网络安全研究人员今天发现了一种新的先进版本的ComRAT后门,这是Turla APT小组使用的最早的后门之一,它利用Gmail的Web界面秘密地接收命令并泄露敏感数据。
网络安全公司ESET在与The Hacker News分享的一份报告中说:“ ComRAT v4于2017年首次出现,已知直到2020年1月仍在使用。” “我们至少确定了三个目标:东欧的两个外交部和高加索地区的一个国民议会。”
Turla也被称为Snake,自2004年以来,它就活跃于水坑和针对大使馆和军事组织的鱼叉式钓鱼活动已有十多年的历史了。
该组织的间谍平台于2007年以Agent.BTZ的形式开始,后来发展为ComRAT,此外还获得了实现持久性和从本地网络窃取数据的附加功能。
此后,ComRAT后门的新版本放弃了Agent。BTZ的USB记忆棒感染机制支持将自身注入到受感染机器的每个进程中,并在“ explorer.exe”中执行其主要有效负载。
ComRAT v4的新增功能?
根据ESET的说法,ComRAT v4(或称为恶意软件作者的“ Chinch”)使用了全新的代码库,并且比其早期版本复杂得多。该公司表示,该恶意软件的第一个已知样本是在2017年4月检测到的
。ComRAT通常是通过PowerStallion安装的,后者是Turla使用的轻量级PowerShell后门,用于安装其他后门。此外,PowerShell加载程序将名为ComRAT Orchestrator的模块注入Web浏览器,该模块采用两种不同的通道(旧版和电子邮件模式)从C2服务器接收命令并将信息泄露给操作员。
研究人员说:“ ComRAT的主要用途是发现,窃取和泄露机密文件。” “在一种情况下,其运营商甚至部署了.NET可执行文件来与受害者的包含组织文档的中央MS SQL Server数据库进行交互。”
此外,与ComRAT相关的所有文件(协调器DLL和计划的持久性任务除外)都存储在虚拟文件系统(VFS)中。
通过查看VFS中的电子邮件地址和身份验证Cookie,连接到Gmail的基本HTML视图以及解析收件箱HTML页面(使用Gumbo HTML解析器)来获取包含主题行的电子邮件列表,“邮件”模式可以正常工作与VFS中“ subject.str”文件中的内容匹配的文件。
对于满足上述条件的每封电子邮件,comRAT都会通过下载附件(例如“ document.docx”,“ documents.xlsx”)并删除电子邮件以避免再次处理来继续进行。
尽管文件名中使用“ .docx”和“ .xlsx”格式,但附件本身并不是文档,而是加密的数据块,其中包括要执行的特定命令:读取/写入文件,执行其他过程以及收集日志。
在最后阶段,命令执行的结果被加密并存储在附件中(扩展名为“ .jpg.bfe”),然后将其作为电子邮件发送到“ answer_addr.str”中指定的目标地址VFS文件。
另一方面,“旧版”模式利用已经存在的C2基础结构(ComRAT v3.x)发出远程命令,其结果被压缩并传输到诸如Microsoft OneDrive或4Shared的云服务。
抽取的数据包括用户详细信息和与安全相关的日志文件,以检查在扫描受感染系统期间是否检测到其恶意软件样本。
根据一个月内的Gmail电子邮件分发模式,ESET表示,该广告系列的运营商正在UTC + 3或UTC + 4时区工作。
ESET研究人员Matthieu Faou表示:“ ComRAT的第四版是在2017年发布的经过全面改进的恶意软件系列。” “它最有趣的功能是FAT16格式的虚拟文件系统,并具有使用Gmail Web UI接收命令和泄露数据的功能。因此,它不依赖任何恶意域,因此能够绕过某些安全控件。 ”
*编译:Domino
*来自:thehackernews