TAMECAT 後門
與伊朗政府支持的APT42組織有關的一系列間諜活動浮出水面,分析家觀察到,該組織正集中力量攻擊與伊朗伊斯蘭革命衛隊(IRGC)利益相關的個人和組織。這次行動於2025年9月初被發現,代號為“SpearSpecter”,展現了該組織運用複雜的社會工程手段和定制惡意軟體部署來收集情報的策略。
目錄
擴大目標策略
這次行動的幕後操縱者直接瞄準政府和國防高級官員,採用高度個人化的手段引誘他們參與其中。邀請他們參加重要會議和安排有影響力的會面是常見的誘餌。該行動的一個顯著特徵是將目標範圍擴大到包括家庭成員,從而加大施壓,並擴大攻擊面。
APT42的起源與演化
APT42於2022年底進入公眾視野,此前不久,研究人員將其與多個伊朗伊斯蘭革命衛隊(IRGC)關聯組織聯繫起來。這些組織包括APT35、Charming Kitten、ITG18、Mint Sandstorm和TA453等知名組織。該組織的標誌性行動是能夠持續進行長達數週的社會工程攻擊,透過冒充可信聯繫人來獲取信任,然後再投放惡意載荷或惡意連結。
2025年6月初,專家們發現了一起針對以色列網路安全和技術專業人士的大規模攻擊活動。在那次攻擊中,攻擊者偽裝成高階主管和研究人員,透過電子郵件和WhatsApp進行交流。雖然與6月份的攻擊活動和SpearSpecter攻擊活動有關,但它們都源自於APT42內部的兩個不同分支——B分支專注於竊取憑證,而D分支則專注於惡意軟體驅動的入侵。
個人化欺騙策略
SpearSpecter 的核心在於其靈活的攻擊方法,該方法圍繞著目標的價值和攻擊者的目標而製定。有些受害者會被重新導向到精心設計的偽造會議入口網站,以竊取憑證。另一些受害者則會面臨更具侵入性的攻擊,植入名為 TAMECAT 的持久性 PowerShell 後門程序,近年來已被該組織反覆使用。
常見的攻擊鏈始於WhatsApp上的身份冒用,攻擊者轉發一個惡意鏈接,聲稱是即將進行的會議所需的文件。點擊該連結會觸發重定向序列,最終發送一個偽裝成PDF的WebDAV託管的LNK文件,利用search-ms:協議處理程序來欺騙受害者。
TAMECAT 後門:模組化、持久化和自適應
LNK 檔案執行後,會連接到攻擊者操控的 Cloudflare Workers 子域名,以取得啟動 TAMECAT 的批次腳本。這個基於 PowerShell 的框架使用模組化元件來支援資料外洩、監控和遠端管理。其命令與控制 (C2) 通道涵蓋 HTTPS、Discord 和 Telegram,即使其中一條管道已關閉,也能確保系統的彈性恢復。
對於基於 Telegram 的攻擊,TAMECAT 會擷取並執行攻擊者控制的機器人轉送的 PowerShell 程式碼。基於 Discord 的 C2 伺服器則利用 webhook 傳送系統詳情並從預先定義的頻道接收指令。分析表明,命令可以根據每個受感染主機進行定制,從而能夠透過共享的基礎設施對多個目標進行協同攻擊。
支援深度間諜活動的能力
TAMECAT 提供一系列廣泛的情報收集功能。其中包括:
- 資料收集與擷取
- 收集具有指定副檔名的文件
- 從GoogleChrome瀏覽器、微軟Edge瀏覽器和Outlook信箱擷取數據
- 每隔 15 秒進行一次連續螢幕截圖
- 透過 HTTPS 或 FTP 洩漏收集到的信息
- 隱蔽和規避措施
- 對遙測資料和有效載荷進行加密
- 混淆 PowerShell 原始碼
- 利用偽裝成系統內部程式的二進位文件,將惡意行為與正常的系統行為混為一談。
- 主要在記憶體中執行,以最大程度減少磁碟痕跡
具有韌性和偽裝性的基礎設施
SpearSpecter 的基礎設施將攻擊者控制的系統與合法的雲端服務結合,以掩蓋惡意活動。這種混合方法能夠實現無縫的初始入侵、持久的指揮控制通訊以及隱藏的資料擷取。其運作設計體現了攻擊者意圖長期滲透高價值網絡,同時盡可能減少自身暴露的意圖。
結論
SpearSpecter攻擊活動凸顯了APT42不斷改進其間諜活動,結合長期社會工程、自適應惡意軟體和強大的基礎設施來推進情報目標。此攻擊活動持續且目標明確,使官員、國防人員和相關人員面臨持續風險,因此必須提高警惕,並在所有通訊管道中加強安全防護。
