Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Zadné vrátka TAMECAT

Zadné vrátka TAMECAT

Do roku Mezo v roku Malvér, Pokročilá perzistentná hrozba (APT), Zadné vrátka
Preložiť do:

Objavila sa vlna špionážnych aktivít spojených s iránskou štátom spojenou skupinou APT42, pričom analytici pozorujú cielené úsilie proti jednotlivcom a organizáciám spojeným so záujmami Zboru islamských revolučných gárd (IRGC). Táto operácia, odhalená začiatkom septembra 2025 a označená krycím názvom SpearSpecter, demonštruje sofistikovanú kombináciu sociálneho inžinierstva a prispôsobeného nasadenia malvéru zameraného na zhromažďovanie spravodajských informácií.

Rozšírená stratégia zacielenia

Aktéri stojaci za touto kampaňou sa priamo zamerali na vysokých vládnych a obranných predstaviteľov a využívali vysoko personalizované prístupy, aby ich zapojili do akcie. Pozvánky na významné konferencie a ponuky vplyvných stretnutí sú bežnými lákadlami. Charakteristickým znakom tejto aktivity je rozšírenie okruhu obetí o rodinných príslušníkov, čím sa zvyšuje tlak a rozširuje sa plocha útoku okolo primárnych cieľov.

Pôvod a vývoj APT42

Skupina APT42 sa dostala do verejnej správy koncom roka 2022, krátko po tom, čo ju výskumníci spojili s viacerými skupinami spojenými s IRGC. Patria sem okrem iných známe klastre ako APT35, Charming Kitten, ITG18, Mint Sandstorm a TA453. Prevádzkovou značkou skupiny je jej schopnosť udržiavať dlhodobé operácie sociálneho inžinierstva, niekedy trvajúce týždne, pričom sa vydáva za dôveryhodné kontakty, aby získala dôveryhodnosť predtým, ako poskytne škodlivé užitočné dáta alebo zlomyseľné odkazy.

Začiatkom júna 2025 špecialisti odhalili ďalšiu rozsiahlu kampaň zameranú na izraelských profesionálov v oblasti kybernetickej bezpečnosti a technológií. V tomto prípade sa útočníci v e-mailovej aj WhatsApp komunikácii vydávali za manažérov a výskumníkov. Hoci spolu súvisia, júnová aktivita a SpearSpecter pochádzajú z dvoch rôznych interných klastrov APT42 – klaster B sa zameriaval na krádež prihlasovacích údajov, zatiaľ čo klaster D sa zameriava na útoky spôsobené malvérom.

Personalizované podvodné taktiky

Jadrom kryptomeny SpearSpecter je flexibilná metodológia útoku, ktorá je prispôsobená hodnote cieľa a cieľom operátorov. Niektoré obete sú presmerované na falošné portály pre stretnutia, ktoré sú určené na získavanie prihlasovacích údajov. Iné čelia intruzívnejšiemu prístupu, ktorý im poskytuje perzistentný zadný vrátnik PowerShellu s názvom TAMECAT, nástroj, ktorý skupina v posledných rokoch opakovane používala.

Bežné reťazce útokov začínajú vydávaním sa za inú osobu na WhatsApp, kde útočník preposiela škodlivý odkaz, ktorý sa vydáva za požadovaný dokument pre nadchádzajúcu interakciu. Kliknutie naň spustí presmerovanie, ktoré vedie k doručeniu súboru LNK hostovaného cez WebDAV, maskovaného ako PDF, pričom sa na oklamanie obete využíva obslužný program protokolu search-ms:.

Backdoor TAMECAT: Modulárny, perzistentný a adaptívny

Po spustení sa súbor LNK pripojí k subdoméne Cloudflare Workers prevádzkovanej útočníkom, aby načítal dávkový skript, ktorý aktivuje TAMECAT. Tento framework založený na PowerShelle používa modulárne komponenty na podporu exfiltrácie, dohľadu a vzdialenej správy. Jeho kanály Command-and-Control (C2) zahŕňajú HTTPS, Discord a Telegram, čím zabezpečujú odolnosť aj v prípade, že je jedna z možností vypnutá.

Pre operácie založené na Telegrame TAMECAT načítava a spúšťa kód PowerShellu, ktorý prenáša bot pod kontrolou útočníkov. C2 založené na Discorde využíva webhook, ktorý odosiela systémové podrobnosti a prijíma príkazy z preddefinovaného kanála. Analýza naznačuje, že príkazy je možné prispôsobiť pre každého infikovaného hostiteľa, čo umožňuje koordinovanú aktivitu proti viacerým cieľom prostredníctvom zdieľanej infraštruktúry.

Schopnosti podporujúce hlbokú špionáž

TAMECAT ponúka širokú škálu funkcií na zhromažďovanie spravodajských informácií. Medzi ne patria:

  • Zber a extrakcia údajov
  • Zber súborov so zadanými príponami
  • Extrakcia údajov z poštových schránok prehliadačov Google Chrome, Microsoft Edge a Outlook
  • Vykonávanie nepretržitého snímania obrazovky každých 15 sekúnd
  • Exfiltrácia zhromaždených informácií cez HTTPS alebo FTP
  • Tajné a únikové opatrenia
  • Šifrovanie telemetrie a údajov
  • Zahmlievanie zdrojového kódu PowerShellu
  • Používanie binárnych súborov „žijúcich mimo zeme“ na prelínanie škodlivých akcií s bežným správaním systému
  • Spúšťanie primárne v pamäti pre minimalizáciu artefaktov na disku

Odolná a maskovaná infraštruktúra

Infraštruktúra podporujúca SpearSpecter kombinuje systémy ovládané útočníkom s legitímnymi cloudovými službami, aby zakryla škodlivú aktivitu. Tento hybridný prístup umožňuje bezproblémové počiatočné narušenie, odolnú komunikáciu C2 a skrytú extrakciu údajov. Operačný dizajn odráža zámer aktéra hrozby dlhodobo infiltrovať siete s vysokou hodnotou a zároveň zachovať minimálnu expozíciu.

Záver

Kampaň SpearSpecter podčiarkuje prebiehajúce zdokonaľovanie špionážnych operácií APT42, ktoré kombinujú dlhodobé sociálne inžinierstvo, adaptívny malvér a robustnú infraštruktúru na dosiahnutie cieľov spravodajských služieb. Jej pretrvávajúca a vysoko cielená povaha vystavuje úradníkov, príslušníkov obrany a s nimi spojené osoby neustálemu riziku, čo zdôrazňuje potrebu zvýšenej ostražitosti a prísnej bezpečnostnej hygieny vo všetkých komunikačných kanáloch.

 

Trendy

Najviac videné

Načítava...