Nova verzija malvera ComRAT koristi Gmail da bi dobila instrukcije i izvukla podatke sa zaraženog uređaja

Vesti, 27.05.2020, 10:00 AM

Nova verzija malvera ComRAT koristi Gmail da bi dobila instrukcije i izvukla podatke sa zaraženog uređaja

Istraživači kompanije ESET otkrili su nove napade iza kojih stoji Turla, jedna od najnaprednijih ruskih hakerskih grupa koje finansira ruska država.

Novi napadi dogodili su se u januaru 2020. ESET-ovi istraživači kažu da su napadi bili usmereni na nacionalni parlament na Kavkazu i dva ministarstva spoljnih poslova u Istočnoj Evropi. Ciljevi nisu otkriveni iz bezbednosnih razloga.

Ove institucije su poslednje na dugom spisku žrtava ove grupe, od kojih su većina diplomatski i vojni entiteti. Spisak ciljeva ove grupe počinje Pentagonom koji je napadnut sredinom 2000-ih, da bi se nastavio ciljevima u Evropi, Bliskom Istoku, Aziji i Africi.

Međutim, napadi iz januara 2020. godine ističu se zbog primene ažurirane verzije zlonamernog softvera ComRAT za koji ESET kaže da sadrži neke nove pametne funkcije.

ComRAT malver, takođe poznat kao Agent.BTZ, jedno je od najstarijih oružja Turle i ono koje je grupa koristila za izvlačenje podataka iz Pentagonove mreže 2008. godine.

Alat je tokom godina dobio nekoliko ažuriranja, a nove verzije otkrivene su 2014. i 2017. godine.

Najnovija verzija, poznata kao ComRAT v4, prvi put je viđena 2017. godine. Međutim, u izveštaju objavljenom ove nedelje, ESET kaže da su primetili varijantu ComRAT v4 koja uključuje dve nove funkcije, kao što su sposobnost da se izvuku logovi antivirusa i mogućnost kontrole malvera preko Gmaila.

Prva od novih funkcija je sposobnost malvera da prikuplja antivirusne logove sa zaraženog računara i šalje ih na jedan od svojih komandnih i kontrolnih servera. Motivi hakerske grupe su nejasni, ali iz ESET-a kažu da grupa možda prikuplja antivirusne logove kako bi im oni omogućili da saznaju da li je i koji od uzoraka njihovog malvera otkriven. Ako grupa primeti detekciju, ona može promeniti malver i izbeći buduće detekcije na drugim sistemima, gde mogu delovati neotkriveni. Istraživači kažu da krađa logova nije neuobičajena, ali da otežava otkrivanje malvera.

Ali ovo nije jedina veća promena u poslednjoj verziji ComRAT-a. Istraživači kažu da malver sada uključuje ne jedan, već dva mehanizma za komandu i kontrolu.

Prvi je klasična metoda kontaktiranja udaljenog servera putem HTTP-a i dobijanje instrukcija o tome šta malver treba da uradi na zaraženim računarima.

Druga, a ta je nova, je korišćenje Gmail interfejsa. Istraživači kažu da najnoviji ComRAT v4 preuzima jedan od pregledača žrtve, učitava unapred definisani kolačić, a zatim započinje sesiju na Gmail kontrolnoj tabli. Ovde malver čita nedavne poruke u pristigloj pošti, odakle preuzima priloge, a zatim čita instrukcije sadržane u fajlu.

Ideja je da kad god hakeri žele da izdaju nove naredbe ComRAT-u na zaraženim računarima, oni jednostavno pošalju email na Gmail adresu. Svi podaci prikupljeni nakon izvršavanja ovako dobijenih zadataka, šalju se nazad u Gmail inboks i preusmeravaju hakerima.

ESET kaže da i pored novih funkcija, Turla hakeri i dalje koriste ComRAT kao i ranije, kao malver druge faze napada koji dolazi na već zaražene računare. ComRAT se koristi za traženje određenih fajlova, a potom za njihovo izvlačenje i slanje obično na nalog na OneDrive ili 4shared.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Zoom obećao da će krajem godine objaviti svoj prvi izveštaj o transparentnosti

Zoom obećao da će krajem godine objaviti svoj prvi izveštaj o transparentnosti

Zoom je obećao da će krajem godine objaviti svoj prvi izveštaj o transparentnosti. Ovo je objavljeno na blogu izvršnog direktora Zooma Erika Juana... Dalje

Zašto je lozinka ''123456'' vrlo loša ideja

Zašto je lozinka ''123456'' vrlo loša ideja

U jednoj od najvećih studija o upotrebi lozinki, analizom više od milijardu procurelih korisničkih podataka otkriveno je da je jedna od svake 142 ... Dalje

Zbog prikupljanja podataka korisnika, Indija zabranila 59 kineskih aplikacija, među kojima i TikTok i UC Browser

Zbog prikupljanja podataka korisnika, Indija zabranila 59 kineskih aplikacija, među kojima i TikTok i UC Browser

Indijska vlada zabranila je juče 59 kineskih mobilnih aplikacija zbog nacionalne bezbednosti. Zabrana dolazi nakon sukoba indijske vojske sa kineskim... Dalje

Kako je Telegram pobedio rusku vlast koja ga je zabranila

Kako je Telegram pobedio rusku vlast koja ga je zabranila

Pre dve godine, vlasnik Telegrama Pavel Durov odbio je da dozvoli ruskim bezbednosnim službama pristup šifrovanim porukama korisnika u svojoj popula... Dalje

Google će automatski brisati podatke koje prikuplja o novim korisnicima, a evo šta će biti sa podacima postojećih korisnika

Google će automatski brisati podatke koje prikuplja o novim korisnicima, a evo šta će biti sa podacima postojećih korisnika

Google menja svoja podrazumevana podešavanja tako da će ubuduće neki podaci koje prikuplja o korisnicima biti automatski brisani, umesto da korisni... Dalje