Tehniski izsmalcinātā un reti sastopamā ļaunprogrammatūra zog datus un izmanto jaunas metodes, tostarp zagšanu. drukāšanai nosūtīti dokumenti, kompaktdiskā ierakstītu failu zādzība un daudz kas cits — un tas nav saistīts ar zināmiem draudiem aktieris.
Jaunatklātā ļaunprogrammatūras forma, kas izvietota ļoti slepenas kiberspiegošanas kampaņas ietvaros, ir aprīkota ar vairākām jaunām ļaunprātīgām funkcijām. Šķiet, ka tas ir pilnīgi jaunas operācijas darbs, bez zināmām saiknēm ar zināmiem draudu dalībniekiem vai hakeru grupām.
Drošība
- 8 ļoti drošu attālināto darbinieku ieradumi
- Kā atrast un noņemt spiegprogrammatūru no tālruņa
- Labākie VPN pakalpojumi: kā salīdzināt labākos 5?
- Kā uzzināt, vai esat iesaistīts datu pārkāpumā, un ko darīt tālāk
Nodēvēts par TajMahal, pēc faila, ko tas izmanto, lai izfiltrētu nozagtus datus, ļaunprogrammatūra ir vairākas iespējas, kas iepriekš nebija redzamas a sētas durvis.
Tie ietver uz printera rindu nosūtīto dokumentu zagšanu, iespēju nozagt failus, kas iepriekš bija redzami noņemamajos diskos, tiklīdz tie ir pieejami. atkal iespēja nozagt datus, ko upuris ierakstījis kompaktdiskā, kā arī iespēja uzņemt ekrānuzņēmumus, ierakstot audio no VoiceIP. lietojumprogrammas.
Papildus savām unikālajām iespējām TajMahal nodrošina uzbrucējiem to, kas tiek dēvēts par “pilnīgu spiegošanas sistēmu”, ar aizmugures durvīm inficētajās sistēmās.
Tas var izdot komandas, uzņemt darbvirsmas un tīmekļa kameras ekrānuzņēmumus un izmantot taustiņu reģistrēšanu, lai nozagtu lietotājvārdus, paroles un citu informāciju. Tas var arī atvērt un izfiltrēt dokumentus, izmantojot savu failu indeksētāju upura mašīnai.
SKATĪT: Uzvaroša kiberdrošības stratēģija (ZDNet īpašais ziņojums) | Lejupielādējiet pārskatu PDF formātā (TechRepublic)
Turklāt tas var nozagt kriptogrāfijas atslēgas, satvert pārlūkprogrammas sīkfailus, apkopot Apple mobilo ierīču dublējumkopiju sarakstu un daudz ko citu ar aptuveni 80 ļaunprātīgiem moduļiem, kas katrs ir paredzēts spiegošanas darbībām.
Ļaunprātīga programmatūra ir bijusi atklājuši Kaspersky Lab pētnieki, kuri ir sīki izklāstījuši savus atklājumus uzņēmuma drošības analītiķu samitā 2019 Singapūrā.
Tadžmahals tika raksturots kā "tehniski sarežģīta APT sistēma, kas paredzēta plašai kiberspiegošanai". pirmo reizi tika atklāts 2018. gada beigās, bet ir bijis aktīvs vairāk nekā piecus gadus, un agrākais paraugs datēts ar aprīli 2013.
Tadžmahals varēja tik ilgi slēpties zem radara, jo tam ir pilnīgi jauna koda bāze, kurai nav līdzības ar zināmo. APT vai ļaunprātīgu programmatūru, kā arī izmantojot automātisku atjaunināšanas mehānismu, kas tiek regulāri izmantots jaunu paraugu izvietošanai, lai izvairītos no atklāšanas.
Tomēr pētnieki tika brīdināti par ļaunprātīgu programmatūru pēc tam, kad Kaspersky drošības programmatūra atzīmēja failu kā aizdomīgu.
