I ricercatori di Kaspersky Lab hanno scoperto TajMahal alla fine del 2018. Si tratta di un framework di tipo APT tecnicamente sofisticato e progettato per il cyberspionaggio ad ampio raggio. L’analisi effettuata sui malware dimostra che la piattaforma è stata sviluppata e utilizzata almeno negli ultimi cinque anni, con la presenza di un primo campione datato aprile 2013 e di un ultimo, risalente ad agosto 2018. TajMahal deriva dal nome del file utilizzato per esfiltrare i dati rubati.
Si pensa che il framework TajMahal possa avere al suo interno due pacchetti principali, denominati “Tokyo” e “Yokohama”.
Tokyo è il più piccolo dei due, con circa tre moduli. Contiene le principali funzionalità di backdoor e si connette periodicamente con i server di comando e controllo. Tokyo sfrutta PowerShell e rimane in rete anche dopo che l’intrusione è passata al secondo stadio. Il secondo stadio è rappresentato, invece, dal pacchetto Yokohama: un framework per lo spionaggio davvero ben equipaggiato. Yokohama include un Virtual File System (VFS) con tutti i plugin, librerie open source e proprietarie di terze parti, e file di configurazione. Ci sono quasi 80 moduli in tutto che includono loader, orchestratori, communicator di comando e controllo, registratori audio, keylogger, screen grabber e webcam grabber, oltre a documenti e stealer di chiavi crittografiche.
TajMahal è anche in grado di appropriarsi dei cookie dal browser, di raccogliere la lista di backup per i dispositivi mobili Apple, di rubare dati da un CD masterizzato da una vittima e documenti da una coda di stampa. Può anche sottrarre un particolare file visualizzato precedentemente tramite una chiavetta USB: il file verrà rubato appena l’USB verrà inserita di nuovo all’interno di un computer.
I sistemi presi di mira e rilevati da Kaspersky Lab sono stati interessati da infezioni sia da parte di Tokyo, sia da parte di Yokohama. Questo dato suggerisce il fatto che Tokyo sia stato utilizzato come primo stadio per l’infezione, per poi passare alla distribuzione del pacchetto Yokohama, dotato di funzioni complete, alle vittime potenzialmente interessanti, lasciandolo all’interno dei sistemi con lo scopo di effettuare dei backup.
Fino a questo momento, è stata individuata una sola vittima, una realtà diplomatica dell’Asia centrale con sede all’estero, colpita a partire dal 2014.
I vettori per quanto riguarda la distribuzione e l’infezione da parte di TajMahal sono attualmente sconosciuti.
“La scoperta del framework TajMahal è stata molto interessante e intrigante. Il livello di raffinatezza raggiunto dal punto di vista tecnico è molto alto e presenta alcune funzionalità che non abbiamo mai visto prima in altre campagne di autori di minacce avanzate. Restano, però, alcuni interrogativi. Ad esempio, sembra altamente improbabile che un investimento così importante possa essere stato fatto per colpire una sola vittima. Questo suggerisce che potrebbero esserci anche altre vittime, al momento non ancora identificate, versioni aggiuntive di questo malware in-the-wild, o anche entrambe le cose. Anche i vettori per quanto riguarda la distribuzione e l’infezione della minaccia restano sconosciuti. In qualche modo il framework è rimasto al di fuori della portata dei rilevamenti per oltre cinque anni. Un’altra domanda intrigante è la seguente: questo mancato rilevamento in questo arco di tempo è dovuto ad un periodo di relativa inattività o a qualcos’altro? Non c’è alcun indizio sul fronte dell’attribuzione, né collegamenti rintracciabili che portino a gruppi responsabili di minacce già conosciute”, ha commentato Alexey Shulmin, Lead Malware Analyst di Kaspersky Lab.
Tutti i prodotti Kaspersky Lab rilevano con successo e bloccano questo tipo di minaccia.
Per non diventare vittime di un attacco mirato da parte di autori di minacce noti o ancora sconosciuti, i ricercatori di Kaspersky Lab raccomandano di mettere in atto le seguenti misure:
Utilizzare soluzioni di sicurezza avanzata come Kaspersky Anti Targeted Attack Platform (KATA) e assicurarsi che l’intero team di sicurezza abbia la possibilità di accedere alle più recenti informazioni sulle minacce informatiche.
Assicurarsi di aggiornare regolarmente tutti i software in uso all’interno di una certa organizzazione, in particolare ogni volta che viene rilasciata una nuova patch di sicurezza. I prodotti di sicurezza con funzionalità di Vulnerability Assessment e Patch Management possono aiutare a rendere questi processi automatici.
Scegliere una soluzione di sicurezza comprovata, come Kaspersky Endpoint Security, dotata di funzionalità di rilevamento “behavior-based” per una protezione efficace contro minacce note o sconosciute, compresi gli exploit.
Assicurarsi che il proprio personale sia adeguatamente formato in merito alle conoscenze base della “cybersecurity hygiene”: molti attacchi mirati prendono il via grazie a campagne di phishing o ad altre tecniche di social engineering.
