Íránský státem sponzorovaný aktér hrozeb známý jako APT42 byl pozorován při cílení na jednotlivce a organizace, které jsou předmětem zájmu Islámské revoluční gardy (IRGC), v rámci nové kampaně zaměřené na špionáž. Aktivita byla kodována jako SpearSpecter izraelskou Národní digitální agenturou (INDA).
„Kampaň systematicky cílila na vysoce hodnotné vyšší obranné a vládní představitele pomocí personalizovaných taktik sociálního inženýrství,“ uvedli výzkumníci INDA. „Mezi tyto taktiky patří zvání cílů na prestižní konference nebo organizování významných schůzek.“
Na tomto úsilí je pozoruhodné, že se rozšiřuje i na rodinné příslušníky cílů, čímž vytváří širší útočnou plochu, která vyvíjí větší tlak na primární cíle.
APT42 byl poprvé veřejně zdokumentován koncem roku 2022 společností Google Mandiant, která podrobně popsala jeho překryvy s jiným hrozebním clusterem IRGC sledovaným jako APT35, CALANQUE, Charming Kitten, CharmingCypress, Cobalt Illusion, Educated Manticore, GreenCharlie, ITG18, Magic Hound, Mint Sandstorm (dříve Phosphorus), TA453 a Yellow Garuda.
Jedním z charakteristických znaků skupiny je její schopnost provádět přesvědčivé kampaně sociálního inženýrství, které mohou probíhat dny nebo týdny ve snaze vybudovat důvěru s cíli, v některých případech se vydávat za známé kontakty, aby vytvořili iluzi autenticity, než odešlou škodlivý payload nebo je přimějí kliknout na připravené odkazy.
Ještě v červnu 2025 společnost Check Point podrobně popsala vlnu útoků, ve které se aktéři hrozeb přiblížili k izraelským technologickým a kybernetickým bezpečnostním profesionálům tím, že se vydávali za technologické manažery nebo výzkumníky v e-mailech a zprávách WhatsApp.
Flexibilní přístup kampaně SpearSpecter
INDA uvedla, že SpearSpecter je flexibilní v tom, že protivník upravuje svůj přístup na základě hodnoty cíle a operačních cílů. V jedné sadě útoků jsou oběti přesměrovány na falešné stránky schůzek, které jsou navrženy tak, aby zachytily jejich přihlašovací údaje. Na druhou stranu, pokud je konečným cílem trvalý dlouhodobý přístup, útoky vedou k nasazení známého PowerShell backdooru s názvem TAMECAT, který byl v posledních letech opakovaně používán.
Za tímto účelem útočné řetězce zahrnují vydávání se za důvěryhodné kontakty WhatsApp k odeslání škodlivého odkazu na údajně požadovaný dokument pro nadcházející schůzku nebo konferenci. Když je na odkaz kliknuto, zahájí se řetězec přesměrování k doručení zástupce Windows (LNK) hostovaného na WebDAV, který se maskuje jako soubor PDF využitím obslužné rutiny protokolu „search-ms:“.
Soubor LNK zase naváže kontakt s subdoménou Cloudflare Workers k získání dávkového skriptu, který funguje jako zavaděč pro TAMECAT, který následně využívá různé modulární komponenty k usnadnění exfiltrace dat a vzdáleného ovládání.
Technické detaily TAMECAT
PowerShell framework používá tři odlišné kanály, konkrétně HTTPS, Discord a Telegram, pro command-and-control (C2), což naznačuje cíl aktéra hrozby udržet trvalý přístup ke kompromitovaným hostitelům, i když je jedna cesta detekována a zablokována.
Pro C2 založené na Telegramu TAMECAT naslouchá příchozím příkazům z Telegram bota kontrolovaného útočníkem, na základě čehož získává a spouští další PowerShell kód z různých subdomén Cloudflare Workers. V případě Discordu se URL webhooku používá k odesílání základních systémových informací a získávání příkazů zpět z pevně zakódovaného kanálu.
„Analýza účtů získaných z Discord serveru aktéra naznačuje, že logika vyhledávání příkazů spoléhá na zprávy od konkrétního uživatele, což umožňuje aktérovi doručovat jedinečné příkazy jednotlivým infikovaným hostitelům, zatímco používá stejný kanál ke koordinaci více útoků, čímž efektivně vytváří kolaborativní pracovní prostor na jediné infrastruktuře,“ uvedli výzkumníci INDA.
Kromě toho je TAMECAT vybaven funkcemi pro provádění průzkumu, sběr souborů odpovídajících určitým příponám, krádež dat z webových prohlížečů jako Google Chrome a Microsoft Edge, sběr poštovních schránek Outlook a pořizování snímků obrazovky v 15sekundových intervalech. Data jsou exfiltrována přes HTTPS nebo FTP.
Techniky vyhýbání se detekci
Přijímá také různé nenápadné techniky k vyhnutí se detekci a odolání analytickým snahám. Mezi ně patří šifrování telemetrie a payloadů kontroleru, obfuskace zdrojového kódu, používání binárních souborů living-off-the-land (LOLBins) ke skrytí škodlivých aktivit a provoz většinou v paměti, čímž zanechává jen málo stop na disku.
Zdroj: thehackernews.com
