Nova verzija malvera ComRAT koristi Gmail da bi dobila instrukcije i izvukla podatke sa zaraženog uređaja

Vesti, 27.05.2020, 10:00 AM

Istraživači kompanije ESET otkrili su nove napade iza kojih stoji Turla, jedna od najnaprednijih ruskih hakerskih grupa koje finansira ruska država.

Novi napadi dogodili su se u januaru 2020. ESET-ovi istraživači kažu da su napadi bili usmereni na nacionalni parlament na Kavkazu i dva ministarstva spoljnih poslova u Istočnoj Evropi. Ciljevi nisu otkriveni iz bezbednosnih razloga.

Ove institucije su poslednje na dugom spisku žrtava ove grupe, od kojih su većina diplomatski i vojni entiteti. Spisak ciljeva ove grupe počinje Pentagonom koji je napadnut sredinom 2000-ih, da bi se nastavio ciljevima u Evropi, Bliskom Istoku, Aziji i Africi.

Međutim, napadi iz januara 2020. godine ističu se zbog primene ažurirane verzije zlonamernog softvera ComRAT za koji ESET kaže da sadrži neke nove pametne funkcije.

ComRAT malver, takođe poznat kao Agent.BTZ, jedno je od najstarijih oružja Turle i ono koje je grupa koristila za izvlačenje podataka iz Pentagonove mreže 2008. godine.

Alat je tokom godina dobio nekoliko ažuriranja, a nove verzije otkrivene su 2014. i 2017. godine.

Najnovija verzija, poznata kao ComRAT v4, prvi put je viđena 2017. godine. Međutim, u izveštaju objavljenom ove nedelje, ESET kaže da su primetili varijantu ComRAT v4 koja uključuje dve nove funkcije, kao što su sposobnost da se izvuku logovi antivirusa i mogućnost kontrole malvera preko Gmaila.

Prva od novih funkcija je sposobnost malvera da prikuplja antivirusne logove sa zaraženog računara i šalje ih na jedan od svojih komandnih i kontrolnih servera. Motivi hakerske grupe su nejasni, ali iz ESET-a kažu da grupa možda prikuplja antivirusne logove kako bi im oni omogućili da saznaju da li je i koji od uzoraka njihovog malvera otkriven. Ako grupa primeti detekciju, ona može promeniti malver i izbeći buduće detekcije na drugim sistemima, gde mogu delovati neotkriveni. Istraživači kažu da krađa logova nije neuobičajena, ali da otežava otkrivanje malvera.

Ali ovo nije jedina veća promena u poslednjoj verziji ComRAT-a. Istraživači kažu da malver sada uključuje ne jedan, već dva mehanizma za komandu i kontrolu.

Prvi je klasična metoda kontaktiranja udaljenog servera putem HTTP-a i dobijanje instrukcija o tome šta malver treba da uradi na zaraženim računarima.

Druga, a ta je nova, je korišćenje Gmail interfejsa. Istraživači kažu da najnoviji ComRAT v4 preuzima jedan od pregledača žrtve, učitava unapred definisani kolačić, a zatim započinje sesiju na Gmail kontrolnoj tabli. Ovde malver čita nedavne poruke u pristigloj pošti, odakle preuzima priloge, a zatim čita instrukcije sadržane u fajlu.

Ideja je da kad god hakeri žele da izdaju nove naredbe ComRAT-u na zaraženim računarima, oni jednostavno pošalju email na Gmail adresu. Svi podaci prikupljeni nakon izvršavanja ovako dobijenih zadataka, šalju se nazad u Gmail inboks i preusmeravaju hakerima.

ESET kaže da i pored novih funkcija, Turla hakeri i dalje koriste ComRAT kao i ranije, kao malver druge faze napada koji dolazi na već zaražene računare. ComRAT se koristi za traženje određenih fajlova, a potom za njihovo izvlačenje i slanje obično na nalog na OneDrive ili 4shared.