网络安全研究人员昨天公布了一个高度复杂的间谍软件APT框架,该框架至少已运行了5年 – 但直到最近仍未被发现。该间谍软件被命名为TajMahal,是一种基于多模块的恶意软件工具包。
安全研究院最早发现TajMahal工具包是在2018年底,黑客利用它来监视中亚某国家的外交组织的计算机。
然而,通过研究人员检查的恶意软件样本表明,攻击背后的网络间谍组织至少自2014年8月以来一直活跃.TamMahal框架包括两个主要包 – “Tokyo” and “Yokohama” – 它们共包含80多个不同的恶意模块,根据研究人员的说法,这是APT工具集中有史以来最多的插件之一。
研究人员尚未弄清楚TajMahal如何首先感染其目标,但他们确实透露,一旦访问,第一阶段感染”Tokyo”将被下载到目标机器上,然后提供全功能的第二阶段恶意软件”Yokohama”。
“Yokohama”在其加密的虚拟文件系统中存储恶意模块,允许恶意软件:
除了通常的间谍功能外,TajMahal恶意软件还包括一些更独特的功能,例如请求从插入的USB中窃取特定文件。因此,当USB连接到受感染的计算机时,文件将被窃取。
虽然研究人员到目前为止只找到了一名TajMahal受害者,但考虑到框架的复杂程度,他们认为还有其他受害者尚未被发现。