游乐游手机版
首页/科技数码/文章详情

APT42恶意软件分析:无文件后门窃取国防高官数据曝光

时间:2026-02-05 13:49
Pulsedive 威胁研究团队援引以色列国家数字局的最新分析报告,揭示了这款 "无文件 "恶意软件的内部运作机制。 一项针对国防和政府高级官员的复杂网络间谍活动已被证实与伊朗国家支持的 APT42(高

Pulsedive 威胁研究团队援引以色列国家数字局的最新分析报告,揭示这款"无文件"恶意软件的内部运作机制。

一项针对国防和政府高级官员的复杂网络间谍活动已被证实与伊朗国家支持的 APT42(高级持续性威胁组织)有关,该组织隶属于伊朗伊斯兰革命卫队(IRGC)。此次攻击的核心是 TAMECAT——一款采用模块化设计的 PowerShell 后门程序,专门窃取敏感数据且能规避检测。

Pulsedive 威胁研究团队援引以色列国家数字局的最新分析报告,揭示了这款"无文件"恶意软件的内部运作机制。

长期潜伏的社会工程攻击

与“打了就跑”式的网络攻击不同,APT42展现出极强的耐心。该组织通过精心设计的社会工程手段与目标建立信任关系——通常伪装成 WhatsApp 等平台上的可信联系人,随后才发起攻击。

"该组织通过长期社会工程与受害者建立信任关系,随后才渗透其系统环境。"

—— Pulsedive 威胁研究团队 / 以色列国家数字局

这种人为攻击模式使其能够诱使高价值目标主动点击恶意链接,从而绕过传统边界防御。

内存驻留的模块化恶意框架

攻击者渗透成功后即部署 TAMECAT,这款基于 PowerShell 的恶意框架主要驻留在内存中。分析显示其工具集专为情报收集设计:

"以色列国家数字局披露了 TAMECAT 内存模块的详细功能,包括通过远程调试从 Microsoft Edge 提取数据、屏幕截图以及暂停 Chrome 进程实施数据收集。"

—— Pulsedive 威胁研究团队

\

TAMECAT 功能细节图 来源:以色列国家国防局

该恶意软件采用模块化设计,攻击者可按需启用特定功能,已识别关键模块包括:

浏览器模块:窃取 Chrome、Edge 和 Firefox 的 cookies 及历史记录

屏幕模块:捕获受害者桌面截图

文件爬虫模块:扫描文件系统获取目标文档

多阶段感染链与隐蔽通信

感染链始于对受害者设备执行“健康检查”的 VBScript 文件。它会扫描已安装的杀毒软件以决定后续操作——若存在 Windows Defender 则通过conhost启动 PowerShell,否则使用curl。

加载器nconf.txt(托管于tebi.io)采用多重混淆和加密技术隐藏真实意图,通过 Gorba、Borjol 等自定义函数处理 AES 加密和数据操作:

AES 加密:使用硬编码的 256 位密钥(kNz0CXiP0wEQnhZXYbvraigXvRVYHk1B)保护配置和窃取数据

C2 基础设施:通过 Cloudflare Workers、Discord、Telegram 和 WebDAV 服务器等多种渠道与控制端通信,伪装成合法流量

Telegram 集成与指令控制

TAMECAT 最显著的特征是与 Telegram 的深度集成。该恶意软件通过监听 Telegram 机器人特定关键词触发操作:

Invest:可能关联有效载荷下载

Scene与Look:关联特定工作域名的指令

#Journey:用于设置解密密钥

"以色列报告显示,TAMECAT 被用于针对国防和政府高级官员的间谍活动。"

—— Pulsedive 威胁研究团队

APT42 对 TAMECAT 的使用标志着攻击者正转向更隐蔽、易更新的模块化内存恶意软件。对防御方面言,这凸显了监控 PowerShell 活动及审查 Telegram、Cloudflare 等可信服务流量的重要性。

来源:https://www.51cto.com/article/835871.html
上一篇小米玄戒O2芯片解析:自研3nm还是沿用台积电? 下一篇Django高危漏洞解析:防范拒绝服务与SQL注入攻击
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
小米回应新车未上市被曝起火实为SkyNomad遭AI污染
科技数码 · 2026-07-11

小米回应新车未上市被曝起火实为SkyNomad遭AI污染

小米新系列尚未正式发布,搜索“SkyNomad”即出现“起火”“事故”等联想词及疑似AI生成的“车祸”视频。小米官方紧急辟谣,已收集相关证据并与平台沟通,指出这是利用AI技术批量造谣的有组织的舆论攻击行为。

沃尔玛沃集鲜推出药食同源系列新品
科技数码 · 2026-07-11

沃尔玛沃集鲜推出药食同源系列新品

沃尔玛自有品牌沃集鲜推出“药食同源”系列,覆盖饮品、烘焙、零食等品类,分日常与衍生两大产品梯队,联合老字号拓展消费场景,同时加速全国门店升级,以商品力与门店网络推动全渠道增长。

聆思科技获近5亿元B轮融资
科技数码 · 2026-07-11

聆思科技获近5亿元B轮融资

聆思科技完成近5亿元B轮融资,由安徽与合肥国资领投。资金将用于新一代端侧大模型AI推理芯片研发,从感知模型升级至认知大模型。首颗Nebula系列预计2026年底推出。公司已推出23款芯片,累计出货超1 5亿片,广泛用于家居家电、教育办公等领域。

北通鲲鹏70异环联名手柄上市安魂曲薄荷双色699元
科技数码 · 2026-07-11

北通鲲鹏70异环联名手柄上市安魂曲薄荷双色699元

北通鲲鹏70《异环》联名款手柄上市,售价699元,提供安魂曲与薄荷双色。礼盒内含定制手柄及周边,前12000套赠游戏道具兑换卡。手柄搭载AI触觉反馈肩键、双切扳机、阻尼可调摇杆,支持星闪2000Hz回报率,兼容PC、NS、手机和车机。

全球电动汽车需求持续增长趋势研究机构报告
科技数码 · 2026-07-11

全球电动汽车需求持续增长趋势研究机构报告

6月全球电动汽车注册量连续第四个月增长,达200万辆,同比增7%。欧洲市场表现抢眼,注册量飙升31%,北美受税收政策影响下滑13%。德国车企面临挑战,保时捷上半年销量降16%,大众营业利润跌54%。