Virus och skadlig ransomware upphov sätter dina uppgifter i riskzonen
För tredje året i rad, volymen av malware attacker har ökat. Men det finns stora variationer i fråga om den som är få riktad, och hur.
En nyupptäckt form av skadlig kod som distribueras som en del av en mycket smygande cyber-spionage kampanj kommer med flera nya skadliga funktioner. Det verkar vara ett verk av en helt ny verksamhet med inga kända kopplingar till kända hot aktörer eller hacka grupper.
Dubbade TajMahal, efter det att filen som den använder för att exfiltrate stulna data, malware har ett antal funktioner som inte tidigare sett i en bakdörr.
Dessa inkluderar stjäla dokument som skickas till skrivaren kön, förmåga att stjäla filer som tidigare sett på flyttbara enheter så snart de är tillgängliga igen, förmågan att stjäla data brännas på en CD av offret, liksom möjligheten att ta skärmdumpar när du spelar in ljud från VoiceIP program.
Förutom sin unika förmåga, TajMahal ger angripare med vad som beskrivs som en “fullt utvecklad spioneri ram”, med en bakdörr in på infekterade system.
Det kan ge kommandon, ta skärmdumpar av skrivbordet och webbkamera och använda keylogging att stjäla användarnamn, lösenord och andra uppgifter. Det kan också öppna och exfiltrate dokument med hjälp av sin egen fil indexeraren för offrets maskin.
SE: EN vinnande strategi för it-säkerhet (ZDNet särskild rapport) | Ladda ner rapporten som en PDF (TechRepublic)
Dessutom kan stjäla kryptografiska nycklar, ta webbläsar-cookies, samla backup lista för Apples mobila enheter och mer, med cirka 80 skadliga moduler som alla är designade för spionage verksamhet.
Skadlig kod har upptäckts av forskare vid Kaspersky Lab, som har detaljerade deras hitta på bolagets Säkerhet Analytiker Toppmötet 2019 i Singapore.
Beskrivs som “en tekniskt sofistikerad APT ram utformad för en omfattande it-spionage,” TajMahal var först upptäcktes i slutet av 2018, men har varit aktiv i över fem år och kan utnyttjas tidigast prov daterad till April 2013.
TajMahal kunde gömma sig under radarn för så länge eftersom det har en helt ny kodbas, med inga likheter med kända APTs eller skadlig kod, och genom att använda en automatisk uppdatering mekanism som regelbundet används för att distribuera nya prover för att undvika upptäckt.
Men att forskarna larmade till skadlig kod efter Kaspersky säkerhetsprogram flaggade en fil som misstänkt.
“Filen som visade sig vara en skadlig plugin på en nivå av förfining som föreslog en APT – och den saknar kod likhet med alla kända attacken föreslog att det var en tidigare okänd APT,” Anders Shulmin, leda malware analytiker på Kaspersky Lab berättade ZDNet.
“Med hjälp av vår kunskap om denna fil, kunde vi identifiera flera av dem. Som ledde oss till slutsatsen att det skadliga programmet var en del av en tidigare okänd, extremt sällsynt, cyber-spionage-plattformen”, tillade han.
Tokyo och Yokohama
Forskare tror att ramen är baserad runt två paket, dubbade Tokyo och Yokohama. Tokyo är den mindre av de två, som bara innehåller tre moduler, en av vilka är de viktigaste bakdörr och en anslutning till ett kommando-och-kontroll-server.
Yokohama, samtidigt innehåller alla andra kapacitet på TajMahal, vilket tyder på att Tokyo är sannolikt den första dropper som sedan levererar full-blown skadlig kod som ett andra skede ladda ner – med pipett vänster installerad i fall det behövs för säkerhetskopiering senare ner linjen.
Distributionen metod för TajMahal är fortfarande okänd och infektionen har endast observerats i naturen en gång – på systemet av vad som beskrivs som ” en diplomatisk person från ett land i centralasien, med den smitta som inträffar under 2014.
Forskare observera att detta offer har tidigare varit förgäves måltavla Zebroacy (trojan malware i samband med en ryska statligt stödda hacka gruppen), även om det inte är tänkt att de två kampanjerna är relaterade.
SE: It-säkerhet i ett sakernas internet och mobila världen (ZDNet särskild rapport) | Ladda ner rapporten som en PDF (TechRepublic)
Ändå, på grund av förfining av det skadliga programmet, och dess unika förmåga, är det osannolikt att de diplomatiska mål är det enda offret äventyras av TajMahal i mer än fem år.
“TajMahal ram är en mycket intressant och spännande att hitta. Teknisk förfining är bortom allt tvivel och det verkar osannolikt att en så stor investering skulle göras för bara ett offer. En trolig hypotes skulle vara att det kan finnas ytterligare offer har vi inte hittat ännu,” sade Shulmin.
För att hjälpa till att skydda mot angrepp av nya och okända hot aktörer, forskare rekommenderar att alla programvaror som används inom en organisation är uppdaterad och att korrigeringsfiler som utformats för att korrigera kända säkerhetsproblem bör installeras som en prioritet.
Alla Kaspersky Lab produkter har uppdaterats för att skydda mot TajMahal och forskare har gett en fullständig analys av kampanjen på Kaspersky blogg.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Detta malware visar ATM kapning i en slot maskin spelDen framtida cyberkrig: Weaponised ransomware, IoT attacker och en ny kapprustning TechRepublicDenna Trojan attack lägger en bakdörr till din Windows-PC för att stjäla datafrån Kaspersky Lab kommer att varna dig om din telefon är infekterad med stalkerware CNETTrojan malware: De dolda it-hot mot din PC
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter