Segurança - Pesquisadores de cibersegurança descobrem plataforma sofisticada de espionagem
Kaspersky Lab identificou a infraestrutura TajMahal, que inclui módulos maliciosos e funcionalidades nunca antes vistas
fonte: https://itmidia.com/pesquisadores-de-ciberseguranca-descobrem-plataforma-sofisticada-de-espionagem/
O “TajMahal” foi descoberto no final de 2018. De acordo com
pesquisadores da Kaspersky, trata-se de uma infraestrutura de APT
tecnicamente sofisticada, desenhada para uma vasta ação de
ciberespionagem. A análise de malware mostra que a plataforma foi
desenvolvida e utilizada, pelo menos, nos últimos cinco anos, sendo que a
data da amostra mais antiga é de abril de 2013 e a mais recente de
agosto de 2018. O nome “TajMahal” vem do nome do arquivo utilizado para
extrair a informação roubada. Estima-se que a infraestrutura “TajMahal”
inclua dois pacotes principais chamados “Tokyo” e “Yokohama”.
“Tokyo” é o menor pacote e tem cerca de três módulos. Contém a funcionalidade principal de backdoor e conecta-se periodicamente com os servidores de comando e controle. “Tokyo” aproveita o PowerShell e permanece na rede mesmo depois da invasão ter evoluído para o nível dois.
Segundo a investigação da Kaspersky Lab, o nível dois diz respeito ao pacote “Yokohama”: uma infraestrutura cheia de ferramentas de espionagem. Este inclui um Sistema Virtual de Arquivos (VFS) com plugins, open source, bibliotecas de terceiros e arquivos de configuração. Existem cerca de 80 módulos no total que incluem carregadores, orquestradores, comunicadores de comando e controle, gravadores de áudio, keyloggers, grabbers de webcam e ecrã, documentos e ferramentas para roubar chaves de criptografia.
O “TajMahal” também é capaz de roubar cookies do navegador, coletar a lista de backup de dispositivos móveis da Apple, roubar dados de um CD gravado pela vítima, bem como documentos que estão na fila de uma impressora. Pode também solicitar o roubo de um arquivo em específico, visto anteriormente em pen drives, e ele passa a ser roubado na próxima vez que for conectada à entrada USB do computador.
Até agora, a Kaspersky Lab identificou uma embaixada situada na Ásia Central como a única vítima, mas é muito provável que outras entidades tenham sido afetadas. Os vetores de distribuição e infecção do “TajMahal” continuam desconhecidos.
“A infraestrutura TajMahal é uma descoberta muito interessante e intrigante", destacou Alexey Shulmin, especialista em lead malware na Kaspersky Lab. Segundo ele, sua sofisticação técnica é incontestável e inclui funcionalidades nunca vistas em grupos especializados em APTs.
"Ainda há muitas questões sem respostas. Por exemplo, nos parece muito pouco provável que este investimento tenha apenas uma vítima como alvo. Isto sugere que há vítimas que ainda não foram identificadas ou que há versões atualizadas deste malware em ação– ou possivelmente ambas as opções. Os vetores de distribuição e infeção desta ameaça ainda permanecem desconhecidos. De qualquer forma, ela ficou longe do radar durante cinco anos. Ou isto se deve ao fato de ter estado inativa ou há questões intrigantes ainda sem respostas. Não existem pistas que possamos seguir, nem quaisquer links que nos levam a grupos que criaram esta ameaças”, complementou.
“Tokyo” é o menor pacote e tem cerca de três módulos. Contém a funcionalidade principal de backdoor e conecta-se periodicamente com os servidores de comando e controle. “Tokyo” aproveita o PowerShell e permanece na rede mesmo depois da invasão ter evoluído para o nível dois.
Segundo a investigação da Kaspersky Lab, o nível dois diz respeito ao pacote “Yokohama”: uma infraestrutura cheia de ferramentas de espionagem. Este inclui um Sistema Virtual de Arquivos (VFS) com plugins, open source, bibliotecas de terceiros e arquivos de configuração. Existem cerca de 80 módulos no total que incluem carregadores, orquestradores, comunicadores de comando e controle, gravadores de áudio, keyloggers, grabbers de webcam e ecrã, documentos e ferramentas para roubar chaves de criptografia.
O “TajMahal” também é capaz de roubar cookies do navegador, coletar a lista de backup de dispositivos móveis da Apple, roubar dados de um CD gravado pela vítima, bem como documentos que estão na fila de uma impressora. Pode também solicitar o roubo de um arquivo em específico, visto anteriormente em pen drives, e ele passa a ser roubado na próxima vez que for conectada à entrada USB do computador.
Até agora, a Kaspersky Lab identificou uma embaixada situada na Ásia Central como a única vítima, mas é muito provável que outras entidades tenham sido afetadas. Os vetores de distribuição e infecção do “TajMahal” continuam desconhecidos.
“A infraestrutura TajMahal é uma descoberta muito interessante e intrigante", destacou Alexey Shulmin, especialista em lead malware na Kaspersky Lab. Segundo ele, sua sofisticação técnica é incontestável e inclui funcionalidades nunca vistas em grupos especializados em APTs.
"Ainda há muitas questões sem respostas. Por exemplo, nos parece muito pouco provável que este investimento tenha apenas uma vítima como alvo. Isto sugere que há vítimas que ainda não foram identificadas ou que há versões atualizadas deste malware em ação– ou possivelmente ambas as opções. Os vetores de distribuição e infeção desta ameaça ainda permanecem desconhecidos. De qualquer forma, ela ficou longe do radar durante cinco anos. Ou isto se deve ao fato de ter estado inativa ou há questões intrigantes ainda sem respostas. Não existem pistas que possamos seguir, nem quaisquer links que nos levam a grupos que criaram esta ameaças”, complementou.