APT框架TajMahal怎麼用

概述

    'TajMahal'是卡巴斯基實驗室在2018年秋季發現的一個以前未知且技術複雜的APT框架。這個完整的間諜框架由兩個名為“東京”和“橫濱”的包組成。它包括後門，加載器，協調器，C2通信器，錄音機，鍵盤記錄器，屏幕和網絡攝像頭抓取器，文檔和加密密鑰竊取程序，甚至是受害者機器的自己的文件索引器。我們發現其加密的虛擬檔案系統中儲存了多達80個惡意模組，這是我們見過的APT工具集中插件數量最多的插件之一。

    為了突顯其功能，TajMahal能夠從受害者以及印表機佇列中燒錄的CD中竊取資料。它還可以要求從先前看到的USB記憶棒中竊取特定檔案;下次USB連接到電腦時，檔案將被盜。

    TajMahal至少在過去五年中已經發展和使用。第一個已知的「合法」樣本時間戳記是從2013年8月開始，最後一個是從2018年4月開始。在受害者的機器上看到TajMahal樣本的第一個確認日期是2014年8月。

技術細節

    卡巴斯基發現了兩種不同類型的TajMahal包，自稱為東京和橫濱。卡巴斯基實驗室發現的受害者係統被兩個軟體包感染。這顯示東京被用作第一階段感染，東京在受害者係統佈置了功能齊全的橫濱，框架如下圖所示：

    根據這些受害者機器上的模組，確定了以下有趣的功能：

• 能夠竊取傳送到印表機佇列的文件。

• 為受害者偵察收集的資料包含Apple行動裝置的備份清單。

• 錄製VoiceIP應用程式音訊時拍攝螢幕截圖。

• 偷了寫CD映像。

• 能夠在再次可用時竊取先前在可移動磁碟機上看到的檔案。

• 竊取Internet Explorer，Netscape Navigator，FireFox和RealNetworks cookie。

• 如果從前端檔案或相關登錄值中刪除，則在重新引導後將使用新名稱和啟動類型重新顯示。

歸屬：

猜想一：俄羅斯

卡巴斯基目前隻公開了一個受害者，中亞地區一個外交部門，在先前的報告中，APT28也開始針對中亞地區進行攻擊活動。

猜想二：美國：

由地圖可見，中亞地區毗鄰俄羅斯，中國，該地區一直是美國極力拉攏的對象

    且該框架卡巴稱為複雜的模組化框架，根據時間戳最早13年就編譯，18年卡巴才首次發現，而美國的APT攻擊通常也是隱密且模組化，不易被發現，像Flame就是第一個被發現的複雜的模組化木馬

以上是APT框架TajMahal怎麼用的詳細內容。更多資訊請關注PHP中文網其他相關文章！