复杂的“TajMahal APT框架”已经5年没有被发现

配音印度泰姬陵卡巴斯基实验室的研究人员称，APT框架是一种基于高科技模块的恶意软件工具包，它不仅支持大量用于不同间谍活动的恶意插件，而且还包括以前从未见过的、晦涩难懂的把戏。

卡巴斯基以位于印度的世界七大奇迹之一泰姬陵命名该框架，不是因为它发现恶意软件与该国之间存在任何联系，而是因为窃取的数据被转移到了攻击者的C&amp；在一个名为TajMahal的XML文件中使用C服务器。

TajMahal toolkit最早是由安全研究人员在去年年底发现的，当时黑客利用它对一个中亚国家的外交组织的计算机进行间谍活动，该国家的国籍和位置尚未披露。

然而，研究人员检测的恶意软件样本表明，发起攻击的网络间谍组织至少自2014年8月以来一直活跃。

TajMahal框架由两个主要包组成—“东京”和“横滨”；这些插件总共包含80多个不同的恶意模块，据研究人员称，这是APT工具集中插件数量最多的插件之一。

研究人员说：“它包括后门、装载机、编曲器、C2通讯器、录音机、键盘记录器、屏幕和网络摄像头抓取器、文档和加密密钥窃取器，甚至还有自己的受害者机器文件索引器”。

研究人员还没有弄清楚塔吉玛哈最初是如何感染其目标的，但他们确实揭示了一旦感染，第一阶段的感染东京下载到目标机器上，然后交付功能齐全的第二阶段恶意软件横滨。
横滨在其加密的虚拟文件系统中存储恶意模块，该系统允许恶意软件：

• 记录击键，
• 窃取浏览器cookie和数据，包括苹果移动设备的备份，
• 记录并截屏VoIP通话，
• 窃取书面CD图像，
• 窃取发送到打印机队列的文档。

除了通常的间谍功能外，该恶意软件还包括一些更独特的功能，比如请求从之前插入的U盘中窃取特定文件。因此，下次USB连接到受感染的计算机时，文件将被窃取。

尽管研究人员迄今只发现了一名塔吉玛哈受害者，但鉴于该框架的复杂性，他们相信还有其他受害者尚未被发现。

卡巴斯基说：“到目前为止，我们通过遥测技术检测到了一名受害者”。

“我们无法看到VFS中的一个文件是如何被恶意软件使用的，这一事实强化了这一理论，为尚未被检测到的其他版本的恶意软件打开了大门”。

其他技术细节可以在SecureList博客上找到，研究人员还在博客上发布了一整套折衷指标（IOCs）和存储在恶意软件中的80个恶意模块的完整列表，并简要描述了它们的功能。