Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Новая версия ComRAT атакует государственные службы в Восточной Европе

27/05/20

hack84-2Специалисты компании ESET обнаружили новую, более совершенную версию бэкдора ComRAT – одного из самых старых бэкдоров в арсенале APT-группы Turla, использующего web-интерфейс Gmail для тайного получения команд и похищения данных.

Версия ComRAT v4 была впервые обнаружена в 2017 году, и в январе 2020 года по-прежнему использовался. Исследователи ESET зафиксировали как минимум три жертвы бэкдора – два министерства иностранных дел в Восточной Европе и парламент одной из стран Кавказского региона.

Группировка Turla, также известная как Snake, активна уже более десяти лет. Чаще всего группировка использует целенаправленный фишинг и атаки watering hole, а ее жертвами, как правило, являются посольства и военные организации.

С 2007 года Turla использовала платформу Agent.BTZ, которая со временем эволюционировала в ComRAT. Ранние версии Agent.BTZ в 2008 году использовались в атаках на военные сети США на Среднем Востоке.

Последняя версия ComRAT v4 (в терминологии разработчиков Chinch) использует совершенно новую кодовую базу. Как правило, ComRAT устанавливается на компьютеры жертв с помощью легковесного PowerShell-бэкдора PowerStallion. Вдобавок PowerStallion внедряет в браузер модуль ComRAT orchestrator для получения команд от C&C-сервера и передачи данных киберпреступникам.

Главным предназначением ComRAT является обнаружение, похищение и передача конфиденциальных документов. В одном из случаев операторы вредоноса даже использовали исполняемый файл .NET для взаимодействия с серверами MS SQL жертв, где хранятся их конфиденциальные документы.

Темы:ЕвропаESETкибепрпреступленияКиберугрозы
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • Фиды для SOC. Осведомлен – значит вооружен
    Александр Пирожков, Руководитель группы по развитию бизнеса в СНГ и Грузии компании ESET
    Разведка в сфере ИБ – это подключение потоков данных об угрозах. Рано или поздно каждый современный SOC осваивает данный инструмент.

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...