Taj Mahal间谍软件传播5年才被发现 被用于窃取国家信息

网络安全研究人员昨天公布了一个高度复杂的间谍软件APT框架,该框架至少已运行了5年 – 但直到最近仍未被发现。该间谍软件被命名为TajMahal,是一种基于多模块的恶意软件工具包。

安全研究院最早发现TajMahal工具包是在2018年底,黑客利用它来监视中亚某国家的外交组织的计算机。

然而,通过研究人员检查的恶意软件样本表明,攻击背后的网络间谍组织至少自2014年8月以来一直活跃.TamMahal框架包括两个主要包 – “Tokyo” and “Yokohama” – 它们共包含80多个不同的恶意模块,根据研究人员的说法,这是APT工具集中有史以来最多的插件之一。

研究人员尚未弄清楚TajMahal如何首先感染其目标,但他们确实透露,一旦访问,第一阶段感染”Tokyo”将被下载到目标机器上,然后提供全功能的第二阶段恶意软件”Yokohama”。

“Yokohama”在其加密的虚拟文件系统中存储恶意模块,允许恶意软件:

  • 记录击键,
  • 窃取浏览器cookie和数据,包括Apple移动设备的备份,
  • 记录并截取VoIP电话的截图,
  • 窃取发送到打印机队列的文件。

除了通常的间谍功能外,TajMahal恶意软件还包括一些更独特的功能,例如请求从插入的USB中窃取特定文件。因此,当USB连接到受感染的计算机时,文件将被窃取。

虽然研究人员到目前为止只找到了一名TajMahal受害者,但考虑到框架的复杂程度,他们认为还有其他受害者尚未被发现。

参考链接:https://thehackernews.com/2019/04/apt-malware-framework.html
原文链接:http://toutiao.secjia.com/article/page?topid=111405

上一篇:90%的OT组织是网络攻击的受害者 OT设备仍存在大量漏洞

下一篇:从赛门铁克最新网络安全报告看中国隐私保护