Złośliwe oprogramowanie ComRAT jest narzędziem do zdalnej administracji i jest używane przez grupę hakerów Turla. Po raz pierwszy zauważono go w listopadzie 2014 r. Grupa hakerów Trula działa od ponad dziesięciu lat.
Złośliwe oprogramowanie ComRAT znane również pod nazwą Agent.BTZ, jego pierwsza wersja została wydana w 2007 r. Staje się niesławny po tym, jak został wykorzystany do złamania Wojsko USA w 2008 roku.
Operatorzy Turli, znani z utrzymywania dużego arsenału złośliwego oprogramowania, obejmują rootkit, kilka złożonych backdoorów przeznaczonych na różne platformy, w tym serwery pocztowe Microsoft Exchange oraz szeroki zakres narzędzi umożliwiających przestawianie w sieci.
Złośliwe oprogramowanie ComRAT
Nowy wariant ComRAT malware znalezione przez naukowców w 2017 r. i jest aktywne jeszcze w styczniu 2020 r. Zidentyfikowano trzy cele; dwa z nich to ministerstwa spraw zagranicznych i parlament narodowy.
Głównym zastosowaniem szkodliwego oprogramowania ComRAT jest kradzież poufnych dokumentów, w jednym z takich przypadków badacze zauważyli, że „wdrożył plik wykonywalny .NET w celu interakcji z centralną bazą danych MS SQL Server ofiary zawierającą dokumenty organizacji”.
Oprócz kradzieży dokumentów grupa hakerów uruchamia różne polecenia w celu zebrania informacji o usługach, takich jak „grupy lub użytkownicy usługi Active Directory, sieć lub konfiguracje systemu Microsoft Windows, takie jak zasady grupy”.
Najnowsze skompilowane złośliwe oprogramowanie ComRAT z listopada 2019 r., Zgodnie z telemetrią ESET, zostało zainstalowane przy użyciu istniejącej bazy, takiej jak zainfekowane dane uwierzytelniające lub za pośrednictwem innego backdoora Turla.
Wszystkie pliki związane z ComRAT są przechowywane w wirtualnym systemie plików, a VFS jest szyfrowany za pomocą AES-256 w trybie XTS.
Dwa kanały dowodzenia i kontroli
- HTTP - złośliwe oprogramowanie wysyła żądania HTTP do swojego serwera C&C.
- E-mail - używa interfejsu internetowego Gmaila do odbierania poleceń i ekstrakcji danych
Najciekawsza funkcja nowej wersji złośliwego oprogramowania korzysta z internetowego interfejsu Gmaila do odbierania poleceń i odfiltrowywania danych.
Aby atakujący mogli ominąć niektóre rozwiązania bezpieczeństwa, ponieważ komunikacja nie pochodzi ze złośliwych domen. Eset opublikował a szczegółowy raport w Wskaźniki kompromisu.
Możesz nas śledzić LinkedIn, Twitter, Facebook do codziennych aktualizacji dotyczących cyberbezpieczeństwa i hakowania.