E科技

您的位置:主页 > 前瞻

TajMahal:拥有80个恶意模块和独特功能的罕见间谍平台

卡巴斯基实验室研究人员发现了一个至少从2013年起就活跃的技术复杂的网络间谍框架,而且该威胁似乎有已知的威胁组织没有关联。卡巴斯基实验室研究人员将这种框架命名为TajMahal。该框架包括约80个恶意模块,并且包含之前从未在高级可持续性威胁中发现的功能呢,例如从打印机队列中窃取信息的功能以及下次从USB设备获取以前看过的文件的能力。到目前为止,卡巴斯基实验室仅发现一名受害者,为一家基于中亚的大使馆,但是遭受影响的其他受害者可能更多。

卡巴斯基实验室研究人员在2018年末发现的TajMahal。这是一种技术上非常复杂的APT框架,为进行广泛的网络间谍攻击而设计。恶意软件分析显示,这个平台至少在过去五年前就已经被开发和使用,其最早的样本可以追溯到2013年4月,而最近发现的样本的时间为2018年8月。其名称TajMahal来自于用于泄露被盗数据的文件名。

TajMahal框架被认为包括两个主要程序包,自称为“Tokyo”和“Yokohama”。

Tokyo是两个中较小的一个,包括约3个模块。它包含主要的后门功能,还会定期与命令和控制服务器连接。Tokyo利用PowerShell,即使入侵已经进入第二阶段,它仍然保留在网络中。

第二阶段是Yokohama文件包:一个全副武装的间谍框架。Yokohama包括一个包含所有插件,开源和专有第三方库以及配置文件的虚拟文件系统(VFS)。它总共有近80个模块,其中包括载入器、协调器、命令和控制通信器、录音机、键盘记录器、屏幕和网络摄像头抓取器、文档和加密密匙窃取器等。

TajMahal还能够获取浏览器cookie,收集苹果移动设备的备份名单,窃取受害者烧录的CD数据以及打印机队列中的文档。它还能够请求窃取之前见过的USB存储设备上的特定文件,当该USB设备下一次连接到计算机上时,文件就会被窃取。

卡巴斯基实验室发现的目标系统同时被Tokyo和Yokohama感染。这表明Tokyo被用作第一阶段感染,在攻击者感兴趣的受害者设备上部署完整功能的Yokohama程序包,然后留下来进行备份。

到目前为止,仅发现了一个受害者——是一个基于国外的中亚外交机构,于2014年被感染。目前还不清楚TajMahal的传播和感染途径。

 “TajMahal框架是一个非常有趣和吸引人的发现。其技术复杂性是毋庸置疑的,他还包括之前我们在高级威胁组织中从未见过的功能。目前仍有一些疑问。例如,进行如此大的投资,很难想象其只有一个受害者。这意味着可能还有未被发现的受害者,或者野外还有其他版本,或者两种可能性都有。这种威胁的传播和感染途径目前仍未知。不管如何,这种威胁能够在五年多时间保持不被发现。这究竟是由于其相对不活跃还是其他原因,是另一个有趣的问题。目前,没有任何线索可以对这种威胁进行归属,我们也没有发现它与任何已知的威胁组织有关,”卡巴斯基实验室恶意软件分析负责人Alexey Shulmin说。

所有卡巴斯基实验室产品均能够成功检测和拦截这种威胁。

 

为了避免成为已知或未知针对性攻击的受害者,卡巴斯基实验室研究人员建议采取以下措施:

· 使用高级安全工具,例如卡巴斯基反针对性攻击平台(KATA),同时确保您的安全团队可以访问到最新的网络威胁情报。

· 确保定期对您所在组织所使用的所有软件进行更新,特别是有新的安全补丁发布时。具备漏洞评估和补丁管理功能的安全产品可以帮助自动化实现这一过程。

· 使用经过验证的具备基于行为检测功能的安全解决方案(例如卡巴斯基端点安全),以有效地拦截已知和未知威胁,包括漏洞利用程序。

· 确保您的员工了解基本的网络安全卫生知识,因为很多针对性攻击都是从网络钓鱼或其他社交工程手段开始的。

关于TajMahal高级可持续性威胁的详细报告,请参见Securelist.

相关阅读

  • 02-25 有颜实用还好玩,全新科鲁兹你值得拥有
  • 08-21 他们如此性感醒目,是因为拥有这件利器
  • 05-25 拥有水润秀发,从珂润洗护开始
  • 03-20 珂润,让肌肤拥有持久保湿力
  • 01-25 国办:到2020年每万名居民将拥有2至3名全科医生