Αρχική Ιντερνετ Security TajMahal APT Framework: παρέμεινε στις σκιές για περίπου 5 χρόνια

TajMahal APT Framework: παρέμεινε στις σκιές για περίπου 5 χρόνια

Από

11/04/2019

Ερευνητές κυβερνητικής ασφάλειας αποκάλυψαν δημόσια την ύπαρξη ενός ιδιαίτερα περίπλοκου spyware framework το οποίο λειτουργούσε ανενόχλητο για τουλάχιστον 5 χρόνια. Ονομαζόμενο ως TajMahal από τους ερευνητές του Kaspersky Lab, το συγκεκριμένο APT framework είναι ένα ιδιαίτερα προσεγμένο και “κομματιαστό” malware toolkit το οποίο όχι μόνο επιτρέπει την ενσωμάτωση εκατοντάδων plugins για την επέκτασή του μα περιλαμβάνει διάφορες τεχνοτροπίες δράσης οι οποίες συναντώνται πρώτη φορά στο ηλεκτρονικό έγκλημα.

Το TajMahal toolkit εντοπίστηκε πρώτη φορά από ερευνητές στα τέλη του περασμένου χρόνου όταν εργαλεία του χρησιμοποιήθηκαν για την παρακολούθηση ενός διπλωματικού σώματος το οποίο ανήκε σε χώρα της κεντρικής Ασίας της οποίας το όνομα παραμένει στην αφάνεια.

Παρόλα αυτά, δείγματα από malware τα οποία έχουν υποβληθεί στην Kaspersky και αργότερα αναλυθεί δείχνουν τη σφραγίδα του TajMahal να βρίσκεται ακόμη και σε αρχεία του 2014. Το framework αποτελείται από δύο κύρια μέρη, το πρώτο με την ονομασία “Tokyo” και το δεύτερο “Yokohama” – μαζί περιέχουν πάνω από 80 ξεχωριστά modules, αριθμός ο οποίος σύμφωνα με τους ερευνητές αποτελεί ρεκόρ για τα εν λόγω APT toolsets.

Όπως χαρακτηριστικά αναφέρουν οι ερευνητές στη δημοσίευσή τους, το framework περιλαμβάνει “backdoors, loaders, orchestrators, C2 communicators, audio recorders, keyloggers, screen/webcam grabbers, stealers κρυπογραφικών κλειδιών και ακόμη και δικό του file indexer για το σύστημα του θύματος.“

Το module του TajMahal, το οποίο τιτλοφορείται “Yokohama”, αποθηκεύει όλα τα εργαλεία του σε ένα κρυπτογραφημένο file system κάνοντας δυσκολότερη την ανάλυση.

Παρότι οι ερευνητές έχουν εντοπίσει μέχρι τώρα μόλις ένα θύμα του εν λόγω framework η πολυπλοκότητά του το καθιστά αδύνατο να αποτελεί και το μοναδικό. Πιστεύεται πως στο επόμενο διάστημα θα διαπιστωθούν και άλλοι στόχοι που υπέστησαν κάποια παραβίαση μέσω του TajMahal.

Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.