روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ چکیده اجرایی- «تاجمحل» پیشتر ناشناخته بود اما این فریمورک APT که به لحاظ فنی بسیار پیچیده است پاییز 2018 توسط لابراتوار کسپرسکی کشف شد. این چارچوبِ جاسوسی تمامعیار شامل دو بسته با نامهای «توکیو» و «یوکوهاما» میشود. همچنین دارای بکدر[1]، لودر[2]، ارکستراتور[3]، پروتکلهای ارتباطی C2، ضبطکنندههای صوتی، کیلاگرها[4]، گیرندههای اسکرین و وبکم، داکیومنتها و سارقین رمزنویسِ رشتههای اطلاعاتی[5] و حتی ایندکسرِ فایل خود برای دستگاه قربانی. ما تا 80 ماژول مخرب در سامانه پرونده مجازی[6](یکی از بالاترین تعداد پلاگین که تا به حال برای یک مجموعهابزار APT دیدهایم) کشف کردیم.
صرفاً جهت تأکید روی قابلیتهای این فریمورک APT باید بگوییم که تاجمحل میتواند از یک سیدیِ رایتشده توسط قربانی و نیز از صف پرینتر اطلاعات بدزدد. همچنین میتواند درخواست دهد تا فایل بخصوصی را از یک فلش یواسابی -که قبلاً دیده شده است- بدزدد. بدینطریق دفعه دیگر که یواسبی به کامپیوتر وصل شود کل فایل به سرقت خواهد رفت. تاجمحل دست کم پنج سالی میشود که ساخته شده و دارد مورد استفاده قرار میگیرد.
اولین نسخهی نمونهبرداریِ شناختهشده به اگوست 2013 برمیگردد و آخری هم برای آوریل 2018 است. اولین تاریخ تأییدشده برای وقتی که تاجمحل دستگاه قربانی را نمونهبرداری کرد به آگوست 2014 برمیگردد. برای اطلاعات بیشتر میتوانید به سرویس «گزارش هوشمند کسپرسکی[7]» (به آدرس intelreports@kaspersky.com) مراجعه فرمایید.
چزئیات فنی
ما دو نوع مختلفِ بستهی تاجمحل پیدا کردهایم: توکیو و یوکوهاما. سیستمهای مورد هدف قرار گرفته که توسط لابراتوار کسپرسکی کشف شدند توسط هر دوی این بستهها آلوده شدند. این نشان میدهد که توکیو حکم مرحلهی اولیهی تخریب را دارد. توکیو در حقیقت از بستهی یوکوهاما را (که کاربرد بالایی دارد) برای فریفتن قربانیان استفاده میکند و بعد برای بکآپگیری همانجا میماند. این دو بسته از پایه کد یکسانی برخوردارند. در ادامه قابلیتهای جذابی را که شناسایی کردیم خدمتتان معرفی کردهایم:
ü سرقت داکیومنتهای ارسالی به صف پرینتر
ü جمعآوری اطلاعات برای احیای قربانی شامل لیست بکآپ برای دستگاههای موبایل اپلی
ü گرفتن اسکرینشات حین ضبط صدا با اپ VoiceIP
ü سرقت تصاویر داخل CD
ü سرقت فایلهایی که قبلاً در درایوهای قابلجابجایی (removable) دیده شدند (به محض اینکه باری دیگر مورد دسترسی قرار گیرند)
ü سرقت کوکیهای Internet Explorer، Netscape Navigator، FireFox و RealNetworks.
ü در صورت پاک شدن از فایل Frontend یا ارزشهای رجیستریِ مربوطه، بعد از ریبوت با نام و نوع استارتآپِ جدید ظاهر خواهد شد.
قربانیها
تاکنون یک قربانی را در تلهمتری خود شناسایی کردهایم- یک هویت سیاسی از کشوری در آسیای مرکزی.
