Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Zadnja vrata TAMECAT

Zadnja vrata TAMECAT

Do leta Mezo leta Zlonamerna programska oprema, Napredna trajna grožnja (APT), Zadnja vrata
Prevedi v:

Pojavil se je val vohunskih dejavnosti, povezanih z iransko državno skupino APT42, analitiki pa opažajo osredotočeno prizadevanje proti posameznikom in organizacijam, povezanim z interesi Korpusa islamske revolucionarne garde (IRGC). Ta operacija, odkrita v začetku septembra 2025 in imenovana SpearSpecter, dokazuje prefinjeno mešanico socialnega inženiringa in prilagojene uporabe zlonamerne programske opreme, namenjene zbiranju obveščevalnih podatkov.

Razširjena strategija ciljanja

Operaterji, ki stojijo za to kampanjo, so se neposredno osredotočili na visoke vladne in obrambne uradnike ter uporabili zelo personalizirane pristope, da bi jih pritegnili k sodelovanju. Pogoste vabe so povabila na pomembne konference in ponudbe za vplivna srečanja. Opredeljujoča značilnost te dejavnosti je razširitev kroga žrtev na družinske člane, kar povečuje pritisk in širi površino napada okoli primarnih tarč.

Izvor in razvoj APT42

Skupina APT42 je postala javno dostopna konec leta 2022, kmalu zatem, ko so jo raziskovalci povezali z več skupinami, povezanimi z IRGC. Mednje spadajo znane skupine, kot so APT35, Charming Kitten, ITG18, Mint Sandstorm in TA453, med drugim. Operativna značilnost skupine je njena sposobnost vzdrževanja dolgotrajnih operacij socialnega inženiringa, ki včasih trajajo več tednov, pri čemer se izdaja za zaupanja vredne stike, da bi si pridobila verodostojnost, preden dostavi škodljive koristne tovore ali zlonamerne povezave.

V začetku junija 2025 so strokovnjaki odkrili še eno večjo kampanjo, namenjeno izraelskim strokovnjakom za kibernetsko varnost in tehnologijo. V tem primeru so se napadalci tako v e-pošti kot tudi prek WhatsAppa predstavljali kot direktorji in raziskovalci. Čeprav sta junijska aktivnost in SpearSpecter povezani, izhajata iz dveh različnih notranjih skupin APT42 – skupina B se osredotoča na krajo poverilnic, skupina D pa na vdore, ki jih poganja zlonamerna programska oprema.

Prilagojene taktike prevare

V jedru SpearSpecterja leži prilagodljiva metodologija napada, ki je oblikovana okoli vrednosti tarče in ciljev operaterjev. Nekatere žrtve so preusmerjene na ponarejene portale za sestanke, zasnovane za pridobivanje poverilnic. Druge se soočajo z bolj vsiljivim pristopom, ki ponuja vztrajna zadnja vrata PowerShella z imenom TAMECAT, orodje, ki ga je skupina v zadnjih letih večkrat uporabljala.

Pogoste verige napadov se začnejo z lažnim predstavljanjem v WhatsAppu, kjer nasprotnik posreduje zlonamerno povezavo, ki trdi, da je zahtevani dokument za prihajajočo interakcijo. Klik nanjo sproži zaporedje preusmeritev, ki povzroči dostavo datoteke LNK, gostovane v WebDAV, prikrite kot PDF, pri čemer se za zavajanje žrtve uporabi rutina protokola search-ms:.

Zadnja vrata TAMECAT: modularna, vztrajna in prilagodljiva

Ko se datoteka LNK izvede, se poveže s poddomeno Cloudflare Workers, ki jo upravlja napadalec, da pridobi paketni skript, ki aktivira TAMECAT. Ta ogrodje, ki temelji na PowerShellu, uporablja modularne komponente za podporo izločanja, nadzora in oddaljenega upravljanja. Njegovi kanali za upravljanje in nadzor (C2) segajo čez HTTPS, Discord in Telegram, kar zagotavlja odpornost tudi, ko je ena od možnosti zaprta.

Za operacije, ki temeljijo na Telegramu, TAMECAT pridobi in izvede kodo PowerShell, ki jo posreduje bot pod nadzorom napadalcev. C2, ki temelji na Discordu, uporablja spletni kavelj, ki pošilja podrobnosti o sistemu in prejema ukaze iz vnaprej določenega kanala. Analiza kaže, da je mogoče ukaze prilagoditi vsakemu okuženemu gostitelju, kar omogoča usklajeno delovanje proti več tarčam prek skupne infrastrukture.

Zmogljivosti, ki podpirajo globoko vohunjenje

TAMECAT ponuja širok nabor funkcij za zbiranje obveščevalnih podatkov. Med njimi so:

  • Zbiranje in pridobivanje podatkov
  • Zbiranje datotek z določenimi končnicami
  • Pridobivanje podatkov iz nabiralnikov Google Chrome, Microsoft Edge in Outlook
  • Neprekinjeno zajemanje posnetkov zaslona vsakih 15 sekund
  • Izvoz zbranih podatkov prek HTTPS ali FTP
  • Prikritost in ukrepi za izogibanje
  • Šifriranje telemetrije in koristnih podatkov
  • Zakrivanje izvorne kode PowerShella
  • Uporaba binarnih datotek, ki živijo od zunaj, za mešanje zlonamernih dejanj z normalnim delovanjem sistema
  • Izvajanje predvsem v pomnilniku za zmanjšanje artefaktov na disku

Odporna in prikrita infrastruktura

Infrastruktura, ki podpira SpearSpecter, združuje sisteme, ki jih nadzorujejo napadalci, z legitimnimi storitvami v oblaku, da bi prikrila zlonamerno dejavnost. Ta hibridni pristop omogoča nemoteno začetno ogrožanje, trajno komunikacijo C2 in prikrito ekstrakcijo podatkov. Operativna zasnova odraža namero akterja grožnje, da dolgoročno vdre v omrežja z visoko vrednostjo, hkrati pa ohranja minimalno izpostavljenost.

Zaključek

Kampanja SpearSpecter poudarja nenehno izpopolnjevanje vohunskih operacij APT42, ki združuje dolgoročni socialni inženiring, prilagodljivo zlonamerno programsko opremo in robustno infrastrukturo za doseganje obveščevalnih ciljev. Zaradi svoje vztrajne in zelo ciljno usmerjene narave so uradniki, obrambno osebje in z njimi povezani posamezniki nenehno izpostavljeni tveganju, kar krepi potrebo po večji budnosti in strogi varnostni higieni na vseh komunikacijskih kanalih.

 

V trendu

Najbolj gledan

Nalaganje...