Descubren infraestructura de ciberespionaje con 80 elementos maliciosos

TajMahal ha estado activa desde al menos 2013
Autor:
La infraestructura de ciberespionaje cuenta con funcionalidades nunca vistas y parece no estar asociada con actores de amenaza conocidos
TajMahal

Palabras clave

Contenido patrocinado: 

Investigadores de Kaspersky Lab detectaron una infraestructura de ciberespionaje denominada TajMahal, que ha estado activa desde al menos 2013 y que no aparenta tener conexión alguna con otro actor de amenazas conocido. Hasta ahora, la compañía de ciberseguridad ha identificado a una embajada situada en Asia Central como la única víctima, pero es muy probable que otras entidades hayan sido afectadas.

De acuerdo con los analistas, TajMahal cuenta con cerca de 80 elementos maliciosos e incluye funcionalidades nunca antes vistas en amenazas persistentes avanzadas (APT), como la habilidad de robar información de la cola de trabajos de impresoras y de dispositivos USB, robo de cookies del navegador,  recopilar la lista de copias de seguridad para dispositivos móviles de Apple o robar datos de un CD grabado por la víctima.

Se estima que el marco de trabajo de TajMahal incluye dos paquetes principales, autodenominados “Tokyo” y “Yokohama”. Tokyo es el más pequeño de los dos, con alrededor de tres módulos. Contiene la funcionalidad de puerta trasera y se conecta periódicamente con los servidores de comando y control. Utiliza PowerShell y permanece en la red incluso después de que la intrusión haya pasado por la segunda etapa. 

Te interesa leer: Kaspersky alerta sobre seguridad de dispositivos biónicos conectados

Por su parte, el paquete Yokohama incluye un sistema virtual de archivos (VFS) con todos los plugins, bibliotecas de código abierto y propietario de terceros, y archivos de configuración. Cuenta con cerca de 80 módulos que incluyen cargadores, orquestadores, gestores de conexión a servidores de comando y control, así como complementos para grabación de audio, captura de pulsaciones del teclado, grabación de pantalla y cámara web, al igual que herramientas para el robo de documentos y claves criptográficas.

Los sistemas atacados encontrados por Kaspersky Lab fueron infectados por ambos, Tokyo y Yokohama. Esto sugiere que Tokyo fue la primera etapa de infección, implementando el paquete multifuncional de Yokohama en los objetivos de interés, dejando a Tokyo residente como copia de seguridad.    

Para evitar convertirse en víctima de algún APT creado por actores de amenaza conocidos o desconocidos, Kaspersky Lab recomendó implementar medidas como el uso de herramientas de seguridad avanzadas como la plataforma Kaspersky Anti Targeted Attack, actualizar regularmente todos los programas utilizados en una organización, elegir una solución de seguridad probada como Kaspersky Endpoint Security con capacidades de detección basada en el comportamiento y gestionar los parches de seguridad para evitar vulnerabilidades.

Contenido relacionado: