Taj Mahal間諜軟件傳播5年才被發現 被用于竊取國家信息
責編:gltian |2019-04-11 13:32:23網絡安全研究人員昨天公布了一個高度復雜的間諜軟件APT框架,該框架至少已運行了5年 – 但直到最近仍未被發現。該間諜軟件被命名為TajMahal,是一種基于多模塊的惡意軟件工具包。
安全研究院最早發現TajMahal工具包是在2018年底,黑客利用它來監視中亞某國家的外交組織的計算機。
然而,通過研究人員檢查的惡意軟件樣本表明,攻擊背后的網絡間諜組織至少自2014年8月以來一直活躍.TamMahal框架包括兩個主要包 – “Tokyo” and “Yokohama” – 它們共包含80多個不同的惡意模塊,根據研究人員的說法,這是APT工具集中有史以來最多的插件之一。
研究人員尚未弄清楚TajMahal如何首先感染其目標,但他們確實透露,一旦訪問,第一階段感染”Tokyo”將被下載到目標機器上,然后提供全功能的第二階段惡意軟件”Yokohama”。
“Yokohama”在其加密的虛擬文件系統中存儲惡意模塊,允許惡意軟件:
- 記錄擊鍵,
- 竊取瀏覽器cookie和數據,包括Apple移動設備的備份,
- 記錄并截取VoIP電話的截圖,
- 竊取發送到打印機隊列的文件。
除了通常的間諜功能外,TajMahal惡意軟件還包括一些更獨特的功能,例如請求從插入的USB中竊取特定文件。因此,當USB連接到受感染的計算機時,文件將被竊取。
雖然研究人員到目前為止只找到了一名TajMahal受害者,但考慮到框架的復雜程度,他們認為還有其他受害者尚未被發現。