TAMECAT แบ็คดอร์

คลื่นกิจกรรมจารกรรมที่เชื่อมโยงกับกลุ่ม APT42 ซึ่งเป็นกลุ่มสนับสนุนรัฐบาลอิหร่านได้ปรากฏขึ้น โดยนักวิเคราะห์สังเกตเห็นความพยายามมุ่งเป้าไปที่บุคคลและองค์กรที่เชื่อมโยงกับผลประโยชน์ของกองกำลังพิทักษ์การปฏิวัติอิสลาม (IRGC) ปฏิบัติการนี้ถูกตรวจพบในช่วงต้นเดือนกันยายน 2568 และกำหนดชื่อรหัสว่า SpearSpecter แสดงให้เห็นถึงการผสมผสานที่ซับซ้อนระหว่างวิศวกรรมสังคมและการใช้มัลแวร์เฉพาะทางที่มุ่งเป้าไปที่การรวบรวมข่าวกรอง

กลยุทธ์การกำหนดเป้าหมายที่กว้างขึ้น

ผู้ดำเนินการเบื้องหลังแคมเปญนี้มุ่งเป้าไปที่เจ้าหน้าที่ระดับสูงของรัฐบาลและกระทรวงกลาโหมโดยตรง โดยใช้วิธีการที่เป็นส่วนตัวสูงเพื่อดึงดูดให้พวกเขาเข้าร่วม คำเชิญเข้าร่วมการประชุมสำคัญๆ และการเสนอการประชุมที่มีอิทธิพลมักเป็นแรงจูงใจหลัก ลักษณะเด่นของกิจกรรมนี้คือการขยายกลุ่มเหยื่อให้ครอบคลุมสมาชิกในครอบครัว การเพิ่มแรงกดดัน และการขยายพื้นที่การโจมตีรอบๆ เป้าหมายหลัก

ต้นกำเนิดและวิวัฒนาการของ APT42

APT42 เริ่มรายงานต่อสาธารณะในช่วงปลายปี 2022 ไม่นานหลังจากที่นักวิจัยเชื่อมโยงมันเข้ากับกลุ่มที่เกี่ยวข้องกับ IRGC หลายกลุ่ม ซึ่งรวมถึงกลุ่มที่รู้จักกันดี เช่น APT35, Charming Kitten, ITG18, Mint Sandstorm และ TA453 เป็นต้น เครื่องหมายการค้าปฏิบัติการของกลุ่มนี้คือความสามารถในการรักษาการดำเนินงานทางวิศวกรรมสังคมที่ดำเนินมายาวนาน บางครั้งกินเวลาหลายสัปดาห์ ขณะเดียวกันก็ปลอมตัวเป็นผู้ติดต่อที่เชื่อถือได้เพื่อสร้างความน่าเชื่อถือก่อนที่จะส่งเพย์โหลดที่เป็นอันตรายหรือลิงก์ที่เป็นอันตราย

ก่อนหน้านี้ในเดือนมิถุนายน 2568 ผู้เชี่ยวชาญได้ค้นพบแคมเปญสำคัญอีกแคมเปญหนึ่งที่มุ่งเป้าไปที่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์และเทคโนโลยีของอิสราเอล ในกรณีนี้ ผู้โจมตีได้ปลอมตัวเป็นผู้บริหารและนักวิจัยทั้งทางอีเมลและ WhatsApp แม้จะเกี่ยวข้องกัน แต่กิจกรรมในเดือนมิถุนายนและ SpearSpecter เกิดจากคลัสเตอร์ภายในสองคลัสเตอร์ที่แตกต่างกันของ APT42 โดยคลัสเตอร์ B มุ่งเน้นไปที่การขโมยข้อมูลประจำตัว ขณะที่คลัสเตอร์ D มุ่งเน้นไปที่การบุกรุกที่เกิดจากมัลแวร์

กลยุทธ์การหลอกลวงแบบเฉพาะบุคคล

หัวใจสำคัญของ SpearSpecter คือวิธีการโจมตีที่ยืดหยุ่น ซึ่งกำหนดขึ้นโดยคำนึงถึงมูลค่าของเป้าหมายและวัตถุประสงค์ของผู้ปฏิบัติการ เหยื่อบางรายถูกเปลี่ยนเส้นทางไปยังพอร์ทัลการประชุมปลอมที่ออกแบบมาเพื่อขโมยข้อมูลประจำตัว บางรายต้องเผชิญกับวิธีการที่รุกล้ำมากกว่า ซึ่งก่อให้เกิดช่องโหว่ PowerShell ที่เรียกว่า TAMECAT ซึ่งเป็นเครื่องมือที่กลุ่มนี้ใช้ซ้ำแล้วซ้ำเล่าในช่วงไม่กี่ปีที่ผ่านมา

การโจมตีแบบโซ่ที่พบบ่อยเริ่มต้นด้วยการปลอมแปลงตัวตนบน WhatsApp ซึ่งผู้โจมตีจะส่งต่อลิงก์อันตรายที่อ้างว่าเป็นเอกสารที่จำเป็นสำหรับการติดต่อที่จะเกิดขึ้น การคลิกลิงก์ดังกล่าวจะทำให้เกิดลำดับการเปลี่ยนเส้นทาง ซึ่งส่งผลให้มีการส่งไฟล์ LNK ที่โฮสต์บน WebDAV ซึ่งปลอมแปลงเป็น PDF โดยอาศัยตัวจัดการโปรโตคอล search-ms: เพื่อหลอกลวงเหยื่อ

