Liên hệ
Tin tặc Iran triển khai chiến dịch gián điệp 'SpearSpecter' nhắm vào các mục tiêu quốc phòng và chính phủ

Tin tặc Iran triển khai chiến dịch gián điệp ‘SpearSpecter’ nhắm vào các mục tiêu quốc phòng và chính phủ

  • 10:41 chiều

Một nhóm tin tặc được chính phủ Iran bảo trợ, được biết đến với cái tên APT42, đã thực hiện một chiến dịch gián điệp mới nhắm vào các cá nhân và tổ chức mà Quân đoàn Vệ binh Cách mạng Hồi giáo (IRGC) quan tâm. Chiến dịch này được phát hiện vào đầu tháng 9 năm 2025 và vẫn đang tiếp diễn, được Cơ quan Kỹ thuật số Quốc gia Israel (INDA) đặt tên mã là SpearSpecter.

Các nhà nghiên cứu của INDA cho biết chiến dịch này đã có hệ thống nhắm mục tiêu vào các quan chức quốc phòng và chính phủ cấp cao bằng cách sử dụng các kỹ thuật kỹ xảo xã hội được cá nhân hóa, bao gồm mời các mục tiêu tham dự các hội nghị uy tín hoặc sắp xếp các cuộc họp quan trọng. Điều đáng chú ý là nỗ lực này còn mở rộng sang các thành viên gia đình của mục tiêu, tạo ra một bề mặt tấn công rộng hơn, gây áp lực lớn hơn lên các mục tiêu chính.

APT42 lần đầu tiên được Google Mandiant công khai ghi nhận vào cuối năm 2022, mô tả chi tiết sự trùng lặp của nó với một cụm mối đe dọa IRGC khác được theo dõi là APT35, CALANQUE, Charming Kitten, CharmingCypress, Cobalt Illusion, Educated Manticore, GreenCharlie, ITG18, Magic Hound, Mint Sandstorm (trước đây là Phosphorus), TA453 và Yellow Garuda.

Một trong những đặc điểm nổi bật của nhóm này là khả năng thực hiện các chiến dịch kỹ xảo xã hội đầy thuyết phục, có thể kéo dài trong nhiều ngày hoặc nhiều tuần để xây dựng lòng tin với các mục tiêu. Trong một số trường hợp, chúng giả làm người quen của mục tiêu để tạo ra ảo giác về tính xác thực, trước khi gửi một tải trọng độc hại hoặc lừa họ nhấp vào các liên kết chứa bẫy.

Gần đây nhất là vào tháng 6 năm 2025, Check Point đã mô tả chi tiết một đợt tấn công trong đó các tác nhân đe dọa tiếp cận các chuyên gia an ninh mạng và công nghệ người Israel bằng cách đóng giả làm giám đốc điều hành công nghệ hoặc nhà nghiên cứu trong email và tin nhắn WhatsApp.

Goldman nói với The Hacker News rằng SpearSpecter và chiến dịch tháng 6 năm 2025 là khác biệt và được thực hiện bởi hai nhóm con khác nhau trong APT42. INDA cho biết SpearSpecter rất linh hoạt trong việc điều chỉnh cách tiếp cận dựa trên giá trị của mục tiêu và mục tiêu hoạt động. Trong một loạt các cuộc tấn công, các nạn nhân được chuyển hướng đến các trang họp giả mạo được thiết kế để thu thập thông tin đăng nhập của họ. Mặt khác, nếu mục tiêu cuối cùng là truy cập liên tục lâu dài, các cuộc tấn công sẽ dẫn đến việc triển khai một backdoor PowerShell nổi tiếng có tên là TAMECAT, đã được sử dụng nhiều lần trong những năm gần đây.

Để đạt được điều đó, chuỗi tấn công bao gồm việc mạo danh các liên hệ WhatsApp đáng tin cậy để gửi một liên kết độc hại đến một tài liệu được cho là bắt buộc cho một cuộc họp hoặc hội nghị sắp tới. Khi nhấp vào liên kết, nó sẽ bắt đầu một chuỗi chuyển hướng để phân phát một phím tắt Windows (LNK) được lưu trữ trên WebDAV, ngụy trang dưới dạng tệp PDF bằng cách tận dụng trình xử lý giao thức “search-ms:”.

Tệp LNK, về phần mình, thiết lập liên lạc với một tên miền phụ Cloudflare Workers để truy xuất một tập lệnh hàng loạt có chức năng như một trình tải cho TAMECAT, đến lượt nó sử dụng các thành phần mô-đun khác nhau để tạo điều kiện thuận lợi cho việc đánh cắp dữ liệu và điều khiển từ xa.

Khung PowerShell sử dụng ba kênh riêng biệt, cụ thể là HTTPS, Discord và Telegram, để điều khiển và kiểm soát (C2), cho thấy mục tiêu của tác nhân đe dọa là duy trì quyền truy cập liên tục vào các máy chủ bị xâm nhập ngay cả khi một đường dẫn bị phát hiện và chặn.

Đối với C2 dựa trên Telegram, TAMECAT lắng nghe các lệnh đến từ một bot Telegram do kẻ tấn công kiểm soát, dựa trên đó nó tìm nạp và thực thi mã PowerShell bổ sung từ các tên miền phụ Cloudflare Workers khác nhau. Trong trường hợp Discord, một URL webhook được sử dụng để gửi thông tin hệ thống cơ bản và nhận lại các lệnh từ một kênh được mã hóa cứng.

