Malware ComRAT adalah alat administrasi jarak jauh dan digunakan oleh grup peretas Turla. Ini pertama kali terlihat pada November 2014. Kelompok hacker Trula aktif selama lebih dari sepuluh tahun.
Malware ComRAT juga dikenal sebagai Agent.BTZ, versi pertama dirilis pada tahun 2007. Itu menjadi terkenal setelah digunakan untuk melanggar Militer AS pada 2008.
Operator Turla yang dikenal memiliki banyak malware, termasuk rootkit, beberapa pintu belakang kompleks yang ditujukan untuk platform yang berbeda, termasuk server surat Microsoft Exchange, dan sejumlah besar alat untuk memungkinkan berputar di jaringan.
Malware ComRAT
Varian baru dari ComRAT malware ditemukan oleh para peneliti pada tahun 2017 dan aktif pada Januari 2020. Tiga target telah diidentifikasi; dua di antaranya adalah kementerian Luar Negeri dan parlemen nasional.
Penggunaan utama malware ComRAT adalah untuk mencuri dokumen rahasia, dalam satu kasus seperti itu peneliti mengamati bahwa "menggunakan .NET yang dapat dieksekusi untuk berinteraksi dengan pusat MS SQL Server pusat korban yang berisi dokumen organisasi."
Selain mencuri dokumen, grup peretas menjalankan berbagai perintah untuk mengumpulkan informasi tentang layanan seperti "Grup atau pengguna direktori aktif, jaringan, atau konfigurasi Microsoft Windows seperti kebijakan grup."
Malware ComRAT yang dikompilasi paling baru tertanggal November 2019, menurut telemetri ESET, malware itu diinstal menggunakan pijakan yang ada seperti kompromi kredensial atau melalui backdoor Turla lain.
Semua file yang terkait dengan ComRAT disimpan dalam Sistem File Virtual dan VFS dienkripsi menggunakan AES-256 dalam mode XTS.
Dua saluran Command and Control
- HTTP - Malware membuat permintaan HTTP ke server C&C-nya.
- Email - Menggunakan antarmuka web Gmail untuk menerima perintah dan mengekstrak data
Fitur yang paling menarik dengan versi baru malware menggunakan UI web Gmail untuk menerima perintah dan mengekstrak data.
Sehingga penyerang dapat mem-bypass beberapa solusi keamanan sebagai komunikasi bukan dari domain jahat. Eset menerbitkan a laporan terperinci dengan Indikator kompromi.
Anda dapat mengikuti kami Linkedin, Twitter, Facebook untuk Cybersecurity harian dan berita terbaru peretasan.