نتیجهگیری
فریمورک تاجمحل یک کشف جالب است؛ خصوصاٌ از حیث پیچیدگی فنی. میزان بالای پلاگینهایی که قابلیتهای مختلفی را اجرا میکنند چیزی است که مانندش را تا به حال در هیچ فعالیت APT دیگری ندیده بودیم. برای مثال، ایندکسر و C2های اضطراری مخصوص به خود را دارد و قادر است از درایوهای خارجی (وقتی بار دیگر مورد دسترسی قرار بگیرند) برخی فایلها را بدزدد. سوال اینجاست که چرا برای تنها یک قربانی باید انقدر خود را به زحمت بیاندازیم؟ فرضیهی محتمل این است که قربانیان دیگری هم وجود دارند که هنوز نتوانستیم پیدایشان کنیم. این تئوری زمانی رنگ واقعیت به خود میگیرد که بدانیم هنوز نتوانستیم بفهمیم چطوریکی از این فایلها در VFS توسط این بدافزار مورد استفاده قرار گرفت و بعد از آن راه برای هر نسخهی دیگری از این بدافزار باز شد که همچنان در تقلای شناساییشان هستیم.
محصولات لابراتوار کسپرسکی نمونههای APT تاجمحل را به عنوان HEUR:Trojan.Multi.Chaperone.gen شناسایی میکنند.
ضمیمه 1 – شاخصهای سازش
مجموعهی کاملی از قوانین IOCها و Yara برای مشتریان سرویس Kaspersky Intelligence Reporting موجود است (تماس با intelreports@kaspersky.com).
دامنه و آیپی
104.200.30.125
50.56.240.153
rahasn.webhop.org
rahasn.akamake.net
rahasn.homewealth.biz
هشهای فایل
22d142f11cf2a30ea4953e1fffb0fa7e
2317d65da4639f4246de200650a70753
27612cb03c89158225ca201721ea1aad
412956675fbc3f8c51f438c1abc100eb
490a140093b5870a47edc29f33542fd2
51a7068640af42c3a7c1b94f1c11ab9d
533340c54bd25256873b3dca34d7f74e
684eca6b62d69ce899a3ec3bb04d0a5b
69a19abf5ba56ee07cdd3425b07cf8bf
6cfd131fef548fcd60fbcdb59317df8e
72dc98449b45a7f1ccdef27d51e31e91
7c733607a0932b1b9a9e27cd6ab55fe0
7d5265e814843b24fcb3787768129040
80c37e062aa4c94697f287352acf2e9d
815f1f8a7bc1e6f94cb5c416e381a110
a43d3b31575846fa4c3992b4143a06da
08e82dc7bae524884b7dc2134942aadb
7bcd736a2394fc49f3e27b3987cce640
57314359df11ffdf476f809671ec0275
b72737b464e50aa3664321e8e001ff32
ce8ce92fb6565181572dce00d69c24f8
5985087678414143d33ffc6e8863b887
84730a6e426fbd3cf6b821c59674c8a0
d5377dc1821c935302c065ad8432c0d2
d8f1356bebda9e77f480a6a60eab36bb
92f8e3f0f1f7cc49fad797a62a169acd
9003cfaac523e94d5479dc6a10575e60
df91b86189adb0a11c47ce2405878fa1
e17bd40f5b5005f4a0c61f9e79a9d8c2
c1e7850da5604e081b9647b58248d7e8
99828721ac1a0e32e4582c3f615d6e57
f559c87b4a14a4be1bd84df6553aaf56
b9c208ea8115232bfd9ec2c62f32d6b8
061089d8cb0ca58e660ce2e433a689b3
0e9afd3a870906ebf34a0b66d8b07435
9c115e9a81d25f9d88e7aaa4313d9a8f
520ee02668a1c7b7c262708e12b1ba6b
7bfba2c69bed6b160261bdbf2b826401
77a745b07d9c453650dd7f683b02b3ed
3a771efb7ba2cd0df247ab570e1408b2
0969b2b399a8d4cd2d751824d0d842b4
fc53f2cd780cd3a01a4299b8445f8511
4e39620afca6f60bb30e031ddc5a4330
bfe3f6a79cad5b9c642bb56f8037c43b
3dfebce4703f30eed713d795b90538b5
