Navorsers het onlangs ‘n aanpasbare en modulêre sagteware genaamd Tajmahal ontdek wat bestaan ​​uit ‘n verskeidenheid funksies wat ontwerp is om verskillende kuber-spioenasietake uit te voer. Die veelsydigheid en ingewikkeldheid van hierdie raamwerk vir spyware het veiligheidskenners en navorsers ontstel. Vind meer uit wat die Tajmahal in staat is in die volgende artikel.

Wat is Tajmahal-spyware?

Wat is Tajmahal-spyware?

Wat is Tajmahal-spyware?

Die veiligheidsnavorsers van Kaspersky Lab het ‘n nuwe hoë-tegnologie hoë-tegnologie ontdek spyware raamwerk genaamd TajMahal. Hulle kon die bedreiging opspoor deur hul outomatiese heuristiese tegnologieë te gebruik. Die spyware het die vermoë om allerlei aanvalle te bevorder met die implementering van verskillende instrumente. Dit word gekenmerk deur ‘n uiters gesofistikeerde en nog nooit gesien kode basis nie. Kenners het tot dusver 80 kwaadwillige modules in die spyware opgespoor. Kenners meen dat TajMahal-spyware al langer as vyf jaar in volle aktiewe modus is.

In werklikheid het kenners pas die raamwerk verlede jaar ontdek toe dit die diplomatieke agentskap van ‘n land in Sentraal-Asië geteiken het. Net omdat slegs een na vore gekom het as die slagoffer van die aanval, beteken dit nie dat baie ander onaangeraak geraak het nie. Hulle is waarskynlik net nie bewus daarvan nie, en die res van die slagoffers moet nog bevestig word. Veiligheidskenners glo dat ‘n aanvalle van ‘n volkstaat agter hierdie Advanced Persistent Threat (APT) staan. Maar navorsers en veiligheidskundiges het tot dusver nog nie vinger na enige bekende hacking-groepe of bedreigingsakteurs gewys nie.

Wat doen Tajmahal?

Die rede waarom hierdie raamwerk daarin geslaag het om vyf jaar onder die radar te bly, is te danke aan die kodebasis. Hierdie spesifieke basis hou geen verband met ander malware of APT’s nie. Dit is hoe hierdie spyware werk en waaruit hierdie APT-platform bestaan. Die raamwerk beskadig en besmet stelsels met die gebruik van twee pakkette genaamd Tokyo en Yokohama. Tokio verlaat nie die stelsel nie, selfs nadat die tweede fase begin het om as ‘n addisionele kommunikasiekanaal te dien.

Aan die ander kant tel Yokohama die wapenlading van daardie tweede fase. Alhoewel Tokio net drie modules bevat, waarvan een slegs die eerste agterdeur is, is Yokohama multifunksionele loonvrag-spyware, wat bestaan ​​uit tientalle ander modules. ‘N Groot aantal modules word in Yokohama gebruik om allerlei funksies te bied. Yokohama skep ‘n volledige virtuele lêerstelsel met plugins, biblioteke van derdepartye en konfigurasielêers. Die aanvanklike agterdeur van Tokio gebruik die PowerShell-hacking-raamwerk. Dit stel aanvallers in staat om meer stelsels op ‘n groter skaal te besmet, asook om op ‘n opdrag-en-beheer-bediener te skakel. Verbinding met een is hoe aanvallers toegang tot lêers en dokumente verkry. 

Kommentaar op die Spyware

 Alexey Shulmin, ‘n veiligheidsnavorser van Kaspersky, het dit oor die aanval te sê: ‘Op een of ander manier het dit meer as vyf jaar onder die radar gebly. Of dit te danke is aan relatiewe onaktiwiteit of iets anders, is ‘n ander interessante vraag. Dit is ‘n herinnering aan die kuberveiligheidsgemeenskap dat ons nooit die volle sigbaarheid het van alles wat in die kuberruimte aangaan nie. ”

Volgens navorsers: “Dit is ‘n baie ingewikkelde ontwikkeling. TajMahal is buitengewoon skaars, behalwe dat hy baie gevorderd en gesofistikeerd is. Spyware het ‘n heeltemal nuwe kode en dit lyk nie of dit verband hou met ander spyware wat in die verlede ontwikkel is nie. ‘.

Meer inligting oor die Tajmahal

Volgens Kaspersk is Tajmahal in staat om data uit die drukkersituasie en van ‘n CD te steel wat ‘n slagoffer verbrand het. Dit kan ook koekies van FireFox, RealNetworks, Internet Explorer en Netscape Navigator steel. Dit is wat die spyware kan doen. Die spyware kan belangrike lêers van verwyderbare opbergtoestelle uittart. Die eerste ding wat dit doen, is om lêers op die verwyderbare skyf te identifiseer, soos ‘n USB-stick. Dan haal dit die geteikende lêer uit die volgende keer dat die USB in die stelsel is. In werklikheid plaas aanvallers saam met Yokohama ‘n USB in ‘n gekompromitteerde rekenaar, skandeer die inhoud daarop en stuur dan ‘n lys na die opdrag- en beheerserver. Dit is hier waar aanvallers die lêers kan kies wat hulle wil onttrek en hul hande op die besmette stelsel kan kry.

Ongelukkig is dit nie die enigste manier waarop hierdie Spyware toegang tot lêers kan kry nie. Tajmahal het nog ‘n paar modules wat lêers op ander maniere kan benadeel. Verder is TajMahal in staat om skermkiekies van die webkamera en tafelrekenaar op te neem en opdragte uit te reik. Selfs as iemand dit uit die frontend-lêer of registerwaardes verwyder, verskyn dit weer met ‘n ander naam direk na die herlaai.

 Inhoud van die gereedskapstel

Die hele gereedskapstel bestaan ​​uit agterdeure, laaiers, orkesteerders, C2-kommunikeerders, klankopnemers, keyloggers, skermgrypers, sleutelsteleerders en ‘n lêer-indekser. Hier is ‘n lys van waartoe hierdie APT in staat is:

  • Die steel van koekies en optiese skyfbeelde wat deur die slagoffer geskep is.
  • Onderskep dokumente en lêers uit die gedrukte tou.
  • Neem skermkiekies van en neem VoIP-oproepe op.
  • Versamel data oor die slagoffer (insluitend ‘n lys rugsteunkopieë van hul iOS-toestel).
  • Indeksering van lêers, selfs dié op eksterne skyfies, en sekere lêers gesteel word as die skyf weer herken word.

Wat is Tajmahal-spyware? – Finale gedagtes

Wat die TajMahal so intimiderend en kommerwekkend maak, is die tegniese kompleksiteit daarvan. U weet hoe slegs een slagoffer bevestig is, die slegste is nog. Die aantal Tajmahal-slagoffers gaan toeneem. Pasop vir die TajMahal en sy analogieë. U moet al die nodige veiligheidsmaatreëls tref om die Tajmahal-aanval te vermy. Ons raai u aan om op te lei oor malware, spyware, gemorspos, alles. U weet nooit wanneer u sulke inligting benodig nie.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me