Programul malware ComRAT este un instrument de administrare la distanță și este utilizat de grupul de hackeri Turla. A fost observat pentru prima dată în noiembrie 2014. Grupul de hackeri Trula este activ de mai bine de zece ani.
Programul malware ComRAT cunoscut și sub numele de Agent.BTZ, prima versiune a acestuia a fost lansată în 2007. Devine infam după ce a fost folosit pentru a încălca Armata SUA în 2008.
Operatorii Turla cunoscuți pentru menținerea unui arsenal mare de programe malware includ un rootkit, mai multe portiere din spate complexe care vizează diferite platforme, inclusiv servere de poștă Microsoft Exchange și o gamă largă de instrumente pentru a permite pivotarea într-o rețea.
ComRAT Malware
O nouă variantă a ComRAT malware găsit de cercetători în 2017 și este activ încă din ianuarie 2020. Au fost identificate trei ținte; două dintre ele sunt ministere ale afacerilor externe și un parlament național.
Principala utilizare a malware-ului ComRAT este de a fura documente confidențiale, într-un astfel de caz, cercetătorii au observat că „a implementat un executabil .NET pentru a interacționa cu baza de date centrală MS SQL Server a victimei care conține documentele organizației”.
În plus față de furtul de documente, grupul de hackeri execută diverse comenzi pentru a aduna informații despre servicii precum „grupuri sau utilizatori Active Directory, rețea sau configurații Microsoft Windows, cum ar fi politicile de grup”.
Cel mai recent malware ComRAT compilat din noiembrie 2019, conform telemetriei ESET, malware-ul a fost instalat folosind un punct de sprijin existent, cum ar fi acreditări compromise sau printr-un alt backdoor Turla.
Toate fișierele asociate cu ComRAT sunt stocate într-un sistem de fișiere virtuale, iar VFS este criptat folosind AES-256 în modul XTS.
Două canale de comandă și control
- HTTP - malware-ul face solicitări HTTP către serverul său C&C.
- E-mail - Folosește interfața web Gmail pentru a primi comenzi și a exfiltra date
Cea mai interesantă caracteristică a noii versiuni a programelor malware folosește interfața de utilizare web Gmail pentru a primi comenzi și a exfiltra date.
Astfel, atacatorii pot ocoli unele soluții de securitate, deoarece comunicarea nu este de la domeniile rău intenționate. Eset a publicat un raport detaliat cu Indicatori de compromis.
Poți să ne urmezi LinkedIn, Twitter, Facebook pentru actualizări zilnice de securitate cibernetică și hacking.