9793afcea43110610757bd3b800de517
36db24006e2b492cafb75f2663f241b2
21feb6aa15e02bb0cddbd544605aabad
21feb6aa15e02bb0cddbd544605aabad
649ef1dd4a5411d3afcf108d57ff87af
320b2f1d9551b5d1df4fb19bd9ab253a
3d75c72144d873b3c1c4977fbafe9184
b9cf4301b7b186a75e82a04e87b30fe4
b4e67706103c3b8ee148394ebee3f268
7bfbd72441e1f2ed48fbc0f33be00f24
cdb303f61a47720c7a8c5086e6b2a743
2a6f7ec77ab6bd4297e7b15ae06e2e61
8403a28e0bffa9cc085e7b662d0d5412
3ffd2915d285ad748202469d4a04e1f5
04078ef95a70a04e95bda06cc7bec3fa
235d427f94630575a4ea4bff180ecf5d
8035a8a143765551ca7db4bc5efb5dfd
cacaa3bf3b2801956318251db5e90f3c
1aadf739782afcae6d1c3e4d1f315cbd
c3e255888211d74cc6e3fb66b69bbffb
d9e9f22988d43d73d79db6ee178d70a4
16ab79fb2fd92db0b1f38bedb2f02ed8
8da15a97eaf69ff7ee184fc446f19cf1
ffc7305cb24c1955f9625e525d58aeee
c0e72eb4c9f897410c795c1b360090ef
9ad6fa6fdedb2df8055b3d30bd6f64f1
44619a88a6cff63523163c6a4cf375dd
a571660c9cf1696a2f4689b2007a12c7
81229c1e272218eeda14892fa8425883
0ac48cfa2ff8351365e99c1d26e082ad
ضمیمه 2- جزئیات فنی بیشتر
در جدول زیر فهرست کاملی از فایلهای ذخیرهشده در VFS را به همراه شرح مختصری از نحوهی عملکرد پلاگینها آورده شده است:
|
شماره
|
نام
|
شرح مختصر
|
|
00
|
cs64.dll
|
ارتباط C2 و پردازش فرمان. سارق داکیومنت واچپوینتها[8]
|
|
1
|
cs32.dll
|
ارتباط C2 و پردازش فرمان. سارق داکیومنت واچپوینتها[9]
|
|
2
|
li64.dll
|
LocalInfo. جمعآوری حجم وسیعی از دادهها تحت عنوان تاجمحل.
|
|
3
|
li32.dll
|
LocalInfo. جمعآوری حجم وسیعی از دادهها تحت عنوان تاجمحل.
|
|
4
|
ad64.dll
|
ضبطکننده صدا، میکروفون، اپهای Voice IP
|
|
6
|
ad32.dll
|
ضبطکننده صدا، میکروفون، اپهای Voice IP
|
|
7
|
ad32.dll
|
رمگزگذار مبتنی بر منبع باز LAME mp3 (27 مارس 2014) که پلاگینهای AudioRecorder از آن استفاده کردند (adXX.dll).
|
|
8
|
le64.dll
|
رمگزگذار مبتنی بر منبع باز LAME mp3 (27 مارس 2014) که پلاگینهای AudioRecorder از آن استفاده کردند (adXX.dll).
|
|
9
|
le32.dll
|
زمانیکه Cache پاک شد، فایل MP3 توسط AudioRecorder ارسال میشود.
|
|
10
|
dd.m
|
AudioRecorder برای اپهای Windows Metro.
|
|
11
|
me64.dll
|
ma32.dll را به wwahost.exe یا audacity.exe تزریق میکند.
|
|
12
|
me32.dll
|
AudioRecorder برای Windows COM. IAudioClient، IAudioRenderClient، IMMDevice را به دام میاندازد.
|
|
13
|
ma32.dll
|
پوشش کمکی برای APIexXX.dll, pdXX.dll، sgXX.dll.
|
|
14
|
ams_api64.dll
|
پوشش کمکی برای APIexXX.dll, pdXX.dll، sgXX.dll.
|
|
15
|
ams_api32.dll
|
ارکستراتور. انتخاب آپدیت/اینستال/آنینستال پروسهها را مورد هدف قرار میدهد و پلاگینها را لود میکند.
|
|
16
|
ex64.dll
|
ارکستراتور. انتخاب آپدیت/اینستال/آنینستال پروسهها را مورد هدف قرار میدهد و پلاگینها را لود میکند.
|
|
17
|
ex32.dll
|
تمپلت یوکوهاما، ماژول فرانت اند[10] برای نصب مجدد مورد استفاده قرار میگیرد.
