Исследователи «Лаборатории Касперского» раскрыли подробности о высокотехнологичном шпионском ПО, остававшемся незамеченным в течение пяти лет. APT-фреймворк TajMahal представляет собой модульный инструментарий, который не только поддерживает множество плагинов для шпионажа, но также использует ранее неизвестные и до конца непонятные техники.
Специалисты ЛК обнаружили TajMahal (происхождение названия не объясняется) осенью прошлого года, когда киберпреступники использовали его для атаки неназванной дипломатической организации в одной из стран Центральной Азии. Как показал анализ вредоносного кода, стоящая за ним группировка активна по крайней мере с 2014 года.
Фреймворк состоит из двух пакетов – Tokyo и Yokohama, включающих в себя более 80 вредоносных модулей. По словам исследователей, такое количество плагинов является почти рекордным для APT-инструментария. Среди модулей есть бэкдоры, загрузчики, инструменты для оркестровки, средства для подключения к C&C-серверам, инструменты для аудиозаписи, кейлоггеры, инструменты для записи экрана и видео с web-камер, плагины для похищения документов и ключей шифрования и даже эксклюзивное решение для индексации файлов на инфицированном компьютере.
Как именно TajMahal попадает на атакуемую систему, исследователям пока выяснить не удалось. Однако они смогли установить, что сначала на компьютер загружается пакет Tokyo, загружающий ПО второго этапа Yokohama. В настоящее время выявлена только одна жертва вредоноса, однако, по мнению экспертов ЛК, их может быть больше.
Помимо обычных функций, характерных для шпионского ПО, TajMahal также вооружен рядом уникальных возможностей. К примеру, оператор вредоноса может запрашивать файл, хранящийся на USB-накопителе, который ранее был подключен к компьютеру. При следующем подключении этого USB-накопителя к зараженной системе TajMahal похитит запрошенный файл.