APT42恶意软件分析:无文件后门窃取国防高官数据曝光
Pulsedive 威胁研究团队援引以色列国家数字局的最新分析报告,揭示这款"无文件"恶意软件的内部运作机制。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
一项针对国防和政府高级官员的复杂网络间谍活动已被证实与伊朗国家支持的 APT42(高级持续性威胁组织)有关,该组织隶属于伊朗伊斯兰革命卫队(IRGC)。此次攻击的核心是 TAMECAT——一款采用模块化设计的 PowerShell 后门程序,专门窃取敏感数据且能规避检测。
Pulsedive 威胁研究团队援引以色列国家数字局的最新分析报告,揭示了这款"无文件"恶意软件的内部运作机制。
长期潜伏的社会工程攻击
与“打了就跑”式的网络攻击不同,APT42展现出极强的耐心。该组织通过精心设计的社会工程手段与目标建立信任关系——通常伪装成 WhatsApp 等平台上的可信联系人,随后才发起攻击。
"该组织通过长期社会工程与受害者建立信任关系,随后才渗透其系统环境。"
—— Pulsedive 威胁研究团队 / 以色列国家数字局
这种人为攻击模式使其能够诱使高价值目标主动点击恶意链接,从而绕过传统边界防御。
内存驻留的模块化恶意框架
攻击者渗透成功后即部署 TAMECAT,这款基于 PowerShell 的恶意框架主要驻留在内存中。分析显示其工具集专为情报收集设计:
"以色列国家数字局披露了 TAMECAT 内存模块的详细功能,包括通过远程调试从 Microsoft Edge 提取数据、屏幕截图以及暂停 Chrome 进程实施数据收集。"
—— Pulsedive 威胁研究团队
TAMECAT 功能细节图 来源:以色列国家国防局
该恶意软件采用模块化设计,攻击者可按需启用特定功能,已识别关键模块包括:
浏览器模块:窃取 Chrome、Edge 和 Firefox 的 cookies 及历史记录
屏幕模块:捕获受害者桌面截图
文件爬虫模块:扫描文件系统获取目标文档
多阶段感染链与隐蔽通信
感染链始于对受害者设备执行“健康检查”的 VBScript 文件。它会扫描已安装的杀毒软件以决定后续操作——若存在 Windows Defender 则通过conhost启动 PowerShell,否则使用curl。
加载器nconf.txt(托管于tebi.io)采用多重混淆和加密技术隐藏真实意图,通过 Gorba、Borjol 等自定义函数处理 AES 加密和数据操作:
AES 加密:使用硬编码的 256 位密钥(kNz0CXiP0wEQnhZXYbvraigXvRVYHk1B)保护配置和窃取数据
C2 基础设施:通过 Cloudflare Workers、Discord、Telegram 和 WebDAV 服务器等多种渠道与控制端通信,伪装成合法流量
Telegram 集成与指令控制
TAMECAT 最显著的特征是与 Telegram 的深度集成。该恶意软件通过监听 Telegram 机器人特定关键词触发操作:
Invest:可能关联有效载荷下载
Scene与Look:关联特定工作域名的指令
#Journey:用于设置解密密钥
"以色列报告显示,TAMECAT 被用于针对国防和政府高级官员的间谍活动。"
—— Pulsedive 威胁研究团队
APT42 对 TAMECAT 的使用标志着攻击者正转向更隐蔽、易更新的模块化内存恶意软件。对防御方面言,这凸显了监控 PowerShell 活动及审查 Telegram、Cloudflare 等可信服务流量的重要性。
相关攻略
为应对风险,建议用户和企业采取以下措施:加强网络控制、避免OpenClaw默认管理端口暴露在互联网、采用容器隔离服务、避免明文存储凭证、仅从可信渠道下载技能模块、禁用技能自动更新功能,以及保持代理程
研究机构CYFIRMA的详细分析显示,该平台已成为黑客的主要 "办公场所 ",成功将暗网的灰色交易转移至更快捷、更易触及的空间。 对大多数人而言,Telegram只是个人与群组聊天的便捷工具。但在网络安
2月27日消息,近日,上海知名主持人陶淳发视频分享了自己和朋友的一次经历,引发关注。陶淳介绍,自己当天与朋友相约打羽毛球时,一名戴口罩、举止腼腆的陌生女孩,以手机欠费停机为由,向其球友小冯提出用70
IT之家 2 月 11 日消息,网络安全公司 Malwarebytes 于 2 月 9 日发布博文,一个伪造的 7-Zip 游戏正在通过搜索引擎和 YouTube 教程传播木马程序。本次安全事件源于
Pulsedive 威胁研究团队援引以色列国家数字局的最新分析报告,揭示了这款 "无文件 "恶意软件的内部运作机制。 一项针对国防和政府高级官员的复杂网络间谍活动已被证实与伊朗国家支持的 APT42(高
热门专题
热门推荐
猎豹浏览器免安装网页版入口是https: web lemur-browser com,具备界面简洁响应迅速、多端同步无缝衔接、安全防护层级丰富、文档处理能力突出、资源兼容性广泛覆
据昆仑万维集团消息,3月27日下午,昆仑万维(300418 SZ)旗下天工AI顺利举办“世界模型前沿技术与天工AIGC全家桶大模型生态”专场发布会,携Matrix-Game 3 0、SkyReels
本报(chinatimes net cn)记者石飞月 北京报道大模型未来会走向哪里?OpenClaw的爆火似乎为全行业指明了一个方向,但接踵而至的舆论质疑,又让这个答案变得扑朔迷离。3月27日,在2
Anthropic一款尚未发布的新AI模型因数据泄露意外曝光,引发市场对AI颠覆网络安全行业的担忧再度升温,网络安全板块股价周五盘前全线下挫。据《财富》杂志报道,Anthropic正在开发并已开始向
3月初,腾讯在深圳总部楼下设立“龙虾站”,引发千人排队尝鲜。OpenClaw掀起的“全民养虾”热潮,在短短一个月内让更多人看到了AI Agent深入业务场景的价值,随即推动Token调用量大规模增长