สปายแวร์ Tajmahal คืออะไร?

เมื่อเร็ว ๆ นี้นักวิจัยได้ค้นพบซอฟต์แวร์ที่ปรับเปลี่ยนได้และเป็นโมดูลที่เรียกว่าทัชมาฮาลซึ่งประกอบด้วยคุณสมบัติที่หลากหลายที่ออกแบบมาเพื่อดำเนินภารกิจสอดแนมไซเบอร์ต่างๆ ความคล่องตัวและความซับซ้อนของกรอบงานสปายแวร์นี้ทำให้ผู้เชี่ยวชาญด้านความปลอดภัยและนักวิจัยตื่นตระหนก ค้นหาเพิ่มเติมว่า Tajmahal มีความสามารถอะไรในบทความต่อไปนี้.


สปายแวร์ Tajmahal คืออะไร?

สปายแวร์ Tajmahal คืออะไร?

สปายแวร์ Tajmahal คืออะไร?

นักวิจัยด้านความปลอดภัยของ Kaspersky Lab ค้นพบเทคโนโลยีที่มีคุณภาพสูงและใหม่ สปายแวร์ กรอบที่เรียกว่าทัชมาฮาล พวกเขาสามารถตรวจจับภัยคุกคามโดยใช้เทคโนโลยีการแก้ปัญหาอัตโนมัติของพวกเขา สปายแวร์มีความสามารถในการส่งเสริมการโจมตีทุกชนิดด้วยการใช้เครื่องมือต่าง ๆ มันเป็นลักษณะที่ซับซ้อนสูงและไม่เคยเห็นมาก่อนรหัสฐาน ผู้เชี่ยวชาญได้ตรวจพบโมดูลที่เป็นอันตราย 80 โมดูลในสปายแวร์ ผู้เชี่ยวชาญกล่าวว่าสปายแวร์ TajMahal อยู่ในโหมดใช้งานเต็มรูปแบบมานานกว่าห้าปีแล้ว.

ตามความเป็นจริงแล้วผู้เชี่ยวชาญเพิ่งค้นพบกรอบการทำงานเมื่อปีที่แล้วเมื่อมีการกำหนดเป้าหมายไปยังหน่วยงานทางการทูตของประเทศในเอเชียกลาง เพียงเพราะมีเพียงสิ่งเดียวเท่านั้นที่ปรากฏว่าตกเป็นเหยื่อของการโจมตีไม่ได้หมายความว่าคนอื่น ๆ อีกหลายคนไม่ได้รับผลกระทบ พวกเขาอาจจะไม่รู้ตัวและผู้ที่เหลือก็ยังไม่ได้รับการยืนยัน ผู้เชี่ยวชาญด้านความปลอดภัยเชื่อว่าผู้โจมตีรัฐชาติอยู่เบื้องหลังการคุกคามขั้นสูงต่อเนื่อง (APT) แต่นักวิจัยและผู้เชี่ยวชาญด้านความปลอดภัยไม่ได้ชี้ไปที่กลุ่มแฮ็คที่รู้จักหรือนักแสดงภัยคุกคาม.

Tajmahal ทำอะไร?

เหตุผลที่กรอบการทำงานนี้อยู่ภายใต้เรดาร์เป็นเวลาห้าปีนั้นเป็นเพราะฐานรหัส ฐานนี้ไม่มีความเกี่ยวข้องกับมัลแวร์หรือ APT อื่น ๆ นี่คือการทำงานของสปายแวร์นี้และสิ่งที่แพลตฟอร์ม APT นี้ประกอบด้วย กรอบความเสียหายและการติดเชื้อระบบที่มีการใช้สองแพคเกจที่เรียกว่าโตเกียวและโยโกฮาม่า โตเกียวจะไม่ออกจากระบบแม้ว่าจะเริ่มเฟสที่สองเพื่อใช้เป็นช่องทางการสื่อสารเพิ่มเติม.

ในทางตรงกันข้ามโยโกฮาม่านับว่าเป็นส่วนที่บรรจุอาวุธของระยะที่สองนั้น ในขณะที่โตเกียวมีเพียงสามโมดูล – หนึ่งในนั้นทำหน้าที่เป็นแบ็คดอร์เริ่มต้นโยโกฮาม่าเป็นสปายแวร์ที่บรรจุมัลติฟังก์ชั่นซึ่งประกอบด้วยโมดูลอื่น ๆ อีกมากมาย มีการใช้โมดูลจำนวนมากในโยโกฮาม่าเพื่อให้ใช้งานได้ทุกประเภท โยโกฮาม่าสร้างระบบไฟล์เสมือนที่สมบูรณ์พร้อมปลั๊กอินห้องสมุดบุคคลที่สามและไฟล์กำหนดค่า แบ็คดอร์เริ่มต้นของโตเกียวใช้เฟรมเวิร์กการแฮ็ก PowerShell วิธีนี้ช่วยให้ผู้โจมตีติดระบบได้มากขึ้นในระดับที่กว้างขึ้นรวมถึงเชื่อมต่อกับเซิร์ฟเวอร์คำสั่งและการควบคุม การเชื่อมต่อกับหนึ่งคือวิธีที่ผู้โจมตีเข้าถึงไฟล์และเอกสาร. 

