Тадж-Махал — тот, что между Токио и Иокогамой

APT-атака, нацеленная на дипломатическую миссию азиатской страны.

Осенью 2018 года мы выявили атаку на дипломатическую организацию, принадлежащую одной из стран Центральной Азии. В этом не было бы ничего удивительного — дипломатами и их информационными системами периодически интересуются разные политические силы, — если бы не инструмент, с помощью которого этого было сделано. А именно, новая APT-платформа, названная TajMahal.

TajMahal — не просто набор бэкдоров, а качественно разработанный и высокотехнологичный шпионский фреймворк с огромным количеством плагинов (в данный момент наши эксперты нашли 80 вредоносных модулей), благодаря которым могут быть реализованы самые разнообразные сценарии атаки и задействованы различные инструменты. По оценке наших экспертов, TajMahal используется в течение последних пяти лет, и то, что «достоверная жертва» пока только одна, говорит лишь о том, что остальные, скорее всего, просто пока не обнаружены.

Что может TajMahal?

Экспертами были обнаружены две основные части этой APT-платформы: Tokyo и Yokohama. На всех зараженных компьютерах были найдены обе части. Первая выполняет функции основного бэкдора и служит для доставки вредоноса второго этапа. Что интересно — даже после начала второй фазы он остается в системе, очевидно для того, чтобы работать дополнительным каналом связи и для подстраховки. Yokohama — боевая нагрузка второго этапа. Она создает виртуальную файловую систему с плагинами, сторонними библиотеками и конфигурационными файлами. Ее арсенал весьма и весьма широк:

  • Кража cookie-файлов
  • Перехват документов из очереди на печать
  • Сбор данных о жертве (среди них список резервных копий ее iOS-устройства)
  • Запись VoIP-звонков и создание снимков экрана во время них
  • Кража образов оптических дисков, записываемых жертвой
  • Индексация файлов, в том числе на внешних носителях, и возможность кражи определенного файла при повторном обнаружении носителя

Итого

Высокий уровень технической сложности делает TajMahal весьма тревожным открытием и говорит о том, что количество выявленных жертв может в скором времени увеличиться. Продукты «Лаборатории Касперского» успешно детектируют TajMahal. Более подробный технический отчет об этой угрозе можно найти на нашем блоге Securelist.

Изначально эта угроза была обнаружена при помощи наших проактивных инструментов. Так что для защиты от этого вредоноса и его аналогов имеет смысл использовать проверенные защитные решения, построенные с применением эвристических технологий. Такие, как Kaspersky Security для бизнеса.

Советы