複数ライセンス割引見積
脅威データベース マルウェア TAMECATバックドア

TAMECATバックドア

マルウェア, 高度な持続的脅威 (APT), バックドアMezoまで
翻訳内容:

イランの国家系組織APT42に関連するスパイ活動の波が表面化しており、アナリストはイスラム革命防衛隊(IRGC)の利益に関係する個人や組織に対する集中的な攻撃を観測しています。2025年9月初旬に検知され、「SpearSpecter」というコードネームが付けられたこの攻撃は、ソーシャルエンジニアリングと、情報収集を目的としたカスタマイズされたマルウェア展開を巧みに組み合わせたものです。

拡大したターゲティング戦略

この攻撃の背後にいる実行犯は、政府高官や防衛当局高官を直接標的とし、高度にパーソナライズされたアプローチを用いて彼らを関与に引き入れています。著名な会議への招待や影響力のある会合への参加の申し出は、よくある誘い文句です。この活動の特徴は、被害者層を家族まで広げ、圧力を高め、主要標的周辺の攻撃対象を拡大していることです。

APT42の起源と進化

APT42は、研究者らがIRGC関連グループとの関連性を複数指摘した直後の2022年後半に公表されました。これらのグループには、APT35、Charming Kitten、ITG18、Mint Sandstorm、TA453といった著名なクラスターが含まれます。このグループの活動の特徴は、信頼できる連絡先になりすまして信用を獲得し、有害なペイロードや悪意のあるリンクを配信しながら、時には数週間にも及ぶ長期にわたるソーシャルエンジニアリング活動を継続する能力です。

2025年6月初旬、専門家らはイスラエルのサイバーセキュリティおよびテクノロジー専門家を標的とした新たな大規模キャンペーンを発見しました。このキャンペーンでは、攻撃者はメールとWhatsAppの両方の通信で、経営幹部や研究者を装っていました。6月の活動とSpearSpecterは関連性はあるものの、APT42の2つの異なる内部クラスターに由来しています。クラスターBは認証情報の窃取に重点を置き、クラスターDはマルウェアによる侵入に重点を置いています。

個人化された欺瞞戦術

SpearSpecterの中核を成すのは、標的の価値と攻撃者の目的に合わせて構築される柔軟な攻撃手法です。被害者の中には、認証情報を収集するために設計された偽造の会議ポータルにリダイレクトされる者もいます。また、より侵入的なアプローチに直面する者もいます。TAMECATと呼ばれる永続的なPowerShellバックドアは、近年このグループが繰り返し使用しているツールです。

一般的な攻撃チェーンは、WhatsAppでのなりすましから始まります。攻撃者は、今後の予定に必要な書類であると主張する悪意のあるリンクを転送します。それをクリックすると、リダイレクトシーケンスがトリガーされ、PDFに偽装されたWebDAVホストのLNKファイルが配信されます。これは、search-ms:プロトコルハンドラを利用して被害者を欺くものです。

TAMECATバックドア:モジュール型、永続型、適応型

実行されると、LNKファイルは攻撃者が運営するCloudflare Workersサブドメインに接続し、TAMECATを起動するバッチスクリプトを取得します。このPowerShellベースのフレームワークは、モジュール式コンポーネントを使用して、データの流出、監視、リモート管理をサポートします。コマンドアンドコントロール(C2)チャネルはHTTPS、Discord、Telegramにまたがっており、1つのチャネルが遮断された場合でも回復力を確保します。

Telegramベースの攻撃では、TAMECATは攻撃者の管理下にあるボットによって中継されたPowerShellコードを取得して実行します。DiscordベースのC2は、システムの詳細を送信し、事前定義されたチャネルからコマンドを受信するWebhookを使用します。分析によると、コマンドは感染ホストごとにカスタマイズされ、共有インフラストラクチャを介して複数の標的に対する協調的な活動が可能になる可能性があることが示唆されています。

深層諜報活動を支援する機能

TAMECATは幅広い情報収集機能を提供します。その中には以下のようなものがあります。

  • データの収集と抽出
  • 指定された拡張子のファイルを収集する
  • Google Chrome、Microsoft Edge、Outlook のメールボックスからデータを抽出する
  • 15秒ごとに連続スクリーンショットキャプチャを実行する
  • 収集した情報をHTTPSまたはFTP経由で持ち出す
  • ステルスと回避策
  • テレメトリとペイロードの暗号化
  • PowerShell ソースコードの難読化
  • 環境寄生バイナリを使用して悪意のあるアクションを通常のシステム動作と混合する
  • ディスクアーティファクトを最小限に抑えるためにメモリ内で主に実行

強靭でカモフラージュされたインフラ

SpearSpecterを支えるインフラストラクチャは、攻撃者が管理するシステムと正規のクラウドサービスを融合させ、悪意のある活動を隠蔽します。このハイブリッドアプローチにより、シームレスな初期侵入、堅牢なC2通信、そして秘密裏にデータ抽出が可能になります。この運用設計は、最小限の露出を維持しながら、高価値ネットワークへの長期的な侵入を企む脅威アクターの意図を反映しています。

結論

SpearSpecterキャンペーンは、APT42が諜報活動の継続的な洗練度を浮き彫りにしています。APT42は、長期的なソーシャルエンジニアリング、適応型マルウェア、そして堅牢なインフラを組み合わせ、諜報活動の目的達成を目指しています。その執拗かつ高度な標的型攻撃の性質は、政府関係者、防衛関係者、そして関係者を継続的なリスクにさらしており、あらゆる通信チャネルにおける警戒の強化とセキュリティ対策の強化が不可欠です。


トレンド

Safery: イーサリアムウォレット Chrome 拡張機能

マルウェア
サイバーセキュリティ研究者らは、正規のイーサリアムウォレットを装った危険なChrome拡張機能を特定しました。「Safery: Ethereum Wallet」と名付けられたこの拡張機能は、「柔軟な設定でイーサリアム仮想通貨を管理できる安全なウォレット」を提供すると主張しています。この拡張機能は2025年9月29日にChromeウェブストアに初めてアップロードされ、11月12日に最新のアップ...

Ethatwasall.work

ブラウザハイジャッカー, 不正なウェブサイト
Ethatwasall.work Webサイトは、一般的なブラウザベースの戦術を実行するという単一の目的のために存在します。このページは、さまざまな操作的、欺瞞的、およびクリックベイトメッセージを表示することにより、表示された[許可]ボタンをクリックするように訪問者を説得しようとします。 メッセージは、サイトがCAPTCHAチェックを実行していること、ユーザーが他の方法で制限されたコンテンツ...

電子パーソナル

Mac マルウェア, アドウェア, 望ましくない可能性のあるプログラム
研究者たちは、潜在的な侵入性と信頼性の低さを伴うアプリケーションを包括的に分析しているときに、ElectronicPersonal アプリケーションを発見しました。徹底的な調査の結果、アプリケーションにはアドウェア機能が埋め込まれていることが判明しました。さらに、ElectronicPersonal はAdLoadマルウェア ファミリのメンバーとして特定されています。この特定のアプリケーショ...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
49,095
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

Discord 灰色の画面で立ち往生

問題
38,706
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
36,257
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...