APT42恶意软件分析:无文件后门窃取国防高官数据曝光
Pulsedive 威胁研究团队援引以色列国家数字局的最新分析报告,揭示这款"无文件"恶意软件的内部运作机制。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
一项针对国防和政府高级官员的复杂网络间谍活动已被证实与伊朗国家支持的 APT42(高级持续性威胁组织)有关,该组织隶属于伊朗伊斯兰革命卫队(IRGC)。此次攻击的核心是 TAMECAT——一款采用模块化设计的 PowerShell 后门程序,专门窃取敏感数据且能规避检测。
Pulsedive 威胁研究团队援引以色列国家数字局的最新分析报告,揭示了这款"无文件"恶意软件的内部运作机制。
长期潜伏的社会工程攻击
与“打了就跑”式的网络攻击不同,APT42展现出极强的耐心。该组织通过精心设计的社会工程手段与目标建立信任关系——通常伪装成 WhatsApp 等平台上的可信联系人,随后才发起攻击。
"该组织通过长期社会工程与受害者建立信任关系,随后才渗透其系统环境。"
—— Pulsedive 威胁研究团队 / 以色列国家数字局
这种人为攻击模式使其能够诱使高价值目标主动点击恶意链接,从而绕过传统边界防御。
内存驻留的模块化恶意框架
攻击者渗透成功后即部署 TAMECAT,这款基于 PowerShell 的恶意框架主要驻留在内存中。分析显示其工具集专为情报收集设计:
"以色列国家数字局披露了 TAMECAT 内存模块的详细功能,包括通过远程调试从 Microsoft Edge 提取数据、屏幕截图以及暂停 Chrome 进程实施数据收集。"
—— Pulsedive 威胁研究团队
TAMECAT 功能细节图 来源:以色列国家国防局
该恶意软件采用模块化设计,攻击者可按需启用特定功能,已识别关键模块包括:
浏览器模块:窃取 Chrome、Edge 和 Firefox 的 cookies 及历史记录
屏幕模块:捕获受害者桌面截图
文件爬虫模块:扫描文件系统获取目标文档
多阶段感染链与隐蔽通信
感染链始于对受害者设备执行“健康检查”的 VBScript 文件。它会扫描已安装的杀毒软件以决定后续操作——若存在 Windows Defender 则通过conhost启动 PowerShell,否则使用curl。
加载器nconf.txt(托管于tebi.io)采用多重混淆和加密技术隐藏真实意图,通过 Gorba、Borjol 等自定义函数处理 AES 加密和数据操作:
AES 加密:使用硬编码的 256 位密钥(kNz0CXiP0wEQnhZXYbvraigXvRVYHk1B)保护配置和窃取数据
C2 基础设施:通过 Cloudflare Workers、Discord、Telegram 和 WebDAV 服务器等多种渠道与控制端通信,伪装成合法流量
Telegram 集成与指令控制
TAMECAT 最显著的特征是与 Telegram 的深度集成。该恶意软件通过监听 Telegram 机器人特定关键词触发操作:
Invest:可能关联有效载荷下载
Scene与Look:关联特定工作域名的指令
#Journey:用于设置解密密钥
"以色列报告显示,TAMECAT 被用于针对国防和政府高级官员的间谍活动。"
—— Pulsedive 威胁研究团队
APT42 对 TAMECAT 的使用标志着攻击者正转向更隐蔽、易更新的模块化内存恶意软件。对防御方面言,这凸显了监控 PowerShell 活动及审查 Telegram、Cloudflare 等可信服务流量的重要性。
相关攻略
为应对风险,建议用户和企业采取以下措施:加强网络控制、避免OpenClaw默认管理端口暴露在互联网、采用容器隔离服务、避免明文存储凭证、仅从可信渠道下载技能模块、禁用技能自动更新功能,以及保持代理程
研究机构CYFIRMA的详细分析显示,该平台已成为黑客的主要 "办公场所 ",成功将暗网的灰色交易转移至更快捷、更易触及的空间。 对大多数人而言,Telegram只是个人与群组聊天的便捷工具。但在网络安
2月27日消息,近日,上海知名主持人陶淳发视频分享了自己和朋友的一次经历,引发关注。陶淳介绍,自己当天与朋友相约打羽毛球时,一名戴口罩、举止腼腆的陌生女孩,以手机欠费停机为由,向其球友小冯提出用70
IT之家 2 月 11 日消息,网络安全公司 Malwarebytes 于 2 月 9 日发布博文,一个伪造的 7-Zip 游戏正在通过搜索引擎和 YouTube 教程传播木马程序。本次安全事件源于
Pulsedive 威胁研究团队援引以色列国家数字局的最新分析报告,揭示了这款 "无文件 "恶意软件的内部运作机制。 一项针对国防和政府高级官员的复杂网络间谍活动已被证实与伊朗国家支持的 APT42(高
热门专题
热门推荐
《王者荣耀世界》说剑任务BOSS讨伐:稷下群山天雷隼打法详解 在《王者荣耀世界》的说剑任务中,稷下群山区域的天雷隼是许多玩家遭遇的强力挑战。这只BOSS攻击迅猛,机制独特,常常让挑战者感到棘手。别担心,本篇攻略将为你带来详尽的打法解析与实战技巧,帮助你轻松完成讨伐。 《王者荣耀世界》说剑任务全BOS
ELBOArt是什么 在AI绘图工具层出不穷的今天,如果有一款产品,能让你动动手指就把脑海里的角色瞬间变为图像,是不是听起来就很有吸引力?ELBOArt正是这样一款独特的工具。它的核心“角色创造器”(CharacterCreator),本质上是一个高度智能的转换接口,用户只需通过简单的点击和描述,就
企业数智化转型的深层需求与核心挑战在数字经济时代浪潮中,大型企业的转型升级已超越单一的业务流程优化或信息系统升级范畴。它们面临的核心挑战,是如何在瞬息万变的市场环境中,系统性实现商业模式、运营模式及组织模式的全面创新。传统ERP系统虽稳固了企业运营底盘,但在应对敏捷创新、生态协同及用户体验驱动等新需
Dumm-E是什么 如果说当前AI赛道的主流是竞相追逐“更聪明”、“更全能”,那么Dumm-E的出现,无疑是一次有趣的“逆向飞行”。这款由创意团队Leo Rivas和Dummy Bearz打造的AI聊天机器人,干脆打出了“世界上最笨的AI”的旗号。它的目的不是帮你解答难题或处理工作,而是纯粹为了逗你
CentOS系统LUKS磁盘加密完整教程:为数据安全加上数字防护锁 在CentOS服务器与工作站环境中,保障敏感数据安全是系统管理的重要环节。文件系统级别的磁盘加密技术,尤其是LUKS(Linux统一密钥设置)标准,已成为企业级数据保护的基石。本指南将详细解析如何在CentOS系统中使用LUKS对分