ComRAT-haittaohjelma on etähallintatyökalu, jota Turla-hakkerit käyttävät. Se havaittiin ensimmäisen kerran marraskuussa 2014. Trula-hakkeriryhmä on aktiivinen yli kymmenen vuotta.
ComRAT-haittaohjelma, joka tunnetaan myös nimellä Agent.BTZ, julkaistiin sen ensimmäinen versio vuonna 2007. Se tulee pahamaineiseksi, kun sitä käytettiin rikkomaan Yhdysvaltain armeija vuonna 2008.
Turlan operaattoreihin, jotka tunnetaan ylläpitävänsä suurta haittaohjelma-arsenaalia, kuuluu juurikoodi, useita monimutkaisia takaovia, jotka on suunnattu eri alustoille, mukaan lukien Microsoft Exchange -postipalvelimet, ja laaja valikoima työkaluja kääntymisen mahdollistamiseksi verkossa.
ComRAT-haittaohjelma
Uusi versio ComRATista haittaohjelmat tutkijoiden löytämät vuonna 2017, ja se on aktiivinen vasta tammikuussa 2020. Määritettiin kolme tavoitetta; Heistä kaksi on ulkoministerit ja kansallinen parlamentti.
ComRAT-haittaohjelman pääasiallinen käyttö on luottamuksellisten asiakirjojen varastaminen. Yhdessä sellaisessa tapauksessa tutkijat havaitsivat, että ”.NET-suoritettavan tietokoneen on asennettu toimimaan vuorovaikutuksessa uhrin MS SQL Server -tietokannan kanssa, joka sisältää organisaation asiakirjat”.
Hakkeri ryhmän dokumenttien varastamisen lisäksi suorittaa erilaisia komentoja tiedon keräämiseksi esimerkiksi "Active Directory -ryhmistä tai käyttäjistä, verkosta tai Microsoft Windows -konfiguraatioista, kuten ryhmäkäytännöistä".
Viimeksi koottu ComRAT-haittaohjelma, päivätty marraskuussa 2019, ESET-telemetrian mukaan haittaohjelma asennettiin käyttämällä olemassa olevaa jalansijaa, kuten vaarantuneita käyttöoikeustietoja, tai toisen Turlan takaoven kautta.
Kaikki ComRAT-tiedostoon liittyvät tiedostot tallennetaan virtuaaliseen tiedostojärjestelmään ja VFS salataan XES-tilassa AES-256: lla.
Kaksi komento- ja ohjauskanavaa
- HTTP - Haittaohjelma lähettää HTTP-pyyntöjä C&C -palvelimelleen.
- Sähköposti - käyttää Gmail-verkkokäyttöliittymää komentojen vastaanottamiseen ja tietojen suodattamiseen
Mielenkiintoisimpi ominaisuus haittaohjelman uudessa versiossa käyttää Gmailin web-käyttöliittymää komentojen vastaanottamiseen ja tietojen suodattamiseen.
Joten hyökkääjät voivat ohittaa tietyt tietoturvaratkaisut viestintänä, ei haitallisista verkkotunnuksista. Eset julkaisi yksityiskohtainen raportti with Kompromissin indikaattorit.
Voit seurata meitä Linkedin, Twitter, Facebook päivittäiseen verkkoturvallisuuteen ja hakkeroiviin uutispäivityksiin.