Izraelska Nacionalna digitalna agencija (INDA) saopštila je da iranska, državno sponzorisana hakerska grupa APT42 cilja visoke zvaničnike iz sektora odbrane i vlade u sofisticiranoj, kontinuiranoj špijunskoj kampanji.
U napadima se hakeri oslanjaju na socijalni inženjering, a proširili su obim operacija tako što su počeli da targetiraju i članove porodice svojih žrtava, kako bi povećali površinu napada i dodatno pojačali pritisak na primarne mete.
Ova grupa je poznata i pod imenima Calanque, CharmingCypress, Educated Manticore, Mint Sandstorm i UNC788, a povezuje se sa obavještajnom službom Iranske revolucionarne garde (IRGC). INDA je prati pod nazivom SpearSpecter.
Nova kampanja koju je otkrila INDA uključivala je pozive na konferencije ili sastanke koji su žrtve usmjeravali na lažne veb stranice radi krađe vjerodajnica ili ih vodili ka infekciji backdoor malverom za dugoročni pristup i eksfiltraciju podataka.
Uočeno je da hakeri danima ili nedjeljama grade odnose sa metama, prikupljajući informacije preko društvenih mreža, javnih baza podataka i profesionalnih mreža.
„To im omogućava da se predstavljaju kao osobe iz organizacija žrtava i kreiraju uvjerljive scenarije koji uključuju ekskluzivne konferencije ili strateške sastanke (ponekad i uživo). Održavaju višednevne razgovore kako bi izgradili kredibilitet. Korišćenje WhatsApp-a dodatno doprinosi prividnoj legitimnosti“, navodi INDA.
U zavisnosti od procijenjene vrijednosti mete i operativnih ciljeva grupe, žrtva se ili preusmjerava na fišing stranice ili dobija mamac-dokument koji aktivira instalaciju TameCat malvera.
TameCat, napredni modularni backdoor zasnovan na PowerShell-u, uspostavlja C2 komunikaciju preko Telegrama i Discorda, postavlja upornost, vrši izviđanje sistema i prikuplja podatke iz pregledača i vjerodajnice.
Takođe može izvršavati komande i eksfiltrirati podatke, a operaterima omogućava dinamičko učitavanje i pokretanje dodatnih payload-ova.
Da bi izbjegao detekciju, malver funkcioniše kao in-memory loader, koristi potpisane Windows binarne fajlove i uobičajene korisničke alate kako bi se uklopio u normalnu aktivnost, te primjenjuje različite tehnike zamagljivanja. Uz to, koristi in-memory enkripciju radi zaštite telemetrije i kontrolnih payload-ova.
TameCat se oslanja na Telegram za učitavanje svojih payload-ova. Analizira sve poruke koje dobije i, ukoliko ne sadrže specifične parametre, tretira ih kao PowerShell payload-ove i izvršava. Rezultat operacije se zatim šalje kao odgovor.
„Ovakav pristup napadaču omogućava dinamičke i otporne mogućnosti daljinskog izvršavanja koda na kompromitovanim hostovima. To obezbjeđuje upornost i kontinuitet operacija čak i kada zaštitne mjere, poput Cloudflare-a, blokiraju infrastrukturu hakera“, objašnjava INDA.
Discord se koristi kao C&C kanal za izdavanje jedinstvenih komandi pojedinačnim hostovima, uz istovremeno upravljanje većim brojem napada.
Backdoor koristi četiri modula za izviđanje sistema. Oni mu omogućavaju selektivno prikupljanje podataka visoke vrijednosti, poput informacija iz pregledača, dokumenata, screenshot-ova i sistemskih podataka, te njihovu eksfiltraciju preko enkriptovanih kanala.
„Infrastruktura SpearSpecter kampanje predstavlja sofisticiranu kombinaciju agilnosti, prikrivenosti i operativne bezbjednosti, dizajniranu da omogući dugotrajnu špijunažu visokovrijednih meta. Operateri kombinuju legitimne cloud servise sa resursima pod kontrolom napadača, što im omogućava neprimjetan inicijalni pristup, postojanu C&C komunikaciju i prikrivenu eksfiltraciju podataka“, zaključuje INDA.
Izvor: SecurityWeek
