APT 프레임워크 TajMahal을 사용하는 방법

개요

'타지마할'은 2018년 가을 카스퍼스키랩이 발견한 이전에는 알려지지 않았고 기술적으로 복잡한 APT 프레임워크입니다. 이 완전한 스파이 프레임워크는 "Tokyo"와 "Yokohama"라는 두 개의 패키지로 구성됩니다. 여기에는 백도어, 로더, 오케스트레이터, C2 커뮤니케이터, 음성 녹음기, 키로거, 화면 및 웹캠 그래버, 문서 및 암호화 키 스틸러, 심지어 피해자 시스템의 자체 파일 인덱서까지 포함됩니다. 우리는 암호화된 가상 파일 시스템에 최대 80개의 악성 모듈이 저장되어 있음을 발견했는데, 이는 APT 도구 세트에서 본 플러그인 중 가장 많은 수 중 하나입니다.

그 기능을 강조하기 위해 TajMahal은 피해자뿐만 아니라 프린터 대기열에 있는 구운 CD에서도 데이터를 훔칠 수 있습니다. 또한 이전에 본 USB 스틱에서 특정 파일을 훔치도록 요청할 수도 있습니다. 다음에 USB가 컴퓨터에 연결되면 파일이 훔쳐지게 됩니다.

타지마할은 적어도 지난 5년 동안 개발되어 사용되었습니다. 처음으로 알려진 "적법한" 샘플 타임스탬프는 2013년 8월이고 마지막 타임스탬프는 2018년 4월입니다. 피해자의 컴퓨터에서 타지마할 샘플이 처음 확인된 날짜는 2014년 8월입니다.

기술 세부 사항

Kaspersky는 도쿄와 요코하마라고 주장하는 두 가지 유형의 TajMahal 패키지를 발견했습니다. Kaspersky Lab은 피해자 시스템이 두 가지 소프트웨어 패키지에 의해 감염되었음을 발견했습니다. 이는 도쿄가 1단계 감염으로 사용되었음을 암시하며, 도쿄는 아래와 같은 프레임워크를 사용하여 피해자 시스템에 완전한 기능을 갖춘 요코하마를 배포했습니다.

이러한 피해자 시스템의 모듈을 기반으로 다음과 같은 흥미로운 기능이 있었습니다. 식별됨:

• 프린터 대기열로 전송된 문서를 훔칠 수 있습니다.

• 피해자 정찰을 위해 수집된 데이터에는 Apple 모바일 기기의 백업 목록이 포함됩니다.

• VoiceIP 앱 오디오를 녹음하는 동안 스크린샷을 찍으세요.

• CD 이미지를 훔치고 쓰세요.

• 이전에 이동식 드라이브에 있던 파일을 다시 사용할 수 있게 되면 이를 훔치는 기능.

• Internet Explorer, Netscape Navigator, FireFox 및 RealNetworks 쿠키를 훔치세요.

• 프런트엔드 파일이나 관련 레지스트리 값에서 제거한 경우 재부팅 후 새로운 이름과 실행 유형으로 다시 나타납니다.

속성:

추측 1: 러시아

Kaspersky는 지금까지 중앙아시아 외교부 한 곳만 공개했습니다. 이전 보고서에서 APT28은 중앙아시아에서도 공격을 시작했습니다.

추측 2: 미국:

지도에서 볼 수 있듯이 중앙아시아는 러시아와 중국에 인접해 있습니다. 이 지역은 항상 미국의 승리 노력의 대상이었습니다

.

그리고 이 프레임워크 Kabbah는 이를 복잡한 모듈화라고 부릅니다. 타임스탬프에 따르면 프레임워크는 이미 13년 전에 컴파일되었으며 Kabba는 2018년에 처음 발견되었습니다. 미국의 APT 공격은 일반적으로 비밀스럽고 모듈화되어 있어 공격이 어렵습니다. Flame은 발견된 최초의 복잡한 모듈식 트로이 목마입니다

위 내용은 APT 프레임워크 TajMahal을 사용하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!