SpearSpecter kampány
Az Izraeli Nemzeti Digitális Ügynökségjelentése szerint a SpearSpecter kiberkémkedési kampány egy rendkívül kifinomult, célzott művelet, amelyet magas biztonsági fokozattal az iráni állami apparátushoz, konkrétan az Iszlám Forradalmi Gárda Hírszerző Szervezetéhez (Islamic Revolutionary Guard Corps Intelligence Organization – IRGC) APT42 csoport hajt végre. A kampány fő célpontjai magas rangú kormányzati és védelmi vezetők, valamint azok közvetlen környezete, akik stratégiai információkhoz juthatnak hozzá.
A támadás kulcsfontosságú jellemzője a személyre szabott pszichológiai megtévesztési módszer, a támadók nem tömeges adathalász kampányokra támaszkodnak, hanem heteken keresztül építenek ki bizalmi kapcsolatokat a célpontokkal. Ezt gyakran konferencia-meghívásokkal, szakmai egyeztetésekkel indítják, majd WhatsApp, Telegram vagy Discord csatornákon keresztül folytatják a kommunikációt. A fokozatos bizalomerősítés célja, hogy a célpont önként indítson el legálisnak tűnő fájlletöltést vagy weboldallátogatást, amelyen keresztül a támadó teljes belépési lehetőséghez jut.
Az első hozzáférés megszerzése után a kampány a TAMECAT nevű, moduláris, memóriában futó backdoor-implantátumot telepíti. Ez a PowerShell-alapú eszköz minimalizálja a fájlrendszer használatát, így csökkenti a detektálás kockázatát. A C2 több redundáns csatornából áll, beleértve HTTPS-alapú, valamint Discord és Telegram alapú C2 mechanizmusokat is.
Egy további kiemelt taktika, hogy a támadók visszaélnek a Windows „search-ms” URI protokolljával, ha a célpont a támadó által elkészített hivatkozásra kattint, az automatikusan egy WebDAV-megosztott szerverre kapcsolódik, ahol egy LNK fájl (parancsikon) futtat parancsokat PDF-nek álcázott kiterjesztéssel, így a fájllal való interakció nélkül is elindul a káros kód.
Az adatgyűjtési fázisban a TAMECAT modulok célzottan gyűjtenek böngésző-adatokat (cookie-k, jelszavak), Outlook OST fájlokat, folyamatlistákat, telepített szoftvereket, képernyőképeket, valamint egyedi fájltípusokat (.pdf, .docx, .xlsx, multimédiás fájlok). A modul kifejezetten kizár „zajos” könyvtárakat (OneDrive, cache, program files), ezzel elkerülve, hogy a vizsgálatok során feltűnjön a nagyszámú, kevésbé értékes fájl lehívása.
A visszaélések infrastruktúrája is kifinomult: a kampány több eltérő, de párhuzamosan működő csomópontot használ. A kezdeti hozzáférés „filenest[.]info” és „cloudcaravan[.]info” aldomainjein keresztül indul, amelyek WebDAV-megosztásokat is magukban foglalnak. A C2-infrastruktúra gyakran alkalmaz „workers[.]dev” aldomenes Cloudflare Workers szolgáltatást, amely kevésbé feltűnő és nehezebben blokkolható.
A célpontok körére visszatérve, az IRGC-IO számára értékkel bíró szereplőket azonosítják, mint magas szintű védelmi döntéshozók, kormányzati tisztviselők és stratégiai szereplők. A támadók nemcsak a közvetlen célpontokat, hanem azok családtagjait is bevonhatják, ezzel növelve a pszichológiai és műveleti nyomást.
A jelentés gyakorlati ajánlásokat is tartalmaz, hoszt-szintű naplózás (PowerShell script-block logging), Sysmon telepítése, EDR/EDR-irányított észlelés, valamint viselkedés-alapú szabályozás kiépítése. Fontos, hogy a vezetők és magas pozícióban lévők tudatában legyenek annak, hogy a támadások nemcsak e-mail vagy tömeges kampányok révén érkezhetnek, hanem személyre szabott, vállalatirányított beszélgetéseken keresztül is. A Windows „search-ms” protokoll letiltása is javasolt a házon belüli rendszerekben.