|
|
18
|
fe64.dll
|
تمپلت یوکوهاما، ماژول فرانت اند[11] برای نصب مجدد مورد استفاده قرار میگیرد.
|
|
19
|
fe32.dll
|
API ارائه میدهد تا به تنظیمات، فایلهای در حال اجرا و صف خروج دسترسی پیدا کند.
|
|
20
|
pd64.dll
|
API ارائه میدهد تا به تنظیمات، فایلهای در حال اجرا و صف خروج دسترسی پیدا کند.
|
|
21
|
pd32.dll
|
نسخهی کتابخانهایِ منع باز “libpng” 1.5.8 (1 فوریه 2012). استفاده شده توسط پلاگین اسکرینشات (ssXX.dll)
|
|
22
|
libpng64.dll
|
نسخهی کتابخانهایِ منع باز “libpng” 1.5.8 (1 فوریه 2012). استفاده شده توسط پلاگین اسکرینشات (ssXX.dll)
|
|
23
|
libpng32.dll
|
نصبکنندهی مجدد/تزریقکننده
|
|
24
|
rs64.dll
|
نصبکنندهی مجدد/تزریقکننده
|
|
25
|
rs32.dll
|
استفاده از تماس LoadLibrary توسط پلاگین نصبکنندهی مجدد/تزریقکننده (rsXX.dll) برای تزریق LoadLibrary call به فرآیندهای اجرا.
|
|
26
|
ix32.dll
|
استفاده از تماس LoadLibrary توسط پلاگین نصبکنندهی مجدد/تزریقکننده (rsXX.dll) برای تزریق LoadLibrary call به فرآیندهای اجرا.
|
|
05
|
ix64.dll
|
قالب (تمپلت) Shellcode نیز توسط نصبکنندهی مجدد/تزریقکننده (rsXX.dll) و AudioRecorder4MetroApp (meXX.dll) برای تزریق به فرآیندهای اجرا مورد استفاده قرار میگیرد. هر دو نسخهی obj32.bin یکجورند. ظاهراً تصادفی دو بار ذخیره میشود.
|
|
27
|
obj32.bin
|
قالب (تمپلت) Shellcode نیز توسط نصبکنندهی مجدد/تزریقکننده (rsXX.dll) و AudioRecorder4MetroApp (meXX.dll) برای تزریق به فرآیندهای اجرا مورد استفاده قرار میگیرد. هر دو نسخهی obj32.bin یکجورند. ظاهراً تصادفی دو بار ذخیره میشود.
|
|
28
|
obj32.bin
|
قالب (تمپلت) Shellcode نیز توسط نصبکنندهی مجدد/تزریقکننده (rsXX.dll) و AudioRecorder4MetroApp (meXX.dll) برای تزریق به فرآیندهای اجرا مورد استفاده قرار میگیرد. هر دو نسخهی obj32.bin یکجورند. ظاهراً تصادفی دو بار ذخیره میشود.
|
|
29
|
obj64.bin
|
آرشیو سودمند[12] برای عملیاتهایی نظیر مدیریت رجیستری، فایل و رمزگذاری و غیره API ارائه میدهد.
|
|
30
|
sc64.dll
|
آرشیو سودمند[13] برای عملیاتهایی نظیر مدیریت رجیستری، فایل و رمزگذاری و غیره API ارائه میدهد.
|
|
31
|
sc32.dll
|
آرشیو برای مدیریت صف خروجی (فایلها و پیامهای اماده برای ارسال به CC)
|
|
32
|
sg64.dll
|
آرشیو برای مدیریت صف خروجی (فایلها و پیامهای اماده برای ارسال به CC)
|
|
33
|
sg32.dll
|
SuicideWatcher حواسش به زمان آنینستال است و مقایسهی زمانی را بررسی میکند (زمان داخلی در مقابل زمان اینترنتی)
|
|
34
|
st64.dll
|
SuicideWatcher حواسش به زمان آنینستال است و مقایسهی زمانی را بررسی میکند (زمان داخلی در مقابل زمان اینترنتی)
|
|
35
|
st32.dll
|
آرشیو منبع باز XZip/XUnzip توسط Info-Zip + Lucian Wischik + Hans Dietrich. استفادهشده توسسط ایندکسر (inXX.dll) و پلاگینهای ارتباطی C2 (csXX.dll)
|
|
36
|
zip64.dll
|
آرشیو منبع باز XZip/XUnzip توسط Info-Zip + Lucian Wischik + Hans Dietrich. استفادهشده توسسط ایندکسر (inXX.dll) و پلاگینهای ارتباطی C2 (csXX.dll)
|
|
37
|
zip32.dll
|
نسخهی 1.2.3 مبنع باز “zlib” استفادهشده توسط libpngXX.dll برای فشردهسازی اسکرینشاتها (ssXX.dll)
|
|
38
|
zlib64.dll
|
نسخهی 1.2.3 مبنع باز “zlib” استفادهشده توسط libpngXX.dll برای فشردهسازی اسکرینشاتها (ssXX.dll)
|
|
39
|
zlib32.dll
|
IM-Stealer محتوای مکالمه را از قاب چت اپهای پیام فوری میدزد.
