Новая версия ComRAT атакует МИДы

Новая версия ComRAT атакует МИДы

Группировка Turla использует версию ComRAT v4 для атак на МИДы в Восточной Европе и парламента одной из стран на Кавказе.

Специалисты компании ESET обнаружили новую, более совершенную версию бэкдора ComRAT – одного из самых старых бэкдоров в арсенале APT-группы Turla, использующего web-интерфейс Gmail для тайного получения команд и похищения данных.

Версия ComRAT v4 была впервые обнаружена в 2017 году, и в январе 2020 года по-прежнему использовался. Исследователи ESET зафиксировали как минимум три жертвы бэкдора – два министерства иностранных дел в Восточной Европе и парламент одной из стран Кавказского региона.

Группировка Turla, также известная как Snake, активна уже более десяти лет. Чаще всего группировка использует целенаправленный фишинг и атаки watering hole, а ее жертвами, как правило, являются посольства и военные организации.

С 2007 года Turla использовала платформу Agent.BTZ, которая со временем эволюционировала в ComRAT. Ранние версии Agent.BTZ в 2008 году использовались в атаках на военные сети США на Среднем Востоке.

Последняя версия ComRAT v4 (в терминологии разработчиков Chinch) использует совершенно новую кодовую базу. Как правило, ComRAT устанавливается на компьютеры жертв с помощью легковесного PowerShell-бэкдора PowerStallion. Вдобавок PowerStallion внедряет в браузер модуль ComRAT orchestrator для получения команд от C&C-сервера и передачи данных киберпреступникам.

Главным предназначением ComRAT является обнаружение, похищение и передача конфиденциальных документов. В одном из случаев операторы вредоноса даже использовали исполняемый файл .NET для взаимодействия с серверами MS SQL жертв, где хранятся их конфиденциальные документы.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!