Nova verzija malvera ComRAT koristi Gmail da bi dobila instrukcije i izvukla podatke sa zaraženog uređaja

Vesti, 27.05.2020, 10:00 AM

Nova verzija malvera ComRAT koristi Gmail da bi dobila instrukcije i izvukla podatke sa zaraženog uređaja

Istraživači kompanije ESET otkrili su nove napade iza kojih stoji Turla, jedna od najnaprednijih ruskih hakerskih grupa koje finansira ruska država.

Novi napadi dogodili su se u januaru 2020. ESET-ovi istraživači kažu da su napadi bili usmereni na nacionalni parlament na Kavkazu i dva ministarstva spoljnih poslova u Istočnoj Evropi. Ciljevi nisu otkriveni iz bezbednosnih razloga.

Ove institucije su poslednje na dugom spisku žrtava ove grupe, od kojih su većina diplomatski i vojni entiteti. Spisak ciljeva ove grupe počinje Pentagonom koji je napadnut sredinom 2000-ih, da bi se nastavio ciljevima u Evropi, Bliskom Istoku, Aziji i Africi.

Međutim, napadi iz januara 2020. godine ističu se zbog primene ažurirane verzije zlonamernog softvera ComRAT za koji ESET kaže da sadrži neke nove pametne funkcije.

ComRAT malver, takođe poznat kao Agent.BTZ, jedno je od najstarijih oružja Turle i ono koje je grupa koristila za izvlačenje podataka iz Pentagonove mreže 2008. godine.

Alat je tokom godina dobio nekoliko ažuriranja, a nove verzije otkrivene su 2014. i 2017. godine.

Najnovija verzija, poznata kao ComRAT v4, prvi put je viđena 2017. godine. Međutim, u izveštaju objavljenom ove nedelje, ESET kaže da su primetili varijantu ComRAT v4 koja uključuje dve nove funkcije, kao što su sposobnost da se izvuku logovi antivirusa i mogućnost kontrole malvera preko Gmaila.

Prva od novih funkcija je sposobnost malvera da prikuplja antivirusne logove sa zaraženog računara i šalje ih na jedan od svojih komandnih i kontrolnih servera. Motivi hakerske grupe su nejasni, ali iz ESET-a kažu da grupa možda prikuplja antivirusne logove kako bi im oni omogućili da saznaju da li je i koji od uzoraka njihovog malvera otkriven. Ako grupa primeti detekciju, ona može promeniti malver i izbeći buduće detekcije na drugim sistemima, gde mogu delovati neotkriveni. Istraživači kažu da krađa logova nije neuobičajena, ali da otežava otkrivanje malvera.

Ali ovo nije jedina veća promena u poslednjoj verziji ComRAT-a. Istraživači kažu da malver sada uključuje ne jedan, već dva mehanizma za komandu i kontrolu.

Prvi je klasična metoda kontaktiranja udaljenog servera putem HTTP-a i dobijanje instrukcija o tome šta malver treba da uradi na zaraženim računarima.

Druga, a ta je nova, je korišćenje Gmail interfejsa. Istraživači kažu da najnoviji ComRAT v4 preuzima jedan od pregledača žrtve, učitava unapred definisani kolačić, a zatim započinje sesiju na Gmail kontrolnoj tabli. Ovde malver čita nedavne poruke u pristigloj pošti, odakle preuzima priloge, a zatim čita instrukcije sadržane u fajlu.

Ideja je da kad god hakeri žele da izdaju nove naredbe ComRAT-u na zaraženim računarima, oni jednostavno pošalju email na Gmail adresu. Svi podaci prikupljeni nakon izvršavanja ovako dobijenih zadataka, šalju se nazad u Gmail inboks i preusmeravaju hakerima.

ESET kaže da i pored novih funkcija, Turla hakeri i dalje koriste ComRAT kao i ranije, kao malver druge faze napada koji dolazi na već zaražene računare. ComRAT se koristi za traženje određenih fajlova, a potom za njihovo izvlačenje i slanje obično na nalog na OneDrive ili 4shared.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka je upozorila korisnike da su se na društvenim mrežama pojavili lažni profili koji koriste ime i logo Mobi Banke i pozivaju korisnike da,... Dalje

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Ranije ovog meseca, Google je počeo da uvodi novu funkciju pod nazivom Google Search Generative Experience (SGE) u rezultate pretrage, koja pruža br... Dalje

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Stručnjaci kompanije Kaspersky upozorili su na alarmantan trend pojave fišing stranica koje se predstavljaju kao sajtovi legitimnih prodavaca koji n... Dalje

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Kancelarija za kontrolu strane imovine američkog Ministarstva finansija (OFAC) sankcionisala je tri berze kriptovaluta zbog nuđenja usluga koje se k... Dalje

Nemačke političke partije upozorene na napade hakera ruske obaveštajne službe

Nemačke političke partije upozorene na napade hakera ruske obaveštajne službe

Nemačka, koja je pružila značajnu vojnu podršku Ukrajini, od početka rata suočava se sa hakerskim napadima i pokušajima špijunaže iz Rusije. ... Dalje