金融&IT業界の情報ポータルサイト
 
 


 
【IT業界ニュース】 >> 記事詳細

2019/04/18

【カスペルスキー】80ものモジュールと独自機能を備えたスパイ活動フレームワーク「TajMahal」を発見 ~ 既知のいかなるサイバー犯罪組織との関連性も見られず ~

| by:ウェブ管理者
Kaspersky Labの調査チームは、高度な機能を持つサイバースパイ活動のフレームワークを発見しました。このフレームワークは、少なくとも2013年から利用されており、既知のいかなるサイバー犯罪組織との関連性も見られません。調査チームが「TajMahal(タージマハル)」と名付けたこのフレームワークは、約80の悪意あるモジュールを備えています。プリントキューから情報を傍受する機能や、過去に接続されたUSBデバイスのファイルを、同じUSBが再接続された際に窃取する機能など、これまでのAPT攻撃では確認されたことのない機能を含んでいます。調査チームは、現時点で唯一、中央アジアの在外大使館が標的になったことを確認していますが、ほかの組織も標的になりうる可能性があります。

Kaspersky Labの調査チームが2018年に発見したTajMahalは、広範囲にわたるサイバースパイ活動向けに設計された、高機能なAPTのフレームワークです。マルウェアサンプルの解析結果から、このフレームワークは少なくとも過去5年間、開発を継続しながら使用されていたことが判明しています。最古のサンプルの日付は2013年4月で、最新のサンプルの日付は2018年8月でした。調査チームは、窃取したデータを取り出すために使用しているファイル名を引用し、このフレームワークを「TajMahal」と名付けました。

TajMahalのフレームワークには、「Tokyo」「Yokohama」と名付けられた、2つの主要パッケージが含まれています。2つのパッケージのうち、Tokyoの方が小さく、3つのモジュールを含んでいます。Tokyoのメイン機能はバックドアで、指令サーバーに定期的に接続します。PowerShellを使用しており、不正侵入が第2段階に移行した後もネットワーク内にとどまります。

不正侵入の第2段階では、完全な機能を備えたスパイ活動のフレームワークであるYokohamaが使用されます。Yokohamaには、多くのプラグイン、オープンソースとサードパーティ固有のライブラリやファイル構成関連などのモジュールを内包した仮想ファイルシステム(VFS)が含まれています。ローダー、オーケストレーター、指令サーバーとのコミュニケーター、音声レコーダー、キーロガー、画面およびWebカメラ画像やドキュメントおよび暗号キーの窃取など、全部で約80のモジュールがあります。

また、TajMahalは、ブラウザーのCookie取得や、Appleのモバイルデバイスのバックアップリスト収集、標的ユーザーが作成したCDイメージやプリントキューのドキュメントを窃取することもできます。過去に接続したUSBデバイスから特定のファイルを窃取するリクエストを出し、同じUSBが再度接続された際にそのファイルを盗みます。

Kaspersky Labによって発見された標的のシステムは、TokyoとYokohamaの両方に感染していました。このことから、第1段階の感染でTokyoが使用され、関心を持った標的に対して第2段階の感染に完全な機能を備えたYokohamaが使用されたとみられます。バックアップの目的で、Tokyoはそのまま残されていたと考えられます。

これまでのところ、唯一の標的は中央アジアの在外大使館であり、2014年までに感染していたことが確認されています。現時点では、TajMahalの配信や感染の経路は分かっていません。


原文はこちら
https://prtimes.jp/main/html/rd/p/000000126.000011471.html

15:06 | IT:一般
 

【免責事項】
サイト掲載情報の正確性、および完全性については最善を尽くしておりますが、その内容を保証するものではございません。また利用者が当サイト、およびサイトに関連するコンテンツ、リンク先サイトにおける一切のサービス等を利用されたことに起因、または関連して生じた一切の損害(間接的、直接的を問わず)について、当社、当サイト、投稿者および情報提供者は一切の責任を負いません。

Copyright © 2010- GoodWay Inc. All rights reserved.