'Kerangka Kerja Taj Mahal APT' yang Canggih Tetap Tidak Terdeteksi selama 5 Tahun - Otak Kita

'Kerangka Kerja Taj Mahal APT' yang Canggih Tetap Tidak Terdeteksi selama 5 Tahun


OtakKita - Peneliti cybersecurity kemarin meluncurkan keberadaan kerangka kerja spyware yang sangat canggih yang telah beroperasi setidaknya selama 5 tahun terakhir - tetapi tetap tidak terdeteksi hingga saat ini.

Dijuluki TajMahal oleh para peneliti di Kaspersky Lab, kerangka APT adalah toolkit malware berbasis teknologi tinggi modular yang tidak hanya mendukung sejumlah besar plugin jahat untuk operasi spionase yang berbeda, tetapi juga terdiri dari trik yang belum pernah dilihat sebelumnya dan trik yang tidak jelas.

Ngomong-ngomong, Kaspersky tidak menyebutkan mengapa mereka menamakan kerangka itu dengan Taj Mahal, salah satu dari Tujuh Keajaiban Dunia yang berlokasi di India.

Toolkit TajMahal pertama kali ditemukan oleh peneliti keamanan akhir tahun lalu ketika peretas menggunakannya untuk memata-matai komputer organisasi diplomatik milik negara Asia Tengah yang kebangsaan dan lokasinya belum diungkapkan.

Namun, sampel malware yang diteliti oleh para peneliti menunjukkan bahwa kelompok cyberespionage di belakang serangan telah aktif setidaknya sejak Agustus 2014.

Kerangka TajMahal terdiri dari dua paket utama— "Tokyo" dan "Yokohama" - yang bersama-sama berisi lebih dari 80 modul berbahaya yang berbeda, yang menurut para peneliti, adalah salah satu dari jumlah plugin tertinggi yang pernah dilihat untuk perangkat APT.

    "Ini termasuk pintu belakang, loader, orkestrator, komunikator C2, perekam audio, keylogger, pembuat layar dan webcam, pencuri kunci dokumen dan kriptografi, dan bahkan pengindeks file sendiri untuk mesin korban," kata para peneliti.

Para peneliti belum menemukan bagaimana TajMahal menginfeksi targetnya di tempat pertama, tetapi mereka mengungkapkan bahwa setelah diakses, infeksi tahap pertama Tokyo diunduh pada mesin yang ditargetkan, yang kemudian memberikan malware tahap kedua yang berfungsi penuh Yokohama.



Yokohama menyimpan modul jahat dalam Sistem File Virtual terenkripsi yang memungkinkan malware untuk:

  •     penekanan tombol log,
  •     mencuri cookie dan data browser, termasuk cadangan untuk perangkat seluler Apple,
  •     merekam dan mengambil tangkapan layar panggilan VoIP,
  •     mencuri gambar CD tertulis,
  •     mencuri dokumen yang dikirim ke antrian printer.


Selain kemampuan memata-matai biasa, malware ini juga mencakup beberapa fitur yang lebih unik seperti meminta untuk mencuri file tertentu dari USB stick yang sebelumnya dicolokkan. Jadi, lain kali ketika USB terhubung ke komputer yang terinfeksi, file tersebut akan dicuri.

Meskipun para peneliti hanya menemukan satu korban TajMahal sejauh ini tetapi mengingat kecanggihan kerangka ini, mereka percaya ada korban lain yang belum ditemukan.

    "Sejauh ini kami telah mendeteksi satu korban berdasarkan telemetri kami," kata Kaspersky.

    "Teori ini diperkuat oleh fakta bahwa kita tidak bisa melihat bagaimana salah satu file di VFS digunakan oleh malware, membuka pintu ke kemungkinan versi tambahan dari malware yang belum terdeteksi."


Rincian teknis tambahan dapat ditemukan di blog SecureList, di mana para peneliti juga telah menerbitkan satu set lengkap Indikator kompromi (IOC) dan daftar lengkap 80 modul jahat yang disimpan dalam malware dengan deskripsi singkat yang menjelaskan apa yang mereka lakukan.

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel