Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware TAMECAT Backdoor

TAMECAT Backdoor

Nga MezoMalware, Kërcënimi i avancuar i vazhdueshëm (APT), Dyer të pasme
Përkthe në:

Një valë aktiviteti spiunazhi e lidhur me grupin iranian të lidhur me shtetin APT42 ka dalë në pah, me analistët që vëzhgojnë një përpjekje të fokusuar kundër individëve dhe organizatave të lidhura me interesat e Korpusit të Gardës Revolucionare Islamike (IRGC). I zbuluar në fillim të shtatorit 2025 dhe i caktuar me emrin e koduar SpearSpecter, ky operacion demonstron një përzierje të sofistikuar të inxhinierisë sociale dhe vendosjes së programeve keqdashëse të përshtatura që synojnë mbledhjen e inteligjencës.

Një strategji e zgjeruar e synimit

Operatorët që qëndrojnë pas kësaj fushate kanë synuar drejtpërdrejt zyrtarët e lartë të qeverisë dhe të mbrojtjes, duke përdorur qasje shumë të personalizuara për t'i tërhequr ata në angazhim. Ftesat për konferenca të shquara dhe ofertat për takime me ndikim janë karrem i zakonshëm. Një karakteristikë përcaktuese e këtij aktiviteti është zgjerimi i grupit të viktimave për të përfshirë anëtarët e familjes, duke rritur presionin dhe duke zgjeruar sipërfaqen e sulmit rreth objektivave parësorë.

Origjina dhe Evolucioni i APT42

APT42 hyri në raportimin publik në fund të vitit 2022, menjëherë pasi studiuesit e lidhën atë me grupe të shumta të lidhura me IRGC-në. Këto përfshijnë grupe të njohura si APT35, Charming Kitten, ITG18, Mint Sandstorm dhe TA453, ndër të tjera. Tipari dallues operativ i grupit është aftësia e tij për të mbështetur operacione afatgjata të inxhinierisë sociale, ndonjëherë që zgjasin me javë të tëra, ndërsa imiton kontaktet e besuara për të fituar besueshmëri përpara se të shpërndajë ngarkesa të dëmshme ose lidhje keqdashëse.

Më herët në qershor 2025, specialistët zbuluan një tjetër fushatë të madhe që synonte profesionistët izraelitë të sigurisë kibernetike dhe teknologjisë. Në atë rast, sulmuesit u paraqitën si drejtues dhe studiues si në komunikimet me email ashtu edhe në WhatsApp. Megjithëse të lidhura, aktiviteti i qershorit dhe SpearSpecter rrjedhin nga dy grupe të ndryshme të brendshme të APT42 - grupi B i përqendruar në vjedhjen e kredencialeve, ndërsa grupi D përqendrohet në ndërhyrjet e nxitura nga malware.

Taktika të Personalizuara të Mashtrimit

Në thelb të SpearSpecter qëndron një metodologji fleksibile sulmi e formuar rreth vlerës së objektivit dhe objektivave të operatorëve. Disa viktima ridrejtohen në portale takimesh të falsifikuara të projektuara për të mbledhur kredencialet. Të tjerë përballen me një qasje më ndërhyrëse që ofron një derë të pasme PowerShell të vazhdueshme të quajtur TAMECAT, një mjet i përdorur vazhdimisht nga grupi vitet e fundit.

Zinxhirët e zakonshëm të sulmeve fillojnë me imitimin në WhatsApp, ku kundërshtari përcjell një lidhje dashakeqe që pretendon të jetë një dokument i kërkuar për një angazhim të ardhshëm. Klikimi i saj shkakton një sekuencë ridrejtimi që rezulton në dërgimin e një skedari LNK të hostuar nga WebDAV të maskuar si PDF, duke shfrytëzuar trajtuesin e protokollit search-ms: për të mashtruar viktimën.

Dera e prapme TAMECAT: Modulare, e vazhdueshme dhe adaptive

Pasi ekzekutohet, skedari LNK lidhet me një nën-domen të Cloudflare Workers të operuar nga sulmuesi për të marrë një skript batch që aktivizon TAMECAT. Ky kuadër i bazuar në PowerShell përdor komponentë modularë për të mbështetur nxjerrjen, mbikëqyrjen dhe menaxhimin në distancë. Kanalet e tij të Command-and-Control (C2) përfshijnë HTTPS, Discord dhe Telegram, duke siguruar qëndrueshmëri edhe kur një rrugë është e mbyllur.

Për operacionet e bazuara në Telegram, TAMECAT merr dhe ekzekuton kodin PowerShell të transmetuar nga një bot nën kontrollin e sulmuesve. C2 i bazuar në Discord përdor një webhook që dërgon detajet e sistemit dhe merr komanda nga një kanal i paracaktuar. Analiza sugjeron që komandat mund të personalizohen për secilin host të infektuar, duke mundësuar aktivitet të koordinuar kundër objektivave të shumëfishta nëpërmjet një infrastrukture të përbashkët.

Aftësi që mbështesin spiunazhin e thellë

TAMECAT ofron një gamë të gjerë funksionesh për mbledhjen e inteligjencës. Ndër to:

  • Mbledhja dhe Nxjerrja e të Dhënave
  • Mbledhja e skedarëve me zgjerime të specifikuara
  • Nxjerrja e të dhënave nga kutitë postare të Google Chrome, Microsoft Edge dhe Outlook
  • Kryerja e kapjes së vazhdueshme të pamjeve të ekranit çdo 15 sekonda
  • Nxjerrja e informacionit të mbledhur përmes HTTPS ose FTP
  • Masat e fshehtësisë dhe shmangies
  • Enkriptimi i telemetrisë dhe ngarkesave
  • Duke errësuar kodin burimor të PowerShell
  • Përdorimi i skedarëve binare që jetojnë jashtë vendit për të kombinuar veprimet dashakeqe me sjelljen normale të sistemit
  • Ekzekutohet kryesisht në memorie për të minimizuar artefaktet e diskut

Një Infrastrukturë Rezistente dhe e Kamufluar

Infrastruktura që mbështet SpearSpecter përzien sisteme të kontrolluara nga sulmuesit me shërbime legjitime cloud për të fshehur aktivitetin keqdashës. Kjo qasje hibride lejon kompromentim fillestar pa probleme, komunikime të qëndrueshme C2 dhe nxjerrje të fshehtë të të dhënave. Dizajni operacional pasqyron një aktor kërcënimi që synon infiltrimin afatgjatë të rrjeteve me vlerë të lartë, duke ruajtur ekspozimin minimal.

Përfundim

Fushata SpearSpecter nënvizon përsosjen e vazhdueshme të operacioneve të spiunazhit nga APT42, duke kombinuar inxhinierinë sociale afatgjatë, malware adaptues dhe infrastrukturën e fuqishme për të çuar përpara objektivat e inteligjencës. Natyra e saj e vazhdueshme dhe shumë e synuar i vendos zyrtarët, personelin e mbrojtjes dhe individët e lidhur me të në rrezik të vazhdueshëm, duke përforcuar nevojën për vigjilencë të shtuar dhe higjienë të fortë sigurie në të gjitha kanalet e komunikimit.


Në trend

Më e shikuara

Po ngarkohet...