TAMECAT 后门
与伊朗政府支持的APT42组织有关的一系列间谍活动浮出水面,分析人士观察到,该组织正集中力量攻击与伊朗伊斯兰革命卫队(IRGC)利益相关的个人和组织。此次行动于2025年9月初被发现,代号为“SpearSpecter”,展现了该组织运用复杂的社会工程学手段和定制恶意软件部署来收集情报的策略。
目录
扩大目标策略
此次行动的幕后操纵者直接瞄准政府和国防高级官员,采用高度个性化的手段引诱他们参与其中。邀请他们参加重要会议和安排有影响力的会面是常见的诱饵。该行动的一个显著特点是将目标范围扩大到包括家庭成员,从而加大施压,并扩大攻击面。
APT42的起源和演化
APT42于2022年末进入公众视野,此前不久,研究人员将其与多个伊朗伊斯兰革命卫队(IRGC)关联组织联系起来。这些组织包括APT35、Charming Kitten、ITG18、Mint Sandstorm和TA453等知名组织。该组织的标志性行动是能够持续进行长达数周的社会工程攻击,通过冒充可信联系人来获取信任,然后再投放恶意载荷或恶意链接。
2025年6月初,专家们发现了一起针对以色列网络安全和技术专业人士的大规模攻击活动。在那次攻击中,攻击者伪装成高管和研究人员,通过电子邮件和WhatsApp进行交流。虽然与6月份的攻击活动和SpearSpecter攻击活动相关,但它们都源自APT42内部的两个不同分支——B分支专注于窃取凭证,而D分支则专注于恶意软件驱动的入侵。
个性化欺骗策略
SpearSpecter 的核心在于其灵活的攻击方法,该方法围绕目标的价值和攻击者的目标而制定。一些受害者会被重定向到精心设计的伪造会议门户网站,以窃取凭证。另一些受害者则会面临更具侵入性的攻击,植入名为 TAMECAT 的持久性 PowerShell 后门程序,该工具近年来被该组织反复使用。
常见的攻击链始于WhatsApp上的身份冒用,攻击者转发一个恶意链接,声称是即将进行的会议所需的文件。点击该链接会触发重定向序列,最终发送一个伪装成PDF的WebDAV托管的LNK文件,利用search-ms:协议处理程序来欺骗受害者。
TAMECAT 后门:模块化、持久化和自适应
LNK 文件执行后,会连接到攻击者操控的 Cloudflare Workers 子域名,以获取激活 TAMECAT 的批处理脚本。这个基于 PowerShell 的框架使用模块化组件来支持数据泄露、监控和远程管理。其命令与控制 (C2) 通道涵盖 HTTPS、Discord 和 Telegram,即使其中一条渠道被关闭,也能确保系统的弹性恢复。
对于基于 Telegram 的攻击,TAMECAT 会检索并执行攻击者控制的机器人转发的 PowerShell 代码。基于 Discord 的 C2 服务器则利用 webhook 发送系统详情并从预定义的频道接收命令。分析表明,命令可以根据每个受感染主机进行定制,从而能够通过共享的基础设施对多个目标进行协同攻击。
支持深度间谍活动的能力
TAMECAT 提供一系列广泛的情报收集功能。其中包括:
- 数据收集与提取
- 收集具有指定扩展名的文件
- 从谷歌Chrome浏览器、微软Edge浏览器和Outlook邮箱中提取数据
- 每隔 15 秒进行一次连续屏幕截图
- 通过 HTTPS 或 FTP 泄露收集到的信息
- 隐蔽和规避措施
- 对遥测数据和有效载荷进行加密
- 混淆 PowerShell 源代码
- 利用伪装成系统内部程序的二进制文件,将恶意行为与正常的系统行为混为一谈。
- 主要在内存中执行,以最大程度减少磁盘痕迹
具有韧性和伪装性的基础设施
SpearSpecter 的基础设施将攻击者控制的系统与合法的云服务相结合,以掩盖恶意活动。这种混合方法能够实现无缝的初始入侵、持久的指挥控制通信以及隐蔽的数据提取。其运行设计体现了攻击者意图长期渗透高价值网络,同时尽可能减少自身暴露的意图。
结论
SpearSpecter攻击活动凸显了APT42不断改进其间谍活动,结合长期社会工程、自适应恶意软件和强大的基础设施来推进情报目标。该攻击活动持续且目标明确,使官员、国防人员和相关人员面临持续风险,因此必须提高警惕,并在所有通信渠道中加强安全防护。
