Co to jest oprogramowanie szpiegujące Tajmahal?

Naukowcy odkryli niedawno adaptowalne i modułowe oprogramowanie o nazwie Tajmahal, które składa się z różnych funkcji zaprojektowanych do przeprowadzania różnych zadań cyberszpiegowskich. Wszechstronność i złożoność tej struktury programów szpiegujących zaalarmowała ekspertów ds. Bezpieczeństwa i badaczy. Dowiedz się więcej o możliwościach Tajmahal w następnym artykule.


Co to jest oprogramowanie szpiegujące Tajmahal?

Co to jest Tajmahal Spyware?

Co to jest Tajmahal Spyware?

Badacze bezpieczeństwa firmy Kaspersky Lab odkryli nowe, wysokiej jakości, zaawansowane technologicznie programy szpiegujące framework o nazwie TajMahal. Byli w stanie wykryć zagrożenie, wykorzystując swoje automatyczne technologie heurystyczne. Oprogramowanie szpiegujące może wspierać wszelkiego rodzaju ataki dzięki implementacji różnych narzędzi. Charakteryzuje się wysoce zaawansowaną i nigdy wcześniej nie widzianą bazą kodu. Do tej pory eksperci wykryli 80 złośliwych modułów w oprogramowaniu szpiegującym. Eksperci twierdzą, że oprogramowanie szpiegujące TajMahal działa w trybie pełnej aktywności od ponad pięciu lat.

W rzeczywistości eksperci odkryli ramy dopiero w zeszłym roku, gdy były one skierowane do agencji dyplomatycznej kraju Azji Środkowej. To, że tylko jeden pojawił się jako ofiara ataku, nie oznacza, że ​​wiele innych pozostało nietkniętych. Prawdopodobnie nie zdają sobie z tego sprawy, a pozostałe ofiary muszą jeszcze zostać potwierdzone. Eksperci ds. Bezpieczeństwa uważają, że za zaawansowanym zagrożeniem trwałym (APT) stoi atakujący państwo narodowe. Ale badacze i eksperci ds. Bezpieczeństwa nie wskazali dotychczas na żadne znane grupy hakerskie lub podmioty grożące.

Co robi Tajmahal?

Powodem, dla którego ramy te pozostały pod radarem przez pięć lat, jest podstawa kodu. Ta konkretna baza nie ma żadnego związku z innym złośliwym oprogramowaniem lub aplikacjami APT. Tak działa to oprogramowanie szpiegujące i z czego składa się ta platforma APT. Struktura uszkadza i infekuje systemy za pomocą dwóch pakietów o nazwie Tokio i Yokohama. Tokio nie wychodzi z systemu nawet po rozpoczęciu drugiej fazy, aby służyć jako dodatkowy kanał komunikacji.

Z drugiej strony Jokohama liczy się jako ładunek broni w drugiej fazie. Podczas gdy Tokio zawiera tylko trzy moduły – z których jeden działa jako backdoor, Yokohama to wielofunkcyjne oprogramowanie szpiegujące, na które składają się dziesiątki innych modułów. W Jokohamie wykorzystywana jest duża liczba modułów w celu zapewnienia wszelkiego rodzaju funkcjonalności. Yokohama tworzy kompletny wirtualny system plików z wtyczkami, bibliotekami stron trzecich i plikami konfiguracyjnymi. Początkowe backdoory w Tokio wykorzystują środowisko hakerskie PowerShell. Umożliwia to atakującym infekowanie większej liczby systemów na większą skalę, a także łączenie się z serwerem dowodzenia i kontroli. Łączenie się z jednym z nich pozwala intruzom uzyskać dostęp do plików i dokumentów. 

Komentarz do oprogramowania szpiegującego

 Alexey Shulmin, badacz bezpieczeństwa z Kaspersky Lab, powiedział o tym ataku: „Jakoś pozostawał pod radarem od ponad pięciu lat. To, czy jest to spowodowane względną bezczynnością, czy czymś innym, to kolejne intrygujące pytanie. Przypomina społeczności cyberbezpieczeństwa, że ​​tak naprawdę nigdy nie mamy pełnej widoczności wszystkiego, co dzieje się w cyberprzestrzeni. ”

Według naukowców: „Jest to bardzo złożony rozwój. TajMahal jest niezwykle rzadki, poza tym jest bardzo zaawansowany i wyrafinowany. Oprogramowanie szpiegujące ma zupełnie nowy kod i nie wydaje się być powiązane z niektórymi innymi programami szpiegującymi opracowanymi w przeszłości ”.

Więcej informacji o Tajmahal

Tajmahal jest zdolny do kradzieży danych z kolejki drukarki i płyty CD spalonej przez ofiarę, według Kaspersk. Może także kraść pliki cookie z FireFox, RealNetworks, Internet Explorer i Netscape Navigator. Oto, co może zrobić oprogramowanie szpiegujące. Oprogramowanie szpiegujące może wyfiltrować ważne pliki z wymiennych urządzeń pamięci masowej. Pierwszą rzeczą, jaką robi, jest identyfikowanie plików na dysku wymiennym, takich jak pamięć USB. Następnie wyodrębnia docelowy plik przy następnym podłączeniu USB do systemu. W rzeczywistości z Yokohamą osoby atakujące wkładają USB do zainfekowanego komputera, skanują jego zawartość, a następnie wysyłają listę do serwera dowodzenia i kontroli. W tym miejscu atakujący mogą wybrać pliki, które chcą wyodrębnić i uzyskać dostęp do zainfekowanego systemu.

Niestety nie jest to jedyny sposób, w jaki ten program szpiegujący może uzyskać dostęp do plików. Tajmahal ma jeszcze kilka modułów, które mogą kompromitować pliki na inne sposoby. Ponadto TajMahal jest w stanie przechwytywać zrzuty ekranu kamery internetowej i pulpitu, a także wydawać polecenia. Nawet jeśli ktoś usunie go z pliku interfejsu lub wartości rejestru, pojawi się ponownie pod inną nazwą zaraz po ponownym uruchomieniu.

 Zawartość zestawu narzędzi

Cały zestaw narzędzi składa się z backdoorów, programów ładujących, orkiestratorów, komunikatorów C2, rejestratorów audio, keyloggerów, programów do przechwytywania ekranu, programów do kradzieży kluczy oraz indeksatora plików. Oto lista możliwości tego APT:

  • Kradzież plików cookie i obrazów dysków optycznych utworzonych przez ofiarę.
  • Przechwytywanie dokumentów i plików z kolejki wydruku.
  • Robienie zrzutów ekranu i nagrywanie połączeń VoIP.
  • Zbieranie danych o ofierze (w tym lista kopii zapasowych ich urządzenia iOS).
  • Indeksowanie plików nawet na dyskach zewnętrznych i kradzież niektórych plików, gdy dysk zostanie ponownie rozpoznany.

Co to jest oprogramowanie szpiegujące Tajmahal? – Końcowe przemyślenia

Tym, co sprawia, że ​​TajMahal jest tak zastraszający i niepokojący, jest jego złożoność techniczna. Wiesz, jak potwierdzono tylko jedną ofiarę, najgorsze jeszcze przed nami. Liczba ofiar Tajmahal będzie rosła. Uważaj na TajMahal i jego analogi. Powinieneś podjąć wszelkie niezbędne środki bezpieczeństwa, aby uniknąć ataku Tajmahal. Radzimy dowiedzieć się o złośliwym oprogramowaniu, oprogramowaniu szpiegującym, rootkity, wszystko. Nigdy nie wiadomo, kiedy możesz potrzebować tego rodzaju informacji.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map