Logo Zephyrnet

Grupa Turla zaktualizowała złośliwe oprogramowanie ComRAT, aby używać interfejsu internetowego Gmaila do sterowania i kontroli

Data:

Złośliwe oprogramowanie ComRAT

Złośliwe oprogramowanie ComRAT jest narzędziem do zdalnej administracji i jest używane przez grupę hakerów Turla. Po raz pierwszy zauważono go w listopadzie 2014 r. Grupa hakerów Trula działa od ponad dziesięciu lat.

Złośliwe oprogramowanie ComRAT znane również pod nazwą Agent.BTZ, jego pierwsza wersja została wydana w 2007 r. Staje się niesławny po tym, jak został wykorzystany do złamania Wojsko USA w 2008 roku.

Operatorzy Turli, znani z utrzymywania dużego arsenału złośliwego oprogramowania, obejmują rootkit, kilka złożonych backdoorów przeznaczonych na różne platformy, w tym serwery pocztowe Microsoft Exchange oraz szeroki zakres narzędzi umożliwiających przestawianie w sieci.

Złośliwe oprogramowanie ComRAT

Nowy wariant ComRAT malware znalezione przez naukowców w 2017 r. i jest aktywne jeszcze w styczniu 2020 r. Zidentyfikowano trzy cele; dwa z nich to ministerstwa spraw zagranicznych i parlament narodowy.

Głównym zastosowaniem szkodliwego oprogramowania ComRAT jest kradzież poufnych dokumentów, w jednym z takich przypadków badacze zauważyli, że „wdrożył plik wykonywalny .NET w celu interakcji z centralną bazą danych MS SQL Server ofiary zawierającą dokumenty organizacji”.

Oprócz kradzieży dokumentów grupa hakerów uruchamia różne polecenia w celu zebrania informacji o usługach, takich jak „grupy lub użytkownicy usługi Active Directory, sieć lub konfiguracje systemu Microsoft Windows, takie jak zasady grupy”.

Złośliwe oprogramowanie ComRAT
Działanie złośliwego oprogramowania ComRAT

Najnowsze skompilowane złośliwe oprogramowanie ComRAT z listopada 2019 r., Zgodnie z telemetrią ESET, zostało zainstalowane przy użyciu istniejącej bazy, takiej jak zainfekowane dane uwierzytelniające lub za pośrednictwem innego backdoora Turla.

Wszystkie pliki związane z ComRAT są przechowywane w wirtualnym systemie plików, a VFS jest szyfrowany za pomocą AES-256 w trybie XTS.

Dwa kanały dowodzenia i kontroli

  • HTTP - złośliwe oprogramowanie wysyła żądania HTTP do swojego serwera C&C.
  • E-mail - używa interfejsu internetowego Gmaila do odbierania poleceń i ekstrakcji danych
Gmail używany do C&C

Najciekawsza funkcja nowej wersji złośliwego oprogramowania korzysta z internetowego interfejsu Gmaila do odbierania poleceń i odfiltrowywania danych.

Aby atakujący mogli ominąć niektóre rozwiązania bezpieczeństwa, ponieważ komunikacja nie pochodzi ze złośliwych domen. Eset opublikował a szczegółowy raport w Wskaźniki kompromisu.

Możesz nas śledzić LinkedInTwitterFacebook do codziennych aktualizacji dotyczących cyberbezpieczeństwa i hakowania.

Źródło: https://gbhackers.com/comrat-malware/

spot_img

Najnowsza inteligencja

spot_img