ESET: группировка киберпреступников Turla использует интерфейс Gmail для атак на пользователей

987

Компания ESET, международный эксперт в области информационной безопасности, обнаружила новую версию бэкдора ComRAT известной группы киберпреступников Turla, которая использует интерфейс Gmail для похищения данных.



ComRAT (другое название Agent.BTZ) стал известным благодаря взлому с его помощью систем вооруженных сил США в 2008 году. Впервые был замечен в 2007 году, продемонстрировав возможности компьютерного червя. ComRAT обновлялся неоднократно: в 2014 и 2017 гг, а последняя версия бэкдора впервые задетектирована в 2020 году. При этом она отличается более сложным функционалом, позволяющим избегать обнаружения.


Рис. 1 - Краткое описание архитектуры ComRAT

ComRAT может выполнять множество действий на скомпрометированных устройствах, к примеру, выполнение программ или эксфильтрация данных.

Опасность малвари также в том, что она имеет сразу два C&C-сервера: один использует HTTP-протокол, а второй — e-mail (веб-интерфейс Gmail).

Новая версия ComRAT способна установить контроль над одним из браузеров жертвы. После этого бэкдор может загрузить предопределенный файл cookie и обратиться к Gmail. В почтовом ящике вредонос читает последние письма в папке «Входящие», загружает вложения, читает инструкции, содержащиеся в этих файлах.


Рис. 2 - Обзор C&C c использованием электронной почты





Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

Предметная область
Отрасль
Управление (роль)
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.