Новая версия ComRAT атакует МИДы

Новая версия ComRAT атакует МИДы

Группировка Turla использует версию ComRAT v4 для атак на МИДы в Восточной Европе и парламента одной из стран на Кавказе.

Специалисты компании ESET обнаружили новую, более совершенную версию бэкдора ComRAT – одного из самых старых бэкдоров в арсенале APT-группы Turla, использующего web-интерфейс Gmail для тайного получения команд и похищения данных.

Версия ComRAT v4 была впервые обнаружена в 2017 году, и в январе 2020 года по-прежнему использовался. Исследователи ESET зафиксировали как минимум три жертвы бэкдора – два министерства иностранных дел в Восточной Европе и парламент одной из стран Кавказского региона.

Группировка Turla, также известная как Snake, активна уже более десяти лет. Чаще всего группировка использует целенаправленный фишинг и атаки watering hole, а ее жертвами, как правило, являются посольства и военные организации.

С 2007 года Turla использовала платформу Agent.BTZ, которая со временем эволюционировала в ComRAT. Ранние версии Agent.BTZ в 2008 году использовались в атаках на военные сети США на Среднем Востоке.

Последняя версия ComRAT v4 (в терминологии разработчиков Chinch) использует совершенно новую кодовую базу. Как правило, ComRAT устанавливается на компьютеры жертв с помощью легковесного PowerShell-бэкдора PowerStallion. Вдобавок PowerStallion внедряет в браузер модуль ComRAT orchestrator для получения команд от C&C-сервера и передачи данных киберпреступникам.

Главным предназначением ComRAT является обнаружение, похищение и передача конфиденциальных документов. В одном из случаев операторы вредоноса даже использовали исполняемый файл .NET для взаимодействия с серверами MS SQL жертв, где хранятся их конфиденциальные документы.


Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.