Este framework, modular y de gran
complejidad, habría estado en funcionamiento al menos desde 2014
Investigadores han revelado el
descubrimiento de un nuevo tipo de ‘APT Framework’ al que han nombrado como Taj
Mahal, el monumento funerario ubicado en la ciudad de Agra, India. Esta nueva
herramienta, tras conseguir acceder al ordenador de la víctima de una forma que
todavía no ha sido esclarecida, divide su ataque en 2 paquetes con módulos y
herramientas para la infección y lograr los objetivos deseados.
El primer paquete, denominado Tokio,
contiene 3 módulos, backdoors, scripts de powerShell y servidores C&C.
Incluye todas las herramientas necesarias para asegurar la infección de la
máquina. Este paquete continúa en el equipo de la víctima como un backup por si
el segundo paquete fuese eliminado.
El segundo paquete, Yokohama, es el
encargado de obtener el resultado deseado del ataque. Incluye hasta 80 módulos
almacenados en una unidad virtual cifrada, además de plugins, bibliotecas,
archivos de configuración y más. Entre los módulos disponibles se encuentran
herramientas de registro de pulsaciones de teclado, sustracción de cookies y
datos (incluyendo backups de dispositivos Apple), captura de pantalla al
utilizar aplicaciones VoIP, robo de información en CDs grabados, ficheros
recurrentes utilizados en pendrives, documentos mandados a imprimir, etc.
Aunque existían indicios desde 2013 de
la existencia de TajMahal, no fue hasta abril de 2014 que pudo confirmarse en
el equipo de una víctima. Ha sido en otoño de 2018 que por fin ha podido
descubrirse más al respecto. Sólo existe una víctima conocida de momento, una
entidad diplomática de Asia Central, aunque podrían haber más casos de los que
todavía no se ha dado constancia.
Más información
·
Project
TajMahal – a sophisticated new APT framework https://securelist.com/project-tajmahal/90240/
Fuente: Hispasec