Новый инструмент иранских хакеров: Разбор модульного PowerShell-вредоноса TAMECAT

TAMECAT представляет собой многоступенчатый инструмент, способный выполнять различные команды для сбора конфиденциальной информации. Его модульная природа позволяет злоумышленникам гибко настраивать функционал под конкретные цели. Согласно отчету, среди возможностей вредоноса - извлечение данных из браузера Microsoft Edge с помощью удаленной отладки, создание скриншотов и приостановка процессов Chrome для сбора информации. Управление осуществляется через команды, получаемые от Telegram-бота, который также служит для загрузки дополнительных скриптов.

Анализ начался с изучения образца VBScript, который служит первой стадией заражения. Этот скрипт проверяет, какие антивирусные продукты работают в системе. В зависимости от результата, он выбирает метод загрузки следующего этапа: либо использует conhost и PowerShell, либо cmd.exe и утилиту curl. Если в списке антивирусов обнаруживается строка "indows", скрипт запускает PowerShell для загрузки загрузчика TAMECAT с хостинга tebi[.]io.

Загрузчик, сохраненный в файле с именем наподобие nconf.txt, содержит сильно обфусцированный код на PowerShell. Его ключевая функция - расшифровка и выполнение основной полезной нагрузки (payload). Для этого используется AES-шифрование с ключом и вектором инициализации, значения которых жестко прописаны в скрипте. Интересно, что ключ, обнаруженный в этом образце, ранее фигурировал в анализе другого вредоноса - PowerStar от компании Volexity, что указывает на возможную связь или повторное использование кода.

После расшифровки основная часть кода отвечает за коммуникацию с сервером управления (C2), расположенным на домене accurate-sprout-porpoise[.]glitch[.]me. Вредонос создает в системе уникальный идентификатор жертвы, сохраняет его в файл и собирает базовые данные об операционной системе и имени компьютера. Эта информация шифруется и передается на C2 через POST-запрос. В ответ сервер может отправлять зашифрованные команды, которые TAMECAT декодирует и выполняет. Аналитики отмечают, что команды могут интерпретироваться как код PowerShell или C#, что демонстрирует гибкость инструмента.

Группа APT42 не впервые использует подобные техники. Ранее в их арсенале наблюдалось использование таких платформ, как Discord и Telegram, для управления инфраструктурой. TAMECAT продолжает эту тенденцию, полагаясь на публичные мессенджеры для повышения живучести и усложнения обнаружения. Его архитектура, включающая несколько стадий, обфускацию и шифрование, типична для современных инструментов кибершпионажа, финансируемых государством.

Для защиты от подобных угроз эксперты рекомендуют комплексный подход. Ключевым элементом является развертывание продвинутых решений класса EDR (Endpoint Detection and Response, рус. - обнаружение и реагирование на конечных точках) или антивирусов нового поколения, способных анализировать цепочки процессов и выявлять аномальную активность. Кроме того, важно включить расширенное логирование PowerShell, в частности ведение журналов блоков скриптов, чтобы аналитики безопасности могли видеть исполняемый код.

В корпоративных средах стоит рассмотреть политики ограничения выполнения скриптов, разрешающие запуск только подписанных скриптов, а также ограничить использование PowerShell кругом пользователей, которым это необходимо по работе. Мониторинг подозрительной активности, такой как запуск wscript с последующим вызовом PowerShell или cmd.exe, также может помочь в раннем обнаружении. Наконец, непрерывное обучение пользователей распознаванию фишинговых атак и методов социальной инженерии остается критически важным, поскольку именно на эту уязвимость часто нацеливаются такие группы, как APT42.

URLs

• https://accurate-sprout-porpoise.glitch.me
• https://s3.tebi.io/icestorage/config/nconf.txt
• https://s3.tebi.io/icestorage/df32s.txt

MD5

• 081419a484bbf99f278ce636d445b9d8

SHA1

• 0ef4f7a8d7b1d34e10faa0bca1dcb76a518dd417

SHA256

• bd1f0fb085c486e97d82b6e8acb3977497c59c3ac79f973f96c395e7f0ca97f8