Vad är Tajmahal-spionprogrammet?

Forskare har nyligen upptäckt en anpassningsbar och modulär mjukvara som heter Tajmahal som består av en mängd funktioner som är utformade för att utföra olika cyber-spioneringsuppgifter. Mångsidigheten och komplexiteten i detta spyware-ramverk har oroat säkerhetsexperter och forskare. Ta reda på mer vad Tajmahal kan göra i följande artikel.


Vad är Tajmahal Spyware?

Vad är Tajmahal Spyware?

Vad är Tajmahal Spyware?

Kaspersky Labs säkerhetsforskare har upptäckt en ny högteknologisk högkvalitativ spyware ram som kallas TajMahal. De kunde upptäcka hotet med sina automatiska heuristiska tekniker. Spyware har förmågan att främja alla typer av attacker med implementering av olika verktyg. Det kännetecknas av en mycket sofistikerad och aldrig tidigare sett kodbas. Experter har hittat 80 skadliga moduler hittills i spionprogrammet. Experter säger att TajMahal spionprogram har varit i fullt aktivt läge i över fem år.

I själva verket har experter bara upptäckt ramverket förra året när det riktade sig mot den diplomatiska byrån i ett centralasiatiskt land. Bara för att bara en framkom som offer för attacken betyder inte att många andra har påverkats. De är förmodligen bara inte medvetna om det, och resten av offren har ännu inte bekräftats. Säkerhetsexperter tror att en nationstatsattacker står bakom denna Advanced Persistent Threat (APT). Men forskare och säkerhetsexperter pekade inte fingrar på några kända hackgrupper eller hotaktörer hittills.

Vad gör Tajmahal?

Anledningen till att detta ramverk lyckades stanna under radaren i fem år beror på dess kodbas. Den här basen har inget samband med annan skadlig programvara eller APT. Så här fungerar det här spionprogrammet och vad denna APT-plattform består av. Ramverket skadar och infekterar system med användning av två paket som kallas Tokyo och Yokohama. Tokyo lämnar inte systemet även efter den andra fasen påbörjas för att fungera som en ytterligare kommunikationskanal.

Yokohama, å andra sidan, räknar som vapenens nyttolast för den andra fasen. Även om Tokyo bara innehåller tre moduler, varav en fungerar som den första bakdörren, är Yokohama multifunktionell nyttolastspionprogram, som består av dussintals andra moduler. Ett stort antal moduler används i Yokohama för att tillhandahålla alla typer av funktioner. Yokohama skapar ett komplett virtuellt filsystem med plugins, tredjepartsbibliotek och konfigurationsfiler. Tokyos ursprungliga bakdörr använder PowerShell-hackningsramen. Detta gör det möjligt för angripare att infektera fler system i större skala, samt ansluta till en kommando-och-kontrollserver. Att ansluta till en är hur angripare får tillgång till filer och dokument. 

Kommentar till Spyware

 Alexey Shulmin, en säkerhetsforskare i Kaspersky, hade detta att säga om attacken: ”På något sätt har den stannat under radaren i över fem år. Huruvida detta beror på relativ inaktivitet eller något annat är en annan spännande fråga. Det är en påminnelse för cybersecurity-samhället att vi egentligen aldrig har full synlighet av allt som pågår i cyberspace. ”

Enligt forskare: ”Detta är en mycket komplex utveckling. TajMahal är extremt sällsynt, förutom att den är mycket avancerad och sofistikerad. Spyware har en helt ny kod och det verkar inte vara relaterat till något annat spionprogram som tidigare har utvecklats. “.

Mer information om Tajmahal

Tajmahal kan stjäla data från skrivarkön och från en CD som ett offer har bränt, enligt Kaspersk. Det kan också stjäla cookies från FireFox, RealNetworks, Internet Explorer och Netscape Navigator. Det här är vad spionprogrammet kan göra. Spionprogrammet kan filtrera viktiga filer från flyttbara lagringsenheter. Det första det gör är att identifiera filer på den flyttbara enheten, som en USB-stick. Sedan extraherar den riktade filen nästa gång USB: n är i systemet. I själva verket, med Yokohama, sätter angriparna in en USB i en kompromissad dator, skannar innehållet på den och skickar sedan en lista till dess kommando- och kontrollserver. Det är här angriparna kan välja de filer de vill extrahera och få sina händer på från det infekterade systemet.

Tyvärr är det inte det enda sättet det här spionprogrammet kan komma åt filer på. Tajmahal har några fler moduler som kan kompromissa filer på andra olika sätt. Dessutom kan TajMahal fånga skärmdumpar av webbkamera och skrivbord samt utfärda kommandon. Även om någon tar bort den från frontend-filen eller registervärden visas den med ett annat namn direkt efter omstart.

 Innehållet i verktygssatsen

Hela verktygssatsen består av bakdörrar, lastare, orkestratorer, C2-kommunikatörer, ljudinspelare, keyloggers, skärmgripare, nyckelstångare och en filindexer. Här är en lista över vad denna APT kan:

  • Att stjäla kakor och bilder på optiska skivor skapade av offret.
  • Avlyssna dokument och filer från utskriftskön.
  • Ta skärmdumpar av och spela in VoIP-samtal.
  • Samla in data om offret (inklusive en lista över säkerhetskopior av deras iOS-enhet).
  • Indexera filer även på externa enheter och stjäla vissa filer när enheten identifieras igen.

Vad är Tajmahal Spyware? – Slutgiltiga tankar

Det som gör TajMahal så skrämmande och oroande är dess tekniska komplexitet. Du vet hur bara ett offer har bekräftats, det värsta är att komma ännu. Antalet Tajmahal-offer kommer att öka. Se upp för TajMahal och dess analoger. Du bör vidta alla nödvändiga säkerhetsåtgärder för att undvika Tajmahal-attacken. Vi rekommenderar att du får utbildning om skadlig programvara, spionprogram, rootkits, allt. Du vet aldrig när du kanske behöver den typen av information.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map