L’Attaque APT TajMahal révélée

Une nouvelle attaque APT prend pour cible la mission diplomatique d’un pays asiatique.

En automne 2018 nous avons détecté une attaque qui prenait pour cible l’organisation diplomatique d’un pays d’Asie centrale. Ce cas n’avait rien d’exceptionnel puisque les diplomates et leurs systèmes d’informations suscitent de temps à autre l’intérêt de plusieurs forces politiques ; mais l’outil utilisé était particulièrement intéressant :  une nouvelle plateforme APT connue comme TajMahal.

TajMahal est bien plus qu’un simple ensemble de portes dérobées, puisqu’il s’agit d’un spyware de pointe et de haute qualité équipé de nombreux plug-ins (nos experts ont trouvé 80 modules malveillants jusqu’à présent), ce qui lui permet de réaliser n’importe quel genre de scénarios d’attaque grâce à divers outils. Selon nos spécialistes, TajMahal a été actif pendant cinq ans. Une seule victime a été confirmée jusque-là, et toutes les autres personnes qui en ont souffert doivent encore être identifiées.

Qu’est-ce que TajMahal peut faire ?

La nouvelle plateforme APT se divise en deux parties : Tokyo et Yokohama. Les deux ont été détectées sur tous les ordinateurs infectés. Tokyo agit comme porte dérobée principale et distribue le malware de deuxième étape. Curieusement, il reste dans le système même après que la seconde phase ait été lancée, et il est évident qu’il le fait pour fonctionner comme canal de communication additionnel. Pendant ce temps, Yokohama est la charge utile de l’arme utilisée en deuxième partie. Il crée un système de fichiers virtuel et complet avec des plug-ins, des librairies de tiers, et des fichiers de configuration. Son arsenal est exceptionnellement vaste :

  • Vol de cookies,
  • Interception des documents en attente d’impression,
  • Collecte de données sur la victime (y compris une liste des copies de sauvegarde du dispositif iOS),
  • Enregistrement et capture d’écran des appels VoIP,
  • Vol des images disques optiques faites par la victime,
  • Index des fichiers, y compris ceux des disques durs externes, et possible vol de fichiers spécifiques lorsque le disque dur est à nouveau détecté.

 

Conclusion

La découverte de TajMahal est particulièrement inquiétante à cause de sa complexité technique, et le nombre de victimes identifiées jusqu’à présent va très certainement augmenter. Cela dit, les produits de Kaspersky Lab détectent TajMahal. Vous pouvez obtenir tous les détails techniques en lisant l’article que nous avons publié sur Securelist.

Nos technologies automatiques et heuristiques ont été les premières à découvrir cette menace. Il est donc logique d’utiliser nos solutions de sécurité éprouvées, comme Kaspersky Security for Business, pour vous protéger de TajMahal et de programmes similaires.

Conseils