Een gevaarlijk nieuwe versie van de ComRAT-malware is instaat om verbinding te maken met de Gmail-webinterface om opdrachten te ontvangen en gegevens te exporteren.
Rusland gekoppelde cyberspionage groep
Een gewijzigde versie van de ComRAT-malware die werd gebruikt bij recente aanvallen van Turla, een aan Rusland gekoppelde cyberspionage groep, maakt verbinding met Gmail om opdrachten te ontvangen, meldt ESET.
Sinds 2006
Ook bekend als Snake, Venomous Bear, KRYPTON en Waterbug, wordt vermoed dat de hack gemeenschap al sinds 2006 betrokken is, gebaseerd op het gebruik van ComRAT, ook wel bekend als Agent. BTZ en Chinch.
Een van de oudste malware families van de groep, ComRAT, werd in 2008 gebruikt om het Amerikaanse leger aan te vallen en zag tot 2012 twee belangrijke versies, die beide waren afgeleid van dezelfde codebasis. De hackers hadden in 2017 weinig wijzigingen in de malware aangebracht.
Versie 4 ComRat
ComRAT v4, de in 2017 gepubliceerde versie, is veel complexer dan zijn voorgangers en zou volgens ESET's beveiligingsonderzoekers zelfs bij de aanvallen van dit jaar in gebruik zijn geweest. Het eerste rapport van ComRAT v4 lijkt te zijn verzameld in april 2017, terwijl het laatste is gedateerd op november 2019.
Tot op heden heeft Turla de malware gebruikt om ten minste drie slachtoffers (twee ministeries van Buitenlandse Zaken en een nationaal parlement) te bedreigen om gevoelige openbare clouddiensten zoals OneDrive en 4shared te exfiltreren.
Gemaakt in C ++
ComRAT v4 is gemaakt in C ++ en wordt geïmplementeerd met behulp van bestaande toegangsmethoden, zoals de PowerStallion PowerShell-achterdeur, en heeft twee commando- en controlekanalen (C&C), namelijk HTTP (hetzelfde protocol dat werd gebruikt in de vorige variant) en e-mail (kon commando's en exfiltreren van gegevens via Gmail).
Verbinding met Gmail-webinterface
Op basis van de cookies die zijn opgeslagen in het configuratiebestand, maakt de malware verbinding met de Gmail-webinterface om een inbox te controleren en bijlagen te downloaden met versleutelde opdrachten die vanaf een ander adres door de aanvallers zijn verzonden.
De nieuwe malware variant heet intern Chinch (hetzelfde als eerdere versies), deelt een deel van zijn netwerkinfrastructuur met Mosquito, en er is waargenomen dat Turla-malware, zoals een aangepaste PowerShell-lader, PowerStallion-achterdeur en RPC-achterdeur, wordt verwijderd of verwijderd.
Extra malware
ComRAT v4, dat speciaal is ontworpen om gevoelige gegevens te exfiltreren, helpt aanvallers ook om extra malware te implementeren in besmette omgevingen. Operators kunnen ook opdrachten uitvoeren om informatie te verzamelen van de besmette systemen, zoals groepen of gebruikers van Active Directory, netwerkdetails en configuraties van Microsoft Windows.
Onderdelen van de malware bevatten een orchestrate ingevoegd in explorer.exe die de meeste functies bestuurt, een communicatiemodule (DLL) die in de standaard browser van het orkest is geïnjecteerd, en een virtueel FAT16-bestandssysteem met configuratie en logboeken.
Beveiligingsmaatregelen omzeilen
De beveiligingsonderzoekers hebben de nadruk gelegd op ontwijking, waarbij de hackers routinematig logbestanden met betrekking tot beveiliging exfiltreren om te bepalen of hun methoden al dan niet zijn geïdentificeerd.
“De meest interessante functie is dat de Gmail-webinterface wordt gebruikt om opdrachten te ontvangen en gegevens te exfiltreren". En het kan alle beveiligingsmaatregelen omzeilen omdat het niet afhankelijk is van een kwaadaardig domein. We ontdekten ook dat deze nieuwe versie het gebruik voor persistentie van het kapen van een COM-object, de methode die de malware zijn gebruikelijke naam gaf, heeft opgegeven. onderzoekers merken op.
Nu ComRAT v4 eerder dit jaar nog in gebruik was, is het duidelijk dat Turla een aanzienlijke bedreiging blijft voor diplomaten en militairen, concludeert ESET.
Bron: Eset, Cybersguards, Welivesecurity, Zephyrnet / Plato