Следующая новость
Предыдущая новость

APT-платформа TajMahal атакует дипломатов и похищает данные из очереди на печать, CD и не только

11.04.2019 14:22
APT-платформа TajMahal атакует дипломатов и похищает данные из очереди на печать, CD и не только

Рекомендуем почитать:

Xakep #240. Ghidra

  • Содержание выпуска
  • Подписка на «Хакер»

Специалисты «Лаборатории Касперского» рассказали об интересном шпионском фреймфорке TajMahal, обнаруженном осенью 2018 года, в ходе атаку на дипломатическую организацию, принадлежащую одной из стран Центральной Азии.

APT-платформа TajMahal атакует дипломатов и похищает данные из очереди на печать, CD и не только

TajMahal состоит их двух основные частей: Tokyo и Yokohama. На всех зараженных компьютерах были обнаружены обе части. Первая выполняет функции основного бэкдора и служит для доставки малвари второй фазы заражения. Интересно, что даже после начала второго этапа атаки Tokyo остается в системе, очевидно, чтобы выполнять функции дополнительного канала связи и в качестве подстраховки.

Yokohama представляет собой пейлоад второго этапа. Она создает виртуальную файловую систему с плагинами, сторонними библиотеками и конфигурационными файлами. В итоге арсенал злоумышленников входят бэкдоры, лоадеры, оркестраторы, средства для записи аудио, перехвата нажатий клавиш, изображения с экрана и камер, хищения документов и криптографических ключей и многое другое.

В итоге TajMahal способен:

  • воровать cookie-файлы из Internet Explorer, Netscape Navigator, FireFox и RealNetworks;
  • перехватывать документы из очереди на печать;
  • собирать данные о жертве (в том числе список резервных копий ее iOS-устройства);
  • записывать VoIP-звонков и делать снимки экрана;
  • похищать данные с оптических дисков, записываемых жертвой;
  • индексировать файлы, в том числе на внешних носителях, и похищать определенные файлы при повторном обнаружении носителя (если нужный файл был намечен на USB-накопителе, при следующем его подключении, файл может быть украден).

По информации исследователей, разработка фреймворка ведется с 2013 года, а первые атаки имели место еще в 2014 году. Учитывая сложность и проработанность TajMahal, а также тот факт, что он не попадал на «радары» специалистов пять лет, аналитики «Лаборатории Касперского» полагают, что в скором будущем количество выявленных жертв вредоноса может увеличиться.

Источник

Последние новости