Nova verzija malvera ComRAT koristi Gmail da bi dobila instrukcije i izvukla podatke sa zaraženog uređaja

Vesti, 27.05.2020, 10:00 AM

Nova verzija malvera ComRAT koristi Gmail da bi dobila instrukcije i izvukla podatke sa zaraženog uređaja

Istraživači kompanije ESET otkrili su nove napade iza kojih stoji Turla, jedna od najnaprednijih ruskih hakerskih grupa koje finansira ruska država.

Novi napadi dogodili su se u januaru 2020. ESET-ovi istraživači kažu da su napadi bili usmereni na nacionalni parlament na Kavkazu i dva ministarstva spoljnih poslova u Istočnoj Evropi. Ciljevi nisu otkriveni iz bezbednosnih razloga.

Ove institucije su poslednje na dugom spisku žrtava ove grupe, od kojih su većina diplomatski i vojni entiteti. Spisak ciljeva ove grupe počinje Pentagonom koji je napadnut sredinom 2000-ih, da bi se nastavio ciljevima u Evropi, Bliskom Istoku, Aziji i Africi.

Međutim, napadi iz januara 2020. godine ističu se zbog primene ažurirane verzije zlonamernog softvera ComRAT za koji ESET kaže da sadrži neke nove pametne funkcije.

ComRAT malver, takođe poznat kao Agent.BTZ, jedno je od najstarijih oružja Turle i ono koje je grupa koristila za izvlačenje podataka iz Pentagonove mreže 2008. godine.

Alat je tokom godina dobio nekoliko ažuriranja, a nove verzije otkrivene su 2014. i 2017. godine.

Najnovija verzija, poznata kao ComRAT v4, prvi put je viđena 2017. godine. Međutim, u izveštaju objavljenom ove nedelje, ESET kaže da su primetili varijantu ComRAT v4 koja uključuje dve nove funkcije, kao što su sposobnost da se izvuku logovi antivirusa i mogućnost kontrole malvera preko Gmaila.

Prva od novih funkcija je sposobnost malvera da prikuplja antivirusne logove sa zaraženog računara i šalje ih na jedan od svojih komandnih i kontrolnih servera. Motivi hakerske grupe su nejasni, ali iz ESET-a kažu da grupa možda prikuplja antivirusne logove kako bi im oni omogućili da saznaju da li je i koji od uzoraka njihovog malvera otkriven. Ako grupa primeti detekciju, ona može promeniti malver i izbeći buduće detekcije na drugim sistemima, gde mogu delovati neotkriveni. Istraživači kažu da krađa logova nije neuobičajena, ali da otežava otkrivanje malvera.

Ali ovo nije jedina veća promena u poslednjoj verziji ComRAT-a. Istraživači kažu da malver sada uključuje ne jedan, već dva mehanizma za komandu i kontrolu.

Prvi je klasična metoda kontaktiranja udaljenog servera putem HTTP-a i dobijanje instrukcija o tome šta malver treba da uradi na zaraženim računarima.

Druga, a ta je nova, je korišćenje Gmail interfejsa. Istraživači kažu da najnoviji ComRAT v4 preuzima jedan od pregledača žrtve, učitava unapred definisani kolačić, a zatim započinje sesiju na Gmail kontrolnoj tabli. Ovde malver čita nedavne poruke u pristigloj pošti, odakle preuzima priloge, a zatim čita instrukcije sadržane u fajlu.

Ideja je da kad god hakeri žele da izdaju nove naredbe ComRAT-u na zaraženim računarima, oni jednostavno pošalju email na Gmail adresu. Svi podaci prikupljeni nakon izvršavanja ovako dobijenih zadataka, šalju se nazad u Gmail inboks i preusmeravaju hakerima.

ESET kaže da i pored novih funkcija, Turla hakeri i dalje koriste ComRAT kao i ranije, kao malver druge faze napada koji dolazi na već zaražene računare. ComRAT se koristi za traženje određenih fajlova, a potom za njihovo izvlačenje i slanje obično na nalog na OneDrive ili 4shared.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

U Chrome Web prodavnici otkrivene opasne ekstenzije, ugroženo 1,7 miliona korisnika

U Chrome Web prodavnici otkrivene opasne ekstenzije, ugroženo 1,7 miliona korisnika

Istraživači iz Koi Security otkrili su dvanaest ekstenzija sa ukupno 1,7 miliona preuzimanja, koje mogu da prate aktivnost korisnika, kradu podatke ... Dalje

Hunters International: Kraj ransomware bande ili početak nove prevare?

Hunters International: Kraj ransomware bande ili početak nove prevare?

Ransomware grupa Hunters International tvrdi da je stavila tačku na svoje delovanje i da će svim svojim žrtvama ponuditi besplatni softver za deši... Dalje

Otkriveno na hiljade lažnih onlajn prodavnica - kupci ostali bez novca na računima

Otkriveno na hiljade lažnih onlajn prodavnica - kupci ostali bez novca na računima

Firma za sajber bezbednost Silent Push otkrila je na hiljade veb sajtova koji se lažno predstavljaju kao sajtovi velikih brendova kao što su Apple i... Dalje

40 lažnih ekstenzija za Firefox krade kriptovalute korisnika

40 lažnih ekstenzija za Firefox krade kriptovalute korisnika

Istraživači sajber bezbednosti iz kompanije Koi Security otkrili su više od 40 ekstenzija za Mozilla Firefox koje kradu privatne ključeve i seed f... Dalje

Budite oprezni: veštačka inteligencija ponekad izmišlja i može vas poslati na lažni veb sajt

Budite oprezni: veštačka inteligencija ponekad izmišlja i može vas poslati na lažni veb sajt

Bezbednosni istraživači otkrili su ozbiljan rizik u radu velikih jezičkih modela (LLM), poput popularnih AI asistenata. Naime, kada ih pitate jedno... Dalje