Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Ирански хакери таргетираат одбранбени и владини официјални лица во тековна кампања

Објавено: 18.11.2025

Државно поддржаната APT група ги таргетира и членовите на семејствата на жртвите за да ја зголеми врз нив психолошката и оперативната притиска.

Иранската државно поддржана хакерска група APT42 ги таргетира високи одбранбени и владини функционери во тековна, софистицирана шпионска кампања, соопштува Израелската Национална Дигитална Агенција (INDA).

Како дел од нападите, хакерите се потпирале на тактики на социјален инженеринг и го прошириле опсегот на нападот со таргетирање на членовите на семејствата на жртвите, за да ја зголемат површината на напад и да извршат дополнителен притисок врз примарните цели.

Позната и како Calanque, CharmingCypress, Educated Manticore, Mint Sandstorm и UNC788, и поврзана со разузнавачката агенција на Исламската Револуционерна Гарда (IRGC), APT42 е следена од израелската агенција под името SpearSpecter.

Новата кампања откриена од INDA вклучувала испраќање покани за конференции или средби кои или ги пренасочувале жртвите кон лажни веб-страници за крадење на нивните ингеренции, или доведувале до инфекции со backdoor со цел долгорочен пристап и ексфилтрација на податоци.

Хакерите биле забележани како поминуваат денови или недели во градење односи со целните жртви и собирање разузнавачки информации преку социјални мрежи, јавни бази на податоци и професионални мрежи.

„Ова им овозможува да се претставуваат како лица од кругот на жртвата и да создаваат уверливи сценарија што вклучуваат ексклузивни конференции или стратешки средби (понекогаш и физички). Тие одржуваат разговори во текот на повеќе денови за да изградат кредибилитет. Користењето на WhatsApp дополнително додава чувство на легитимност,“ забележува INDA.

Врз основа на вредноста на целта и оперативните цели на групата, примателот или се насочува кон фишинг страници, или добива лажен документ што иницира инсталација на TameCat малициозен софтвер од APT42.

TameCat, софистициран, модуларен backdoor базиран на PowerShell, воспоставува command-and-control (C&C) комуникација преку Telegram и Discord, воспоставува упорност, врши системска рекогносценција и собира податоци од прелистувачи и ингеренции.
Исто така може да извршува команди, да ексфилтрира податоци и да овозможи динамичко вчитување и извршување дополнителни payload-и.

За да избегне детекција, малициозниот софтвер функционира како in-memory loader, користи потпишани Windows binaries и вообичаени кориснички алатки за да се стопи со нормалната активност, и користи различни техники за обфускација. Исто така применува in-memory енкрипција за заштита на телеметријата и контролорските payload-и.

TameCat се потпира на Telegram за вчитување на својот payload. Ги анализира сите примени пораки и, доколку недостигаат одредени параметри, ги третира како PowerShell payload-и и ги извршува. Потоа го праќа резултатот како порака.

„Овој пристап му овозможува на напаѓачот да одржува динамични и отпорни способности за оддалечено извршување код на компромитираните системи. Ова осигурува упорност и оперативен континуитет дури и кога заштитни мерки, како Cloudflare, ја блокираат инфраструктурата на актерот,“ истакнува INDA.

Discord, објаснува агенцијата, се користи како C&C канал за издавање уникатни команди за индивидуални системи додека се управуваат повеќе паралелни напади.

Backdoor-от користи четири модули за системска рекогносценција. Тие му дозволуваат селективно прибирање вредни податоци од системите на жртвите, како информации од прелистувачи, документи, снимки од екранот и системски информации, и нивна ексфилтрација преку енкриптирани канали.

„Инфраструктурата на кампањата SpearSpecter претставува софистицирана комбинација од агилност, прикриеност и оперативна безбедност, дизајнирана да одржува долготрајна шпионажа кон високо вредни цели. Операторите користат мултифункционална инфраструктура што комбинира легитимни cloud сервиси со ресурси под контрола на напаѓачот, овозможувајќи непречен почетен пристап, упорни C&C комуникации и тајна ексфилтрација на податоци,“ забележува INDA.

Извори:

  • Securityweek – Iranian Hackers Target Defense and Government Officials in Ongoing Campaign Securityweek