27/05/20
Специалисты компании ESET обнаружили новую, более совершенную версию бэкдора ComRAT – одного из самых старых бэкдоров в арсенале APT-группы Turla, использующего web-интерфейс Gmail для тайного получения команд и похищения данных.
Версия ComRAT v4 была впервые обнаружена в 2017 году, и в январе 2020 года по-прежнему использовался. Исследователи ESET зафиксировали как минимум три жертвы бэкдора – два министерства иностранных дел в Восточной Европе и парламент одной из стран Кавказского региона.
Группировка Turla, также известная как Snake, активна уже более десяти лет. Чаще всего группировка использует целенаправленный фишинг и атаки watering hole, а ее жертвами, как правило, являются посольства и военные организации.
С 2007 года Turla использовала платформу Agent.BTZ, которая со временем эволюционировала в ComRAT. Ранние версии Agent.BTZ в 2008 году использовались в атаках на военные сети США на Среднем Востоке.
Последняя версия ComRAT v4 (в терминологии разработчиков Chinch) использует совершенно новую кодовую базу. Как правило, ComRAT устанавливается на компьютеры жертв с помощью легковесного PowerShell-бэкдора PowerStallion. Вдобавок PowerStallion внедряет в браузер модуль ComRAT orchestrator для получения команд от C&C-сервера и передачи данных киберпреступникам.
Главным предназначением ComRAT является обнаружение, похищение и передача конфиденциальных документов. В одном из случаев операторы вредоноса даже использовали исполняемый файл .NET для взаимодействия с серверами MS SQL жертв, где хранятся их конфиденциальные документы.