แบ็กดอร์ TAMECAT: แบบโมดูลาร์ ถาวร และปรับตัวได้

เมื่อดำเนินการแล้ว ไฟล์ LNK จะเชื่อมต่อกับโดเมนย่อย Cloudflare Workers ที่ผู้โจมตีควบคุม เพื่อดึงสคริปต์ชุดคำสั่งที่เปิดใช้งาน TAMECAT เฟรมเวิร์กที่ใช้ PowerShell นี้ใช้ส่วนประกอบแบบโมดูลาร์เพื่อรองรับการแอบแฝง การเฝ้าระวัง และการจัดการระยะไกล ช่องทางการสั่งการและควบคุม (C2) ครอบคลุม HTTPS, Discord และ Telegram จึงมั่นใจได้ถึงความยืดหยุ่นแม้ช่องทางใดช่องทางหนึ่งจะถูกปิดลง

สำหรับปฏิบัติการบน Telegram นั้น TAMECAT จะดึงและดำเนินการโค้ด PowerShell ที่ส่งต่อโดยบอทซึ่งอยู่ภายใต้การควบคุมของผู้โจมตี ส่วน C2 บน Discord จะใช้เว็บฮุกที่ส่งรายละเอียดระบบและรับคำสั่งจากช่องทางที่กำหนดไว้ล่วงหน้า การวิเคราะห์ชี้ให้เห็นว่าคำสั่งอาจได้รับการปรับแต่งตามโฮสต์ที่ติดไวรัสแต่ละเครื่อง ซึ่งช่วยให้สามารถประสานงานกับเป้าหมายหลายรายผ่านโครงสร้างพื้นฐานที่ใช้ร่วมกันได้

ความสามารถที่สนับสนุนการจารกรรมเชิงลึก

TAMECAT นำเสนอฟีเจอร์การรวบรวมข่าวกรองที่หลากหลาย ซึ่งรวมถึง:

• การรวบรวมและการดึงข้อมูล
• การเก็บเกี่ยวไฟล์ที่มีนามสกุลที่ระบุ
• การดึงข้อมูลจากกล่องจดหมาย Google Chrome, Microsoft Edge และ Outlook
• ทำการจับภาพหน้าจออย่างต่อเนื่องทุกๆ 15 วินาที
• การขโมยข้อมูลที่รวบรวมมาผ่าน HTTPS หรือ FTP
• มาตรการการลอบเร้นและการหลบหลีก
• การเข้ารหัสข้อมูลระยะไกลและเพย์โหลด
• การบดบังรหัสต้นฉบับของ PowerShell
• การใช้ไบนารีแบบอยู่อาศัยนอกพื้นที่เพื่อผสมผสานการกระทำที่เป็นอันตรายกับพฤติกรรมปกติของระบบ
• การดำเนินการหลักในหน่วยความจำเพื่อลดสิ่งแปลกปลอมในดิสก์

โครงสร้างพื้นฐานที่ยืดหยุ่นและพรางตัวได้

โครงสร้างพื้นฐานที่รองรับ SpearSpecter ผสมผสานระบบที่ผู้โจมตีควบคุมเข้ากับบริการคลาวด์ที่ถูกต้องตามกฎหมายเพื่อปกปิดกิจกรรมที่เป็นอันตราย วิธีการแบบผสมผสานนี้ช่วยให้การโจมตีเบื้องต้นเป็นไปอย่างราบรื่น การสื่อสาร C2 ที่มีประสิทธิภาพ และการดึงข้อมูลลับ การออกแบบการปฏิบัติงานสะท้อนให้เห็นถึงเจตนาของผู้ก่อภัยคุกคามที่ต้องการแทรกซึมเครือข่ายมูลค่าสูงในระยะยาว ในขณะที่ยังคงรักษาระดับความเสี่ยงให้อยู่ในระดับต่ำสุด

บทสรุป

แคมเปญ SpearSpecter ตอกย้ำถึงการปรับปรุงปฏิบัติการจารกรรมอย่างต่อเนื่องของ APT42 ผสมผสานวิศวกรรมสังคมระยะยาว มัลแวร์ที่ปรับตัวได้ และโครงสร้างพื้นฐานที่แข็งแกร่งเพื่อผลักดันเป้าหมายด้านข่าวกรอง ลักษณะการดำเนินงานที่ต่อเนื่องและมีเป้าหมายชัดเจนของแคมเปญนี้ทำให้เจ้าหน้าที่ บุคลากรด้านกลาโหม และบุคคลที่เกี่ยวข้องตกอยู่ในความเสี่ยงอย่างต่อเนื่อง ซึ่งตอกย้ำความจำเป็นในการเฝ้าระวังอย่างเข้มงวดและการรักษาความมั่นคงปลอดภัยอย่างเข้มงวดในทุกช่องทางการสื่อสาร