APT42恶意软件分析:无文件后门窃取国防高官数据曝光
Pulsedive 威胁研究团队援引以色列国家数字局的最新分析报告,揭示这款"无文件"恶意软件的内部运作机制。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
一项针对国防和政府高级官员的复杂网络间谍活动已被证实与伊朗国家支持的 APT42(高级持续性威胁组织)有关,该组织隶属于伊朗伊斯兰革命卫队(IRGC)。此次攻击的核心是 TAMECAT——一款采用模块化设计的 PowerShell 后门程序,专门窃取敏感数据且能规避检测。
Pulsedive 威胁研究团队援引以色列国家数字局的最新分析报告,揭示了这款"无文件"恶意软件的内部运作机制。
长期潜伏的社会工程攻击
与“打了就跑”式的网络攻击不同,APT42展现出极强的耐心。该组织通过精心设计的社会工程手段与目标建立信任关系——通常伪装成 WhatsApp 等平台上的可信联系人,随后才发起攻击。
"该组织通过长期社会工程与受害者建立信任关系,随后才渗透其系统环境。"
—— Pulsedive 威胁研究团队 / 以色列国家数字局
这种人为攻击模式使其能够诱使高价值目标主动点击恶意链接,从而绕过传统边界防御。
内存驻留的模块化恶意框架
攻击者渗透成功后即部署 TAMECAT,这款基于 PowerShell 的恶意框架主要驻留在内存中。分析显示其工具集专为情报收集设计:
"以色列国家数字局披露了 TAMECAT 内存模块的详细功能,包括通过远程调试从 Microsoft Edge 提取数据、屏幕截图以及暂停 Chrome 进程实施数据收集。"
—— Pulsedive 威胁研究团队
TAMECAT 功能细节图 来源:以色列国家国防局
该恶意软件采用模块化设计,攻击者可按需启用特定功能,已识别关键模块包括:
浏览器模块:窃取 Chrome、Edge 和 Firefox 的 cookies 及历史记录
屏幕模块:捕获受害者桌面截图
文件爬虫模块:扫描文件系统获取目标文档
多阶段感染链与隐蔽通信
感染链始于对受害者设备执行“健康检查”的 VBScript 文件。它会扫描已安装的杀毒软件以决定后续操作——若存在 Windows Defender 则通过conhost启动 PowerShell,否则使用curl。
加载器nconf.txt(托管于tebi.io)采用多重混淆和加密技术隐藏真实意图,通过 Gorba、Borjol 等自定义函数处理 AES 加密和数据操作:
AES 加密:使用硬编码的 256 位密钥(kNz0CXiP0wEQnhZXYbvraigXvRVYHk1B)保护配置和窃取数据
C2 基础设施:通过 Cloudflare Workers、Discord、Telegram 和 WebDAV 服务器等多种渠道与控制端通信,伪装成合法流量
Telegram 集成与指令控制
TAMECAT 最显著的特征是与 Telegram 的深度集成。该恶意软件通过监听 Telegram 机器人特定关键词触发操作:
Invest:可能关联有效载荷下载
Scene与Look:关联特定工作域名的指令
#Journey:用于设置解密密钥
"以色列报告显示,TAMECAT 被用于针对国防和政府高级官员的间谍活动。"
—— Pulsedive 威胁研究团队
APT42 对 TAMECAT 的使用标志着攻击者正转向更隐蔽、易更新的模块化内存恶意软件。对防御方面言,这凸显了监控 PowerShell 活动及审查 Telegram、Cloudflare 等可信服务流量的重要性。
相关攻略
为应对风险,建议用户和企业采取以下措施:加强网络控制、避免OpenClaw默认管理端口暴露在互联网、采用容器隔离服务、避免明文存储凭证、仅从可信渠道下载技能模块、禁用技能自动更新功能,以及保持代理程
研究机构CYFIRMA的详细分析显示,该平台已成为黑客的主要 "办公场所 ",成功将暗网的灰色交易转移至更快捷、更易触及的空间。 对大多数人而言,Telegram只是个人与群组聊天的便捷工具。但在网络安
2月27日消息,近日,上海知名主持人陶淳发视频分享了自己和朋友的一次经历,引发关注。陶淳介绍,自己当天与朋友相约打羽毛球时,一名戴口罩、举止腼腆的陌生女孩,以手机欠费停机为由,向其球友小冯提出用70
IT之家 2 月 11 日消息,网络安全公司 Malwarebytes 于 2 月 9 日发布博文,一个伪造的 7-Zip 游戏正在通过搜索引擎和 YouTube 教程传播木马程序。本次安全事件源于
Pulsedive 威胁研究团队援引以色列国家数字局的最新分析报告,揭示了这款 "无文件 "恶意软件的内部运作机制。 一项针对国防和政府高级官员的复杂网络间谍活动已被证实与伊朗国家支持的 APT42(高
热门专题
热门推荐
当RPA机器人面临复杂决策场景时,企业通常可以采取以下几种经过验证的有效策略来应对,确保自动化流程的顺畅与准确。 借助人工智能技术 一种广泛应用的解决方案是将RPA与人工智能技术深度融合,特别是机器学习与自然语言处理。通过集成AI的预测分析与模式识别能力,RPA能够处理非结构化数据并应对模糊的业务情
当智能制造与人工智能技术深度融合,这不仅是两种前沿科技的简单叠加,更是一场旨在重塑全球制造业竞争格局的系统性变革。其核心目标在于,通过深度嵌入人工智能等前沿技术,全面提升制造业的智能化水平、生产效率与国际竞争力。那么,如何有效推进这场深度融合?以下六大关键策略构成了清晰的行动路线图。 1 加强关键
对于已经部署了RPA的企业而言,项目上线远不是终点。要让自动化投资持续产生价值,对机器人性能进行持续优化是关键。这就像保养一台精密的机器,定期维护和调校,才能确保其长期高效、稳定地运行。 那么,具体可以从哪些方面着手呢?以下是一些经过验证的优化方向。 一、并行处理与任务分解 首先,看看任务执行本身。
面对海量数据源的高效抓取需求,分布式数据采集架构已成为业界公认的核心解决方案。该架构通过精巧的设计,协调多个采集节点并行工作,并将数据汇聚至中央处理单元,最终实现数据的集中分析与深度洞察。这套系统看似复杂,但其核心原理可拆解为几个关键组件的协同运作。 一、系统核心组成 一套典型的分布式数据采集系统,
Gate io平台活动页面多样,新手易混淆注册奖励、邀请与正常开户页。本文梳理三者核心区别:注册奖励页通常含专属链接与限时福利;邀请页强调社交分享与返利机制;正常开户页则提供基础功能与安全验证。清晰辨识有助于用户高效参与活动,避免错过权益或操作失误,提升在Web3领域的入门体验。