Im Herbst 2018 haben unsere Experten einen Angriff auf eine zentralasiatische diplomatische Einheit entdeckt. Fakt ist: Diplomaten und ihre Informationssysteme wecken phasenweise das Interesse verschiedener politischer Kr\u00e4fte; deshalb w\u00fcrde es an dieser Stelle auch keinen Beitrag geben, w\u00e4re da nicht das von den Angreifern eingesetze Tool: eine neue APT-Plattform namens TajMahal.<\/p>\n
TajMahal ist ein hochwertiges und hochtechnologisches Spyware-Framework mit einer enorm gro\u00dfen Plug-in-Anzahl (unsere Experten konnten bisher 80 sch\u00e4dliche Module finden), die dank verschiedener Tools und Werkzeuge alle potenziell umsetzbaren Angriffsszenarien erm\u00f6glichen. Die Malware-Analysen unserer Experten zeigen, dass die Plattform TajMahal \u00fcber mindestens f\u00fcnf Jahre lang entwickelt und verwendet wurde; die Tatsache, dass es bislang nur ein best\u00e4tigtes Opfer gibt, deutet lediglich darauf hin, dass weitere Opfer erst identifiziert werden m\u00fcssen.<\/p>\n
Die APT-Plattform umfasst zwei Hauptpakete: Tokyo und Yokohama. Beide konnten auf allen infizierten Computern gefunden werden. Tokyo enth\u00e4lt die Haupt-Backdoor-Funktion und stellt in regelm\u00e4\u00dfigen Abst\u00e4nden eine Verbindung mit den Command-and-Control-(C&C)-Servern her und verbleibt auch nach dem Eindringen im Netzwerk, w\u00e4hrend Stufe Zwei des Angriffs \u2013 Yokohama \u2013 ausgef\u00fchrt wird. Yokohama fungiert w\u00e4hrenddessen als \u201eWaffennutzlast\u201c der zweiten Phase und bildet ein vollausgestattetes Spionage-Framework, das ein Virtual File System (VFS) mit allen Plug-ins, Open Source- und propriet\u00e4ren Drittanbieter-Bibliotheken sowie Konfigurationsdateien enth\u00e4lt. TajMahal ist in der Lage:<\/p>\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2019\/04\/10131928\/The_TajMahal_attackprocess_final-1024x726.jpg\")
<\/p>\n
Die technische Komplexit\u00e4t der Spionageplattform TajMahal macht sie zu einem sehr besorgniserregenden Fund; auch die Zahl der bisher identifizierten Opfer wird h\u00f6chstwahrscheinlich in n\u00e4chster Zeit noch steigen. Doch es gibt Hoffnung, denn alle Kaspersky-Produkte erkennen und blockieren diese Bedrohung. Einen detaillierten Bericht \u00fcber das APT-Framework finden Sie auf Securelist<\/a>.<\/p>\n