TAMECAT PowerShellバックドアの概要

セキュリティ研究者により、**TAMECAT**と呼ばれる高度なPowerShellベースのバックドアが発見されました。これは、イラン政府が支援するハッキンググループ**APT42**に関連付けられており、特にMicrosoft EdgeおよびChromeブラウザからログイン認証情報を窃取することを目的としています。このマルウェアは、検出を回避しながら、政府高官や防衛関係者を標的とした長期的なスパイ活動に利用されています。

高度な手口と標的

APT42は、ソーシャルエンジニアリングを通じて信頼を構築した後、システムを侵害します。TAMECATは、Telegramボットを通じてコマンドを受信し、スクリーンキャプチャやブラウザデータの窃取などのタスクを実行するための追加スクリプトをダウンロードします。

感染経路とローダーの解析

感染チェーンは、特定のVBScriptダウンローダー（SHA256: 5404e39f2f175a0fc993513ee52be3679a64c669c79e32caa656fbb7645965422）から始まります。このスクリプトは、WMIクエリを使用してアンチウイルス製品をスキャンします。アンチウイルスが検出されなかった場合、conhostを介してPowerShellを起動し、wgetでローダー（nconf.txt、SHA256: bd1f0fb085c486e97d82b6e8acb3977497c59c3ac79f973f96c395e7f0ca97f8）をtebi[.]ioから取得します。検出された場合は、cmd.exeとcurlを使用して別のペイロードを取得する代替手段に切り替えます。

ローダーは、AES暗号化されたペイロードを使用し、キー「T2r0y1M1e1n1o0w1」で復号されます。その後、エンコードされたデータはビット演算とUTF-8変換を経て、さらなるコードが展開されます。

C2通信と認証情報の窃取

復号されたモジュールは、被害者IDの生成（%LocalAppData%\config.txtに書き込まれる）と、accurate-sprout-porpoise[.]glitch[.]meへのC2（コマンド＆コントロール）通信を処理します。この際、OS詳細、コンピューター名、ハードコードされたトークン（GILNH9LX6TCZ9V8ZZSUF）が収集され、AES-256（キー: kNz0CXiP0wEQnhZXYbvraigXvRVYHk1B）で暗号化されて送出されます。C2からの応答は、言語（PowerShell/C#）、base64コマンド、スレッド名、開始/停止フラグを含み、メモリ内で実行されます。

特に注目すべきは、Chromeプロセスを一時停止させ、Edgeのリモートデバッグ機能を利用して、ディスクに書き込むことなく認証情報を抽出する点です。TAMECATは%LocalAppData%内にChromeディレクトリを作成し、保存されたログイン情報を標的にします。難読化には、配列フラグメント、ワイルドカード、PowerStarの亜種と共通する文字列置換などが使われます。ユーザーエージェントはChrome 119を模倣し、C2通信の柔軟性のためDiscordもTelegramの補助として使用されることがあります。

MITRE ATT&CKマッピング

• T1059.001: PowerShell実行
• T1547: ブート/ログオン自動実行（永続化の疑い）
• T1555: パスワードストアからの認証情報（Edge/Chrome）
• T1071.001: Webプロトコル（HTTPS C2）
• T1027: 難読化されたファイル/情報

推奨される対策

このような高度な脅威から保護するために、組織は以下の対策を優先すべきです。

• EDR/AVを導入し、wscriptがPowerShellを起動するようなプロセスチェーンを捕捉する。
• PowerShellスクリプトブロックのログ記録を有効にし、実行ポリシーを署名済みスクリプトのみに制限する。
• VBScriptがインタープリタを起動する異常な挙動を監視する。
• 異常なブラウザデバッグ活動を監視する。
• 国家支援型脅威が増加する中で、ブラウザのセキュリティとログ記録を最優先する。

---

元記事: https://gbhackers.com/tamecat-targets-edge-chrome-credentials/