

टेलिग्राम-आधारित अपरेशनहरूको लागि, TAMECAT ले आक्रमणकारीहरूको नियन्त्रणमा रहेको बटद्वारा रिले गरिएको PowerShell कोड पुन: प्राप्त गर्दछ र कार्यान्वयन गर्दछ। Discord-आधारित C2 ले वेबहुकको प्रयोग गर्दछ जसले प्रणाली विवरणहरू पठाउँछ र पूर्वनिर्धारित च्यानलबाट आदेशहरू प्राप्त गर्दछ। विश्लेषणले सुझाव दिन्छ कि आदेशहरू प्रति संक्रमित होस्ट अनुकूलित गर्न सकिन्छ, साझा पूर्वाधार मार्फत धेरै लक्ष्यहरू विरुद्ध समन्वित गतिविधि सक्षम पार्दै।

गहिरो जासुसीलाई समर्थन गर्ने क्षमताहरू

TAMECAT ले गुप्तचर सङ्कलन सुविधाहरूको विस्तृत सुइट प्रदान गर्दछ। ती मध्ये:

• तथ्याङ्क सङ्कलन र निकासी
• निर्दिष्ट एक्सटेन्सनहरू भएका फाइलहरू सङ्कलन गर्दै
• गुगल क्रोम, माइक्रोसफ्ट एज, र आउटलुक मेलबक्सहरूबाट डेटा निकाल्दै
• प्रत्येक १५ सेकेन्डमा निरन्तर स्क्रिनसट खिच्ने कार्य गर्दै
• HTTPS वा FTP मार्फत सङ्कलन गरिएको जानकारी बाहिर निकाल्ने
• चोरी र चोरीका उपायहरू
• टेलिमेट्री र पेलोडहरू इन्क्रिप्ट गर्दै
• PowerShell स्रोत कोडलाई अस्पष्ट पार्दै
• सामान्य प्रणाली व्यवहारसँग दुर्भावनापूर्ण कार्यहरू मिश्रण गर्न लिभिङ-अफ-द-ल्याण्ड बाइनरीहरू प्रयोग गर्दै
• डिस्क कलाकृतिहरूलाई न्यूनतम गर्न मुख्यतया मेमोरीमा कार्यान्वयन गर्दै

एक लचिलो र छद्मवेश पूर्वाधार

स्पियरस्पेक्टरलाई समर्थन गर्ने पूर्वाधारले आक्रमणकारी-नियन्त्रित प्रणालीहरूलाई वैध क्लाउड सेवाहरूसँग मिसाउँछ जसले गर्दा दुर्भावनापूर्ण गतिविधिलाई अस्पष्ट पारिन्छ। यो हाइब्रिड दृष्टिकोणले सहज प्रारम्भिक सम्झौता, टिकाउ C2 सञ्चार, र गोप्य डेटा निकासीलाई अनुमति दिन्छ। सञ्चालन डिजाइनले न्यूनतम जोखिम कायम राख्दै उच्च-मूल्य नेटवर्कहरूको दीर्घकालीन घुसपैठमा खतरा अभिनेताको मनसायलाई प्रतिबिम्बित गर्दछ।

निष्कर्ष

स्पियरस्पेक्टर अभियानले APT42 को जासुसी कार्यहरूको निरन्तर परिष्करणलाई जोड दिन्छ, जसले गुप्तचर उद्देश्यहरूलाई अगाडि बढाउन दीर्घकालीन सामाजिक इन्जिनियरिङ, अनुकूली मालवेयर, र बलियो पूर्वाधारको संयोजन गर्दछ। यसको निरन्तर र अत्यधिक लक्षित प्रकृतिले अधिकारीहरू, रक्षा कर्मचारीहरू, र सम्बद्ध व्यक्तिहरूलाई निरन्तर जोखिममा राख्छ, जसले सबै सञ्चार च्यानलहरूमा उच्च सतर्कता र बलियो सुरक्षा स्वच्छताको आवश्यकतालाई बलियो बनाउँछ।