|
|
40
|
il32.dll
|
ایندسکر. فایلهای ایندکس روی درایوهای قربانی، پروفایلهای کاربر و درایوهای خارجی. فایلهای ایندکس ساختهشده زیپ گشته (توسط zipXX.dl) و در صف قرار داده میشوند.
|
|
55
|
in32.dll
|
ایندسکر. فایلهای ایندکس روی درایوهای قربانی، پروفایلهای کاربر و درایوهای خارجی. فایلهای ایندکس ساختهشده زیپ گشته (توسط zipXX.dl) و در صف قرار داده میشوند.
|
|
41
|
in64.dll
|
|
|
42
|
isys9core_64.dll
|
|
|
43
|
isyspdf6_64.dll
|
|
|
44
|
isyspdfl_64.dll
|
|
|
45
|
isysdc_64.dll
|
|
|
46
|
isys9.key
|
|
|
47
|
isys.cwd
|
اجزای ISYS Search Software توسط پلاگین ایندکسر استفاده میشوند.
|
|
48
|
isys.elx
|
Licensee_ID1 “Q5GXU H5W67 23B4W SCQFD 4G7HV 9GSLW”
|
|
49
|
isys9_32.dll
|
Licensee_ID2 “objectviewer.exe”
|
|
50
|
isys9core_32.dll
|
|
|
51
|
isyspdf6_32.dll
|
|
|
52
|
isyspdfl_32.dll
|
|
|
53
|
isyspdfl_32.dll
|
|
|
56
|
isysdc_32.dll
|
|
|
45
|
isys9_64.dll
|
آرشیو منبعباز sqlite استفادهشده توسط ISYS Search
|
|
54
|
sqlite3_64.dll
|
آرشیو منبعباز sqlite استفادهشده توسط ISYS Search
|
|
57
|
sqlite3_32.dll
|
Thumbnailer عکسهای بندانگشتی را میسازد و آماده برای ارسال به فایلها میکند.
|
|
58
|
tn32.dll
|
Thumbnailer عکسهای بندانگشتی را میسازد و آماده برای ارسال به فایلها میکند.
|
|
59
|
tn64.dll
|
آرشیو منبع باز FreeImage از فرمتهای گرافیکی محبوب پشتیبانی میکند (ver 3.15.4 2012-10-27) پلاگین (http://freeimage.sourceforge.net). Is used by Thumbnailer (tnXX.dll)
|
|
60
|
freeimage_32.dll
|
آرشیو منبع باز FreeImage از فرمتهای گرافیکی محبوب پشتیبانی میکند (ver 3.15.4 2012-10-27) پلاگین (http://freeimage.sourceforge.net). Is used by Thumbnailer (tnXX.dll)
|
|
61
|
freeimageplus_32.dll
|
آرشیو منبع باز FreeImage از فرمتهای گرافیکی محبوب پشتیبانی میکند (ver 3.15.4 2012-10-27) پلاگین (http://freeimage.sourceforge.net). Is used by Thumbnailer (tnXX.dll)
|
|
62
|
freeimage_64.dll
|
آرشیو منبع باز FreeImage از فرمتهای گرافیکی محبوب پشتیبانی میکند (ver 3.15.4 2012-10-27) پلاگین (http://freeimage.sourceforge.net). Is used by Thumbnailer (tnXX.dll)
|
|
63
|
freeimageplus_64.dll
|
مانیتور کیلاگر و کلیپبورد
|
|
64
|
ku64.dll
|
مانیتور کیلاگر و کلیپبورد
|
|
65
|
ku32.dll
|
سرقت اسناد پرینتشده از صف خروجی. این کار با فعالسازی ویژگیKeepPrintedJobs برای هر پرینتر تنظیمشده و ذخیره گشته در ویندوز رجیستری صورت میگیرد: کلید: “SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Print\\Printers”
value: “Attributes”
|
|
66
|
pm64.dll
|
سرقت اسناد پرینتشده از صف خروجی. این کار با فعالسازی ویژگیKeepPrintedJobs برای هر پرینتر تنظیمشده و ذخیره گشته در ویندوز رجیستری صورت میگیرد: کلید: “SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Print\\Printers”
value: “Attributes”
|
|
67
|
pm32.dll
|
EgressSender فایلها را از صف خروجی به C2 ارسال میکند.