ความเห็นเกี่ยวกับสปายแวร์

 Alexey Shulmin นักวิจัยด้านความปลอดภัยของ Kaspersky กล่าวถึงเรื่องการโจมตีว่า“ อย่างไรก็ตามมันอยู่ภายใต้เรดาร์มานานกว่าห้าปี ไม่ว่าจะเกิดจากการไม่มีกิจกรรมสัมพันธ์หรือสิ่งอื่นเป็นคำถามที่น่าสนใจ มันเป็นเครื่องเตือนความจำให้กับชุมชนความปลอดภัยทางไซเบอร์ที่เราไม่เคยมีความชัดเจนในทุกสิ่งที่เกิดขึ้นในโลกไซเบอร์”

นักวิจัยกล่าวว่า“ นี่เป็นการพัฒนาที่ซับซ้อนอย่างยิ่ง ทัชมาฮาลนั้นหายากมากนอกจากความก้าวหน้าและความซับซ้อนแล้ว สปายแวร์มีรหัสใหม่ที่สมบูรณ์และดูเหมือนว่าจะไม่เกี่ยวข้องกับสปายแวร์อื่น ๆ ที่พัฒนาขึ้นในอดีต”.

ข้อมูลเพิ่มเติมเกี่ยวกับทัชมาฮาล

ทัชมาฮาลสามารถขโมยข้อมูลจากคิวเครื่องพิมพ์และจากซีดีที่เหยื่อถูกไฟไหม้ตามข้อมูลของ Kaspersk นอกจากนี้ยังสามารถขโมยคุกกี้จาก FireFox, RealNetworks, Internet Explorer และ Netscape Navigator นี่คือสิ่งที่สปายแวร์สามารถทำได้ สปายแวร์สามารถกรองไฟล์สำคัญจากอุปกรณ์เก็บข้อมูลแบบถอดได้ สิ่งแรกที่ทำคือระบุไฟล์ในไดรฟ์ที่ถอดออกได้เช่นแท่ง USB จากนั้นจะแตกไฟล์เป้าหมายในครั้งถัดไปที่ USB อยู่ในระบบ ในความเป็นจริงเมื่อใช้โยโกฮามาผู้โจมตีจะเสียบ USB ในคอมพิวเตอร์ที่ถูกบุกรุกสแกนเนื้อหาจากนั้นส่งรายชื่อไปยังคำสั่งและเซิร์ฟเวอร์ควบคุม นี่คือที่ผู้โจมตีสามารถเลือกไฟล์ที่ต้องการแยกและรับในมือจากระบบที่ติดเชื้อ.

น่าเสียดายนั่นไม่ใช่วิธีเดียวที่สปายแวร์นี้สามารถเข้าถึงไฟล์ได้ ทัชมาฮาลมีโมดูลเพิ่มเติมที่สามารถประนีประนอมไฟล์ได้หลายวิธี นอกจากนี้ทัชมาฮาลยังสามารถจับภาพหน้าจอของเว็บแคมและเดสก์ท็อปรวมถึงการออกคำสั่ง แม้ว่าบางคนจะลบมันออกจากไฟล์ส่วนหน้าหรือค่ารีจิสตรีมันก็จะปรากฏขึ้นพร้อมกับชื่อที่แตกต่างกันทันทีหลังจากรีบูต.

 เนื้อหาของชุดเครื่องมือ

ชุดเครื่องมือทั้งหมดประกอบด้วยแบ็คโฮ, ตัวตัก, ผู้ควบคุมวง, ผู้สื่อสาร C2, เครื่องบันทึกเสียง, คีย์ล็อกเกอร์, ตัวจับหน้าจอ, ตัวขโมยคีย์และตัวจัดทำดัชนีไฟล์ นี่คือรายการความสามารถของ APT นี้:

  • การขโมยคุกกี้และภาพออปติคัลดิสก์ที่สร้างโดยเหยื่อ.
  • การดักเอกสารและไฟล์จากคิวการพิมพ์.
  • การจับภาพหน้าจอและบันทึกการโทร VoIP.
  • การรวบรวมข้อมูลเกี่ยวกับเหยื่อ (รวมถึงรายการสำเนาสำรองของอุปกรณ์ iOS ของพวกเขา).
  • จัดทำดัชนีไฟล์แม้แต่ไฟล์บนไดรฟ์ภายนอกและขโมยไฟล์บางไฟล์เมื่อไดรฟ์ได้รับการยอมรับอีกครั้ง.

สปายแวร์ Tajmahal คืออะไร? – ความคิดสุดท้าย

สิ่งที่ทำให้ทัชมาฮาลนั้นน่ากลัวและน่ากังวลก็คือความซับซ้อนทางเทคนิค คุณรู้ว่าเหยื่อเพียงคนเดียวที่ได้รับการยืนยันแล้วสิ่งที่เลวร้ายที่สุดยังมาไม่ถึง จำนวนผู้ที่ตกเป็นเหยื่อทัชมาฮาลจะเพิ่มขึ้น ระวัง TajMahal และ analogs ของมัน คุณควรใช้มาตรการรักษาความปลอดภัยที่จำเป็นทั้งหมดเพื่อหลีกเลี่ยงการโจมตีทัชมาฮาล เราแนะนำให้คุณศึกษาเกี่ยวกับมัลแวร์สปายแวร์, รูทคิท, ทุกอย่าง คุณไม่มีทางรู้ว่าคุณอาจต้องการข้อมูลประเภทนั้นเมื่อใด.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me