Zephyrnet logo

Turla-ryhmä päivitti ComRAT-haittaohjelman käyttämään Gmailin verkkoliittymää hallintaan ja hallintaan

Treffi:

ComRAT-haittaohjelma

ComRAT-haittaohjelma on etähallintatyökalu, jota Turla-hakkerit käyttävät. Se havaittiin ensimmäisen kerran marraskuussa 2014. Trula-hakkeriryhmä on aktiivinen yli kymmenen vuotta.

ComRAT-haittaohjelma, joka tunnetaan myös nimellä Agent.BTZ, julkaistiin sen ensimmäinen versio vuonna 2007. Se tulee pahamaineiseksi, kun sitä käytettiin rikkomaan Yhdysvaltain armeija vuonna 2008.

Turlan operaattoreihin, jotka tunnetaan ylläpitävänsä suurta haittaohjelma-arsenaalia, kuuluu juurikoodi, useita monimutkaisia ​​takaovia, jotka on suunnattu eri alustoille, mukaan lukien Microsoft Exchange -postipalvelimet, ja laaja valikoima työkaluja kääntymisen mahdollistamiseksi verkossa.

ComRAT-haittaohjelma

Uusi versio ComRATista haittaohjelmat tutkijoiden löytämät vuonna 2017, ja se on aktiivinen vasta tammikuussa 2020. Määritettiin kolme tavoitetta; Heistä kaksi on ulkoministerit ja kansallinen parlamentti.

ComRAT-haittaohjelman pääasiallinen käyttö on luottamuksellisten asiakirjojen varastaminen. Yhdessä sellaisessa tapauksessa tutkijat havaitsivat, että ”.NET-suoritettavan tietokoneen on asennettu toimimaan vuorovaikutuksessa uhrin MS SQL Server -tietokannan kanssa, joka sisältää organisaation asiakirjat”.

Hakkeri ryhmän dokumenttien varastamisen lisäksi suorittaa erilaisia ​​komentoja tiedon keräämiseksi esimerkiksi "Active Directory -ryhmistä tai käyttäjistä, verkosta tai Microsoft Windows -konfiguraatioista, kuten ryhmäkäytännöistä".

ComRAT-haittaohjelma
ComRAT-haittaohjelmien käyttö

Viimeksi koottu ComRAT-haittaohjelma, päivätty marraskuussa 2019, ESET-telemetrian mukaan haittaohjelma asennettiin käyttämällä olemassa olevaa jalansijaa, kuten vaarantuneita käyttöoikeustietoja, tai toisen Turlan takaoven kautta.

Kaikki ComRAT-tiedostoon liittyvät tiedostot tallennetaan virtuaaliseen tiedostojärjestelmään ja VFS salataan XES-tilassa AES-256: lla.

Kaksi komento- ja ohjauskanavaa

  • HTTP - Haittaohjelma lähettää HTTP-pyyntöjä C&C -palvelimelleen.
  • Sähköposti - käyttää Gmail-verkkokäyttöliittymää komentojen vastaanottamiseen ja tietojen suodattamiseen
Gmailia käytetään varainkäsittelyyn

Mielenkiintoisimpi ominaisuus haittaohjelman uudessa versiossa käyttää Gmailin web-käyttöliittymää komentojen vastaanottamiseen ja tietojen suodattamiseen.

Joten hyökkääjät voivat ohittaa tietyt tietoturvaratkaisut viestintänä, ei haitallisista verkkotunnuksista. Eset julkaisi yksityiskohtainen raportti with Kompromissin indikaattorit.

Voit seurata meitä LinkedinTwitterFacebook päivittäiseen verkkoturvallisuuteen ja hakkeroiviin uutispäivityksiin.

Lähde: https://gbhackers.com/comrat-malware/

spot_img

Uusin älykkyys

spot_img