|
|
68
|
rc64.dll
|
EgressSender فایلها را از صف خروجی به C2 ارسال میکند.
|
|
69
|
rc32.dll
|
ClientRecon (نام کامپیوتر، اطلاعات سیستمعامل، آدرس مک، کلیدهای شبکه بیسیم، دستگاههای اپل کانکتشده، فهرست بکآپ دستگاههای موبایل اپل، نسخهی IE، SecurityCenterInfo -AV، فایروالها و محصولات ضد جاسوسافزار- اطلاعات سخت افزار و نرمافزار مانند مترو اپها، کاربران و اتورانها[14]). در صورت بروز تغییر، موضوع را بررسی نموده و آن را برای C2 راسال کنید.
|
|
70
|
rn64.dll
|
ClientRecon (نام کامپیوتر، اطلاعات سیستمعامل، آدرس مک، کلیدهای شبکه بیسیم، دستگاههای اپل کانکتشده، فهرست بکآپ دستگاههای موبایل اپل، نسخهی IE، SecurityCenterInfo -AV، فایروالها و محصولات ضد جاسوسافزار- اطلاعات سخت افزار و نرمافزار مانند مترو اپها، کاربران و اتورانها[15]). در صورت بروز تغییر، موضوع را بررسی نموده و آن را برای C2 راسال کنید.
|
|
71
|
rn32.dll
|
Screenshoter. اسکرینشاتهای دورهای با رزولوشن پایین. اسکرینشاتهایی با رزولوشن بالا از فرآیند برخی پنجرهها و حین ضبط VoiceIP application audio.
|
|
72
|
ss64.dll
|
Screenshoter. اسکرینشاتهای دورهای با رزولوشن پایین. اسکرینشاتهایی با رزولوشن بالا از فرآیند برخی پنجرهها و حین ضبط VoiceIP application audio.
|
|
73
|
ss32.dll
|
سرقت داکیومنتها از درایوهای خارجی و ثابت. نظارت بر CDBurnArea و سرقت تصاویر سیدی رایتشده.
|
|
74
|
vm32.dll
|
سرقت داکیومنتها از درایوهای خارجی و ثابت. نظارت بر CDBurnArea و سرقت تصاویر سیدی رایتشده.
|
|
75
|
vm64.dll
|
به صورت دورهای اسنپشاتهای دوربین وبی میسازد.
|
|
76
|
wc64.dll
|
به صورت دورهای اسنپشاتهای دوربین وبی میسازد.
|
|
77
|
wc32.dll
|
فایل تنظیمات پیشفرض
|
|
78
|
default.cfg
|
فهرست نام فرآیندها. پلاگینهای مربوطه باید داخل این فرآیندها اجرا شوند.
|
|
79
|
runin.bin
|
فایل تنظیمات مسیر کاری فولدرها و کلیدهای رجیستری را تنظیم میکند.
|
[1] Backdoor
[2] Loader
[3] Orchestrator
[4] Keylogger
[5] cryptography key stealers
[6] Virtual file system
[7] Kaspersky Intelligence Reporting
[8] WatchPoints
[9] WatchPoints
[10] Frontend، لایهی نمایشی
[11] Frontend، لایهی نمایشی
[12] Utility library
[13] Utility library
[14] Autorun
[15] Autorun
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.