Attiva dal 2013, la piattaforma di cyberspionaggio TajMahal è stata scovata dai ricercatori di Kaspersky Lab che la descrivono tecnicamente molto sofisticata. I ricercatori di Kaspersky Lab hanno scoperto TajMahal alla fine del 2018. Si tratta di un framework di tipo APT tecnicamente sofisticato e progettato per il cyberspionaggio ad ampio raggio. L’analisi effettuata sui malware dimostra che la piattaforma è stata sviluppata e utilizzata almeno negli ultimi cinque anni, con la presenza di un primo campione datato aprile 2013 e di un ultimo, risalente ad agosto 2018. Il framework presenta circa 80 moduli dannosi al suo interno e include funzionalità mai rilevate prima in una APT (Advanced Persistent Threat). Kaspersky Lab finora ha identificato una sola vittima, un’ambasciata dell’Asia centrale con sede all’estero.
Alexey Shulmin, Lead Malware Analyst di Kaspersky Lab
La scoperta del framework TajMahal è stata molto interessante e intrigante. Il livello di raffinatezza raggiunto dal punto di vista tecnico è molto alto e presenta alcune funzionalità che non abbiamo mai visto prima in altre campagne di autori di minacce avanzate. Restano, però, alcuni interrogativi. Ad esempio, sembra altamente improbabile che un investimento così importante possa essere stato fatto per colpire una sola vittima. Questo suggerisce che potrebbero esserci anche altre vittime, al momento non ancora identificate, versioni aggiuntive di questo malware in-the-wild, o anche entrambe le cose. Anche i vettori per quanto riguarda la distribuzione e l’infezione della minaccia restano sconosciuti. In qualche modo il framework è rimasto al di fuori della portata dei rilevamenti per oltre cinque anni.
Si pensa che il framework TajMahal possa avere al suo interno due pacchetti principali, denominati “Tokyo” e “Yokohama“. Tokyo è il più piccolo dei due, con circa tre moduli. Contiene le principali funzionalità di backdoor e si connette periodicamente con i server di comando e controllo. Tokyo sfrutta PowerShell e rimane in rete anche dopo che l’intrusione è passata al secondo stadio. Il secondo stadio è rappresentato, invece, dal pacchetto Yokohama: un framework per lo spionaggio davvero ben equipaggiato. Yokohama include un Virtual File System (VFS) con tutti i plugin, librerie open source e proprietarie di terze parti, e file di configurazione.
TajMahal è anche in grado di appropriarsi dei cookie dal browser, di raccogliere la lista di backup per i dispositivi mobili Apple, di rubare dati da un CD masterizzato da una vittima e documenti da una coda di stampa. I sistemi presi di mira e rilevati da Kaspersky Lab sono stati interessati da infezioni sia da parte di Tokyo, sia da parte di Yokohama. Questo dato suggerisce il fatto che Tokyo sia stato utilizzato come primo stadio per l’infezione, per poi passare alla distribuzione del pacchetto Yokohama.
I vettori per quanto riguarda la distribuzione e l’infezione da parte di TajMahal sono attualmente sconosciuti.
Tutti i prodotti Kaspersky Lab rilevano con successo e bloccano questo tipo di minaccia. Per non diventare vittime di un attacco i ricercatori di Kaspersky Lab raccomandano di:
-Utilizzare soluzioni di sicurezza avanzata come Kaspersky Anti Targeted Attack Platform (KATA) e assicurarsi che l’intero team di sicurezza abbia la possibilità di accedere alle più recenti informazioni sulle minacce informatiche.
-Assicurarsi di aggiornare regolarmente tutti i software in uso all’interno di una certa organizzazione, in particolare ogni volta che viene rilasciata una nuova patch di sicurezza.
-Scegliere una soluzione di sicurezza comprovata, come Kaspersky Endpoint Security, dotata di funzionalità di rilevamento “behavior-based” per una protezione efficace contro minacce note o sconosciute, compresi gli exploit.
-Assicurarsi che il proprio personale sia adeguatamente formato in merito alle conoscenze base della “cybersecurity hygiene”.