"Fails izrādījās ļaunprātīgs spraudnis ar sarežģītības līmeni, kas ierosināja APT un koda trūkumu līdzība ar jebkuru zināmu uzbrukumu liecina, ka tas bija iepriekš nezināms APT," Aleksejs Šulmins, Kaspersky Lab galvenais ļaunprātīgas programmatūras analītiķis. pastāstīja ZDNet.
"Izmantojot mūsu zināšanas par šo failu, mēs varējām identificēt vairāk no tiem. Tas lika mums secināt, ka ļaunprogrammatūra bija daļa no iepriekš nezināmas, ārkārtīgi retas kiberspiegošanas platformas," viņš piebilda.
Tokija un Jokohama
Pētnieki uzskata, ka sistēma ir balstīta uz divām paketēm, kas nosauktas par Tokiju un Jokohamu. Tokija ir mazākais no diviem, tajā ir tikai trīs moduļi, no kuriem viens ir galvenās aizmugures durvis un savienojums ar komandu un vadības serveri.
Tikmēr Jokohamā ir visas pārējās TajMahal iespējas, kas norāda, ka Tokija, visticamāk, būs pirmais pilinātājs, kas pēc tam piegādā pilnīga ļaunprogrammatūra kā otrā posma lejupielāde — ar atstātu pilinātāju, ja tas būs nepieciešams dublēšanai vēlāk. līniju.
Tadžmahala izplatīšanas metode joprojām nav zināma, un infekcija savvaļā ir novērota tikai vienu reizi - uz sistēma, kas tiek raksturota kā “diplomātiska vienība no Vidusāzijas valsts”, ar infekciju 2014.
Pētnieki atzīmē, ka uz šo upuri iepriekš neveiksmīgi vērsās Zebroacy (trojas ļaunprogrammatūra, kas saistīta ar Krievijas valsts atbalstīta hakeru grupa), lai gan netiek uzskatīts, ka abas kampaņas ir saistītas.
SKATĪT: Kiberdrošība IoT un mobilajā pasaulē (ZDNet īpašais ziņojums) | Lejupielādējiet pārskatu PDF formātā (TechRepublic)
Tomēr ļaunprogrammatūras sarežģītības un tās unikālo iespēju dēļ maz ticams, ka diplomātiskais mērķis ir vienīgais Tadžmahala apdraudētais upuris vairāk nekā piecu gadu laikā.
"TajMahal sistēma ir ļoti interesants un intriģējošs atklājums. Tehniskā sarežģītība nav apšaubāma, un šķiet maz ticams, ka tik milzīgs ieguldījums tiktu veikts tikai vienam upurim. Iespējams, ka ir arī citi upuri, kurus mēs vēl neesam atraduši," sacīja Šulmins.
Lai palīdzētu aizsargāties pret jaunu un nezināmu apdraudējuma dalībnieku uzbrukumiem, pētnieki iesaka visu programmatūru izmantot visā organizācijā ir atjaunināta un ka drošības ielāpi izstrādāts, lai novērstu zināmās ievainojamības jāuzstāda kā prioritāte.
Visi Kaspersky Lab produkti ir atjaunināti, lai aizsargātu pret TajMahal, un pētnieki to ir izdarījuši sniedza pilnīgu kampaņas analīzi Kaspersky emuārā.
LASĪT VAIRĀK PAR KIBERNOZIEDZĪBU
- Šī ļaunprogrammatūra pārvērš bankomātu nolaupīšanu par spēļu automātu spēli
- Kiberkara nākotne: ieroču izspiedējprogrammatūra, IoT uzbrukumi un jauna bruņošanās sacensība Tehniskā Republika
- Šis Trojas uzbrukums jūsu Windows datoram pievieno aizmugures durvis, lai nozagtu datus
- Kaspersky Lab brīdinās jūs, ja jūsu tālrunis ir inficēts ar stalkerware CNET
- Trojas ļaunprātīga programmatūra: slēptie kiberdraudi jūsu datoram