Tajmahal 스파이웨어 란 무엇입니까?

연구원들은 최근 다양한 사이버 감시 작업을 수행하도록 설계된 다양한 기능으로 구성된 Tajmahal이라는 적응 형 모듈 식 소프트웨어를 발견했습니다. 이 스파이웨어 프레임 워크의 다양성과 복잡성은 보안 전문가와 연구원을 놀라게했습니다. 다음 기사에서 Tajmahal의 기능에 대해 자세히 알아보십시오..


Tajmahal Spyware는 무엇입니까?

Tajmahal 스파이웨어 란??

Tajmahal 스파이웨어 란??

카스퍼 스키 랩의 보안 연구원들은 새로운 고품질의 첨단 기술을 발견했습니다 스파이웨어 TajMahal라는 프레임 워크. 자동 휴리스틱 기술을 사용하여 위협을 탐지 할 수있었습니다. 스파이웨어는 다양한 도구를 구현하여 모든 종류의 공격을 유도 할 수 있습니다. 그것은 매우 정교하고 전에 본 적이없는 코드베이스가 특징입니다. 전문가들은 스파이웨어에서 지금까지 80 개의 악성 모듈을 탐지했습니다. 전문가들은 TajMahal 스파이웨어가 5 년 이상 완전 활성 모드에 있다고 말합니다.

실제로 전문가들은 작년에 중앙 아시아 국가의 외교 기관을 목표로 한 프레임 워크를 발견했습니다. 공격 대상으로 단 한 명만 등장했다고해서 다른 많은 사람들이 영향을받지 않았다는 의미는 아닙니다. 그들은 아마 그것을 알지 못했을 것이고, 나머지 희생자들은 아직 확인되지 않았습니다. 보안 전문가들은 한 국가 국가의 공격자가이 APT (Advanced Persistent Threat)의 배후에 있다고 생각합니다. 그러나 연구원과 보안 전문가는 지금까지 알려진 해킹 그룹이나 위협 행위자를 지적하지 않았습니다..

타지 마할의 기능?

이 프레임 워크가 5 년 동안 레이더에 머무르는 이유는 코드 기반 때문입니다. 이 특정 기반은 다른 맬웨어 또는 APT와 관련이 없습니다. 이것이이 스파이웨어의 작동 방식과이 APT 플랫폼의 구성입니다. 이 프레임 워크는 도쿄와 요코하마라는 두 가지 패키지를 사용하여 시스템을 손상시키고 감염시킵니다. 추가 통신 채널로 사용하기 위해 2 단계가 시작된 후에도 도쿄가 시스템을 종료하지 않습니다.

반면 요코하마는 두 번째 단계의 무기 탑재량으로 계산됩니다. 도쿄에는 3 개의 모듈이 있으며 그 중 하나는 초기 백도어로 작동하지만 요코하마는 다기능 페이로드 스파이웨어이며 수십 개의 다른 모듈로 구성됩니다. 요코하마에는 모든 종류의 기능을 제공하기 위해 많은 모듈이 사용됩니다. Yokohama는 플러그인, 타사 라이브러리 및 구성 파일이 포함 된 완벽한 가상 파일 시스템을 만듭니다. 도쿄의 초기 백도어는 PowerShell 해킹 프레임 워크를 사용합니다. 이를 통해 공격자는 더 많은 시스템을 더 큰 규모로 감염시키고 명령 및 제어 서버에 연결할 수 있습니다. 하나에 연결하면 공격자가 파일과 문서에 액세스하는 방법. 

스파이웨어에 대한 해설

 카스퍼 스키 보안 연구원 알렉세이 슐민 (Alexey Shulmin)은이 공격에 대해 다음과 같이 말했습니다.“어떻게해도 5 년 넘게 레이더 아래에있었습니다. 이것이 상대적으로 비 활동적이거나 다른 것에 의한 것인지의 여부는 또 다른 흥미로운 질문입니다. 사이버 공간에서 일어나고있는 모든 것을 완전히 파악할 수 없다는 것을 사이버 보안 커뮤니티에 상기시켜줍니다.”

연구원들에 따르면“이것은 매우 복잡한 개발입니다. TajMahal은 매우 고급스럽고 정교하지 않고 매우 드 rare니다. 스파이웨어에는 완전히 새로운 코드가 있으며 과거에 개발 된 다른 스파이웨어와 관련이없는 것 같습니다.”.

타지 마할에 대한 추가 정보

카스퍼 스크에 따르면 타지 마할은 프린터 대기열과 희생자가 구운 CD에서 데이터를 훔칠 수 있다고한다. 또한 FireFox, RealNetworks, Internet Explorer 및 Netscape Navigator에서 쿠키를 훔칠 수 있습니다. 스파이웨어가 수행 할 수있는 작업은 다음과 같습니다. 스파이웨어는 이동식 저장 장치에서 중요한 파일을 유출 할 수 있습니다. 가장 먼저 할 일은 USB 스틱과 같은 이동식 드라이브의 파일을 식별하는 것입니다. 그런 다음 다음에 USB가 시스템에있을 때 대상 파일을 추출합니다. 실제로, 공격자는 Yokohama를 사용하여 손상된 시스템에 USB를 삽입하고 해당 컨텐츠를 스캔 한 다음 목록을 해당 명령 및 제어 서버로 보냅니다. 공격자가 추출 할 파일을 선택하고 감염된 시스템에서 손을 잡을 수있는 곳입니다..

안타깝게도이 스파이웨어가 파일에 액세스 할 수있는 유일한 방법은 아닙니다. Tajmahal에는 다른 방식으로 파일을 손상시킬 수있는 더 많은 모듈이 있습니다. 또한 TajMahal은 웹캠 및 데스크탑의 스크린 샷을 캡처하고 명령을 실행할 수 있습니다. 누군가가 프론트 엔드 파일 또는 레지스트리 값에서 삭제하더라도 재부팅 직후에 다른 이름으로 다시 나타납니다..

 툴킷의 내용

전체 툴킷은 백도어, 로더, 오케 스트레이터, C2 커뮤니케이터, 오디오 레코더, 키로거, 스크린 그래버, 키 스틸러 및 파일 인덱서로 구성됩니다. 다음은이 APT가 수행 할 수있는 기능의 목록입니다.

  • 피해자가 만든 쿠키 및 광 디스크 이미지 훔치기.
  • 인쇄 대기열에서 문서 및 파일 가로 채기.
  • VoIP 통화의 스크린 샷 찍기 및 녹음.
  • 피해자에 대한 데이터 수집 (iOS 장치의 백업 사본 목록 포함).
  • 외부 드라이브의 파일도 색인화하고 드라이브가 다시 인식 될 때 특정 파일을 훔치기.

Tajmahal Spyware는 무엇입니까? – 마지막 생각들

TajMahal을 너무 협박하고 걱정하게 만드는 것은 기술적 복잡성입니다. 한 명의 피해자 만 어떻게 확인되었는지, 최악의 상황은 아직 오지 않았습니다. 타지 마할 피해자의 수가 증가 할 것입니다. TajMahal과 그 유사체를 조심하십시오. 타지 마할의 공격을 피하기 위해 필요한 모든 보안 조치를 취해야합니다. 맬웨어, 스파이웨어에 대한 교육을받는 것이 좋습니다., 루트킷, 모두. 언제 그런 종류의 정보가 필요할지 모릅니다.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me