概述
'TajMahal'是卡巴斯基實驗室在2018年秋季發現的一個以前未知且技術復雜的APT框架�。這個完整的間諜框架由兩個名為“東京”和“橫濱”的包組成���。它包括后門,加載器,協調器,C2通信器,錄音機,鍵盤記錄器,屏幕和網絡攝像頭抓取器,文檔和加密密鑰竊取程序,甚至是受害者機器的自己的文件索引器�。我們發現其加密的虛擬文件系統中存儲了多達80個惡意模塊,這是我們見過的APT工具集中插件數量最多的插件之一���。
為了突出其功能,TajMahal能夠從受害者以及打印機隊列中刻錄的CD中竊取數據����。它還可以請求從先前看到的USB記憶棒中竊取特定文件;下次USB連接到計算機時,文件將被盜�。
TajMahal至少在過去五年中已經開發和使用��。第一個已知的“合法”樣本時間戳是從2013年8月開始,最后一個是從2018年4月開始��。在受害者的機器上看到TajMahal樣本的第一個確認日期是2014年8月�����。
技術細節
卡巴斯基發現了兩種不同類型的TajMahal包,自稱為東京和橫濱���?��?ò退够鶎嶒炇野l現的受害者系統被兩個軟件包感染����。這表明東京被用作第一階段感染,東京在受害者系統布置了功能齊全的橫濱,框架如下圖所示:
根據這些受害者機器上的模塊,確定了以下有趣的功能:
能夠竊取發送到打印機隊列的文檔�����。
為受害者偵察收集的數據包括Apple移動設備的備份列表��。
錄制VoiceIP應用程序音頻時拍攝屏幕截圖���。
偷了寫CD圖像�。
能夠在再次可用時竊取以前在可移動驅動器上看到的文件���。
竊取InternetExplorer,NetscapeNavigator,FireFox和RealNetworkscookie��。
如果從前端文件或相關注冊表值中刪除,則在重新引導后將使用新名稱和啟動類型重新顯示�����。
歸屬:
猜想一:俄羅斯
卡巴斯基目前只公開了一個受害者,中亞地區一個外交部門,在之前的報道中,APT28也開始針對中亞地區進行攻擊活動�����。
猜想二:美國:
由地圖可見,中亞地區毗鄰俄羅斯,中國,該地區一直是美國極力拉攏的對象
而且該框架卡巴稱為復雜的模塊化框架,根據時間戳最早13年就編譯,18年卡巴才首次發現,而美國的APT攻擊通常也是隱秘且模塊化,不易被發現,像Flame就是第一個被發現的復雜的模塊化木馬
看完上述內容是否對您有幫助呢?如果還想對相關知識有進一步的了解或閱讀更多相關文章,請關注本站行業資訊頻道,感謝您對本站的支持�。
