'TajMahal'是卡巴斯基實驗室在2018年秋季發現的一個以前未知且技術複雜的APT框架。這個完整的間諜框架由兩個名為“東京”和“橫濱”的包組成。它包括後門,加載器,協調器,C2通信器,錄音機,鍵盤記錄器,屏幕和網絡攝像頭抓取器,文檔和加密密鑰竊取程序,甚至是受害者機器的自己的文件索引器。我們發現其加密的虛擬檔案系統中儲存了多達80個惡意模組,這是我們見過的APT工具集中插件數量最多的插件之一。
為了突顯其功能,TajMahal能夠從受害者以及印表機佇列中燒錄的CD中竊取資料。它還可以要求從先前看到的USB記憶棒中竊取特定檔案;下次USB連接到電腦時,檔案將被盜。
TajMahal至少在過去五年中已經發展和使用。第一個已知的「合法」樣本時間戳記是從2013年8月開始,最後一個是從2018年4月開始。在受害者的機器上看到TajMahal樣本的第一個確認日期是2014年8月。
卡巴斯基發現了兩種不同類型的TajMahal包,自稱為東京和橫濱。卡巴斯基實驗室發現的受害者係統被兩個軟體包感染。這顯示東京被用作第一階段感染,東京在受害者係統佈置了功能齊全的橫濱,框架如下圖所示:
根據這些受害者機器上的模組,確定了以下有趣的功能:
能夠竊取傳送到印表機佇列的文件。
為受害者偵察收集的資料包含Apple行動裝置的備份清單。
錄製VoiceIP應用程式音訊時拍攝螢幕截圖。
偷了寫CD映像。
能夠在再次可用時竊取先前在可移動磁碟機上看到的檔案。
竊取Internet Explorer,Netscape Navigator,FireFox和RealNetworks cookie。
如果從前端檔案或相關登錄值中刪除,則在重新引導後將使用新名稱和啟動類型重新顯示。
猜想一:俄羅斯
卡巴斯基目前隻公開了一個受害者,中亞地區一個外交部門,在先前的報告中,APT28也開始針對中亞地區進行攻擊活動。
猜想二:美國:
由地圖可見,中亞地區毗鄰俄羅斯,中國,該地區一直是美國極力拉攏的對象
且該框架卡巴稱為複雜的模組化框架,根據時間戳最早13年就編譯,18年卡巴才首次發現,而美國的APT攻擊通常也是隱密且模組化,不易被發現,像Flame就是第一個被發現的複雜的模組化木馬
以上是APT框架TajMahal怎麼用的詳細內容。更多資訊請關注PHP中文網其他相關文章!
