Nova verzija malvera ComRAT koristi Gmail da bi dobila instrukcije i izvukla podatke sa zaraženog uređaja

Vesti, 27.05.2020, 10:00 AM

Nova verzija malvera ComRAT koristi Gmail da bi dobila instrukcije i izvukla podatke sa zaraženog uređaja

Istraživači kompanije ESET otkrili su nove napade iza kojih stoji Turla, jedna od najnaprednijih ruskih hakerskih grupa koje finansira ruska država.

Novi napadi dogodili su se u januaru 2020. ESET-ovi istraživači kažu da su napadi bili usmereni na nacionalni parlament na Kavkazu i dva ministarstva spoljnih poslova u Istočnoj Evropi. Ciljevi nisu otkriveni iz bezbednosnih razloga.

Ove institucije su poslednje na dugom spisku žrtava ove grupe, od kojih su većina diplomatski i vojni entiteti. Spisak ciljeva ove grupe počinje Pentagonom koji je napadnut sredinom 2000-ih, da bi se nastavio ciljevima u Evropi, Bliskom Istoku, Aziji i Africi.

Međutim, napadi iz januara 2020. godine ističu se zbog primene ažurirane verzije zlonamernog softvera ComRAT za koji ESET kaže da sadrži neke nove pametne funkcije.

ComRAT malver, takođe poznat kao Agent.BTZ, jedno je od najstarijih oružja Turle i ono koje je grupa koristila za izvlačenje podataka iz Pentagonove mreže 2008. godine.

Alat je tokom godina dobio nekoliko ažuriranja, a nove verzije otkrivene su 2014. i 2017. godine.

Najnovija verzija, poznata kao ComRAT v4, prvi put je viđena 2017. godine. Međutim, u izveštaju objavljenom ove nedelje, ESET kaže da su primetili varijantu ComRAT v4 koja uključuje dve nove funkcije, kao što su sposobnost da se izvuku logovi antivirusa i mogućnost kontrole malvera preko Gmaila.

Prva od novih funkcija je sposobnost malvera da prikuplja antivirusne logove sa zaraženog računara i šalje ih na jedan od svojih komandnih i kontrolnih servera. Motivi hakerske grupe su nejasni, ali iz ESET-a kažu da grupa možda prikuplja antivirusne logove kako bi im oni omogućili da saznaju da li je i koji od uzoraka njihovog malvera otkriven. Ako grupa primeti detekciju, ona može promeniti malver i izbeći buduće detekcije na drugim sistemima, gde mogu delovati neotkriveni. Istraživači kažu da krađa logova nije neuobičajena, ali da otežava otkrivanje malvera.

Ali ovo nije jedina veća promena u poslednjoj verziji ComRAT-a. Istraživači kažu da malver sada uključuje ne jedan, već dva mehanizma za komandu i kontrolu.

Prvi je klasična metoda kontaktiranja udaljenog servera putem HTTP-a i dobijanje instrukcija o tome šta malver treba da uradi na zaraženim računarima.

Druga, a ta je nova, je korišćenje Gmail interfejsa. Istraživači kažu da najnoviji ComRAT v4 preuzima jedan od pregledača žrtve, učitava unapred definisani kolačić, a zatim započinje sesiju na Gmail kontrolnoj tabli. Ovde malver čita nedavne poruke u pristigloj pošti, odakle preuzima priloge, a zatim čita instrukcije sadržane u fajlu.

Ideja je da kad god hakeri žele da izdaju nove naredbe ComRAT-u na zaraženim računarima, oni jednostavno pošalju email na Gmail adresu. Svi podaci prikupljeni nakon izvršavanja ovako dobijenih zadataka, šalju se nazad u Gmail inboks i preusmeravaju hakerima.

ESET kaže da i pored novih funkcija, Turla hakeri i dalje koriste ComRAT kao i ranije, kao malver druge faze napada koji dolazi na već zaražene računare. ComRAT se koristi za traženje određenih fajlova, a potom za njihovo izvlačenje i slanje obično na nalog na OneDrive ili 4shared.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Izrael pokrenuo istragu protiv proizvođača špijunskog softvera Pegaz

Izrael pokrenuo istragu protiv proizvođača špijunskog softvera Pegaz

Izraelske vlasti pokrenule su istragu protiv proizvođača softvera za nadzor, izraelske kompanije NSO Grupa, zbog izveštaja koji je nedavno objavio ... Dalje

Ucenjeni ucenjivači: Napadnut forum ransomware bande, napadač traži 5000 dolara

Ucenjeni ucenjivači: Napadnut forum ransomware bande, napadač traži 5000 dolara

Rebrendiranje ransomware bande Babuk čini se ne ide baš najbolje. Izgleda da je ova kriminalna grupa i sama postala žrtva ucene. Poslednji poduhvat... Dalje

Bajden: Ozbiljni sajber napadi mogli bi dovesti do ''pravog oružanog rata''

Bajden: Ozbiljni sajber napadi mogli bi dovesti do ''pravog oružanog rata''

Američki predsednik Džo Bajden upozorio je da bi sajber napadi koji bi doveli do ozbiljnih posledica mogli eskalirati u „pravi oružani rat&ld... Dalje

Zbog hakerskih napada, Apple objavio hitna ažuriranja za Mac, iPhone i iPad uređaje

Zbog hakerskih napada, Apple objavio hitna ažuriranja za Mac, iPhone i iPad uređaje

Ako ste vlasnik iPhonea, iPada ili Maca, trebalo bi da odmah ažurirate sistem. Apple je objavio hitno bezbednosno ažuriranje za svoje uređaje, nako... Dalje

No More Ransom uštedeo milijardu evra milionima žrtava ransomwarea

No More Ransom uštedeo milijardu evra milionima žrtava ransomwarea

Projekat No More Ransom proslavio je petu godišnjicu više nego dobrim rezultatima. Od kada je pokrenut, šest miliona žrtava je zahvaljujući proje... Dalje