Các nhà nghiên cứu của INDA cho biết: “Phân tích các tài khoản được khôi phục từ máy chủ Discord của tác nhân cho thấy logic tra cứu lệnh dựa trên các tin nhắn từ một người dùng cụ thể, cho phép tác nhân gửi các lệnh duy nhất đến từng máy chủ bị nhiễm trong khi sử dụng cùng một kênh để điều phối nhiều cuộc tấn công, tạo ra một không gian làm việc cộng tác trên một cơ sở hạ tầng duy nhất một cách hiệu quả”.

Hơn nữa, TAMECAT được trang bị các tính năng để thực hiện trinh sát, thu thập các tệp phù hợp với một số phần mở rộng nhất định, đánh cắp dữ liệu từ các trình duyệt web như Google Chrome và Microsoft Edge, thu thập hộp thư Outlook và chụp ảnh màn hình sau mỗi 15 giây. Dữ liệu được lọc qua HTTPS hoặc FTP.

Nó cũng áp dụng một loạt các kỹ thuật lén lút để trốn tránh việc phát hiện và chống lại các nỗ lực phân tích. Chúng bao gồm mã hóa dữ liệu đo từ xa và tải trọng của bộ điều khiển, làm rối mã nguồn, sử dụng các tệp nhị phân living-off-the-land (LOLBins) để che giấu các hoạt động độc hại và hoạt động chủ yếu trong bộ nhớ, do đó để lại rất ít dấu vết trên đĩa.

INDA cho biết: “Cơ sở hạ tầng của chiến dịch SpearSpecter phản ánh sự kết hợp tinh vi giữa sự nhanh nhẹn, lén lút và bảo mật hoạt động được thiết kế để duy trì hoạt động gián điệp kéo dài chống lại các mục tiêu có giá trị cao”. “Các nhà khai thác tận dụng một cơ sở hạ tầng đa diện, kết hợp các dịch vụ đám mây hợp pháp với các tài nguyên do kẻ tấn công kiểm soát, cho phép truy cập ban đầu liền mạch, kiểm soát và chỉ huy (C2) liên tục và đánh cắp dữ liệu bí mật”.

Các thuật ngữ:

  • APT42: Một nhóm tin tặc được cho là có liên hệ với chính phủ Iran, chuyên thực hiện các cuộc tấn công mạng gián điệp.
  • IRGC: Quân đoàn Vệ binh Cách mạng Hồi giáo Iran, một nhánh của lực lượng vũ trang Iran.
  • Kỹ xảo xã hội: Kỹ thuật sử dụng tâm lý để lừa người khác cung cấp thông tin hoặc thực hiện hành động nào đó.
  • Backdoor: Một phương pháp bí mật để vượt qua xác thực hoặc mã hóa thông thường trong một hệ thống máy tính.
  • PowerShell: Một ngôn ngữ kịch bản và công cụ dòng lệnh mạnh mẽ được phát triển bởi Microsoft.
  • WebDAV: Một giao thức mở rộng HTTP để tạo điều kiện cho người dùng cộng tác chỉnh sửa và quản lý tệp trên máy chủ web.
  • Cloudflare Workers: Một nền tảng điện toán không máy chủ cho phép các nhà phát triển triển khai mã chạy trên mạng lưới toàn cầu của Cloudflare.
  • C2 (Command and Control): Cơ sở hạ tầng mà kẻ tấn công sử dụng để kiểm soát và liên lạc với các máy tính bị xâm nhập.
  • Discord: Một nền tảng trò chuyện và cộng đồng trực tuyến phổ biến.
  • Telegram: Một ứng dụng nhắn tin tức thời dựa trên đám mây với sự tập trung vào bảo mật và tốc độ.
  • Webhook: Một phương pháp để một ứng dụng web cung cấp thông tin theo thời gian thực cho một ứng dụng khác bất cứ khi nào có một sự kiện cụ thể xảy ra.
  • LOLBins (Living-off-the-Land Binaries): Các công cụ và chương trình hợp pháp có sẵn trong hệ điều hành có thể được kẻ tấn công sử dụng để thực hiện các hoạt động độc hại.

Chia sẻ với

Share on facebook
Share on twitter
Share on linkedin
Share on pinterest

Bài viết liên quan

Tin tặc Trung Quốc dùng AI Claude tự động hóa 90% chiến dịch tấn công mạng

Các nhà nghiên cứu an ninh mạng tại Anthropic vừa qua đã phát hiện và ngăn chặn một cuộc tấn …

Nghiên cứu phát hiện lỗi nghiêm trọng trong AI, ảnh hưởng đến Meta, Nvidia và Microsoft

Các nhà nghiên cứu an ninh mạng vừa phát hiện ra những lỗ hổng nghiêm trọng, cho phép tin tặc …

Tin tặc Iran triển khai chiến dịch gián điệp ‘SpearSpecter’ nhắm vào các mục tiêu quốc phòng và chính phủ

Một nhóm tin tặc được chính phủ Iran bảo trợ, được biết đến với cái tên APT42, đã thực hiện …

Lỗ hổng Citrix Bleed 2 cho phép đánh cắp Token; Lỗ hổng SAP GUI gây rủi ro lộ dữ liệu nhạy cảm

Các nhà nghiên cứu an ninh mạng vừa công bố chi tiết về hai lỗ hổng bảo mật (nay đã …