Malware en ransomware stijging zet uw gegevens in gevaar
Voor het derde jaar op rij, het volume van malware-aanvallen is toegenomen. Maar er zijn grote variaties in termen van wie is het krijgen van gerichte, en hoe.
Een nieuw ontdekte vormen van malware ingezet als onderdeel van een zeer heimelijke cyber-spionage campagne komt met een aantal nieuwe schadelijke functies. Het lijkt het werk van een volledig nieuwe bewerking, zonder bekende links naar alle bekende dreigingen of hacking groepen.
Nagesynchroniseerde TajMahal, nadat het bestand gebruikt exfiltrate gestolen gegevens, de malware heeft een aantal mogelijkheden die niet eerder gezien in een backdoor.
Deze omvatten het stelen van documenten verzonden naar de wachtrij van de printer, het stelen van bestanden die eerder gezien op verwisselbare stations zodra ze weer beschikbaar zijn, de mogelijkheid om gegevens te stelen gebrand op een CD van het slachtoffer, evenals de mogelijkheid om screenshots te nemen bij het opnemen van audio van VoiceIP-toepassingen.
Naast zijn unieke mogelijkheden, TajMahal biedt aanvallers met wat is beschreven als een ‘full-blown spionage kader’, met een achterdeur naar de geïnfecteerde systemen.
Het kan opdrachten geven, nemen screenshots van het bureaublad en een webcam, en gebruik keylogging te stelen van gebruikersnamen, wachtwoorden en andere informatie. Het kan ook open en exfiltrate documenten met de hulp van zijn eigen bestand indexering voor het slachtoffer van de machine.
ZIE: EEN winnende strategie voor cybersecurity (ZDNet speciale rapport) | Download het rapport als PDF (TechRepublic)
Bovendien, het kan stelen van cryptografie toetsen, pak de cookies van de browser, het verzamelen van de lijst back-up voor mobiele apparaten van Apple en meer, met rond 80 kwaadaardige modules, elk ontworpen voor spionage-activiteiten.
De malware is ontdekt door onderzoekers van Kaspersky Lab, die gedetailleerde hun het vinden van de bij de vennootschap Security Analyst Summit 2019 in Singapore.
Beschreven als “een technisch hoogwaardige APT kader ontworpen voor uitgebreide cyber spionage,” TajMahal voor het eerst werd ontdekt in de late 2018, maar is actief voor ruim vijf jaar, met de vroegste voorbeeld gedateerd April 2013.
TajMahal was in staat om te verbergen onder de radar zo lang, omdat het een volledig nieuwe code base, is het met geen overeenkomsten met de bekende APTs of malware, en door gebruik te maken van een automatisch update mechanisme dat regelmatig gebruikt voor het implementeren van nieuwe monsters om detectie te voorkomen.
Echter, de onderzoekers waren gewaarschuwd om de malware na het Kaspersky security software gemarkeerd is een bestand als verdacht.
“Het bestand bleek een kwaadaardige plugin van een niveau van verfijning dat stelde een APT – en het ontbreken van code gelijkenis van bekende aanval stelde het was een voorheen onbekende APT,” Alexey Shulmin, leiden malware analist van Kaspersky Lab vertelde ZDNet.
“Met onze kennis van dit bestand, we waren in staat om te identificeren meer van hen. Dat leidde ons tot de conclusie dat de malware werd een deel van een eerder onbekend, uiterst zeldzaam, cyber-spionage-platform,” voegde hij eraan toe.
Tokio en Yokohama
Onderzoekers geloven dat het kader is gebaseerd op twee pakketten, genaamd Tokyo en Yokohama. Tokyo is de kleinste van de twee, met slechts drie modules, één van de belangrijkste backdoor en een verbinding met een command-and-control-server.
Yokohama, ondertussen, bevat elke andere mogelijkheden van de TajMahal, wat aangeeft dat Tokio is waarschijnlijk de eerste druppelaar die vervolgens levert de full-blown malware als een tweede-fase download – met de druppelaar links geïnstalleerd in het geval dat het nodig is voor back-up doeleinden later langs de lijn.
De methode van distributie van TajMahal is nog onbekend en de infectie is alleen waargenomen in het wild eens – op het systeem van wat is omschreven als ‘een diplomatieke entiteit van een land in Centraal-Azië’, met de infectie die zich voordoen in 2014.
De onderzoekers concludeerden dat deze slachtoffer is eerder al tevergeefs gericht door Zebroacy (trojan malware geassocieerd met een russische staat-backed hacken van de groep), hoewel hij niet dacht dat de twee campagnes zijn gerelateerd.
ZIE: Cybersecurity in een IoT en mobiele wereld (ZDNet speciale rapport) | Download het rapport als PDF (TechRepublic)
Toch, dankzij de verfijning van de malware en de unieke mogelijkheden, is het onwaarschijnlijk dat de diplomatieke doel is het enige slachtoffer aangetast door TajMahal in meer dan vijf jaar.
“De TajMahal framework is een zeer interessant en intrigerend vinden. De technische verfijning is zonder twijfel en het lijkt onwaarschijnlijk dat een dergelijke grote investering zou worden aangegaan voor slechts een slachtoffer. Een waarschijnlijke hypothese zou zijn dat er andere slachtoffers we hebben nog niet gevonden,” zei Shulmin.
Om te helpen beschermen tegen aanvallen door het nieuwe en onbekende dreigingen, onderzoekers bevelen aan dat alle software die gebruikt wordt door de gehele organisatie is up-to-date is en dat security patches ontworpen voor het oplossen van bekende kwetsbaarheden moet worden geïnstalleerd als een prioriteit.
Alle producten van Kaspersky Lab zijn bijgewerkt te beschermen tegen TajMahal en onderzoekers hebben een volledige analyse van de campagne op de Kaspersky blog.
LEES MEER OVER CYBERCRIMINALITEIT
Deze malware draait ATM kaping in een sleuf machine spelDe toekomst van cyberwar: Weaponised ransomware, IoT aanvallen en een nieuwe wapenwedloop TechRepublicDeze Trojan aanval voegt een backdoor op uw Windows-PC om gegevens te stelenKaspersky Lab zal u waarschuwen als uw telefoon is geïnfecteerd met stalkerware CNETTrojan malware: De verborgen cyber bedreiging voor uw PC
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters