Sliedrecht, 26 mei 2020 – ESET-onderzoekers hebben een nieuwe versie ontdekt van één van de oudste malwarefamilies die door de Turla-groep wordt beheerd. Turla, ook wel bekend als Snake, is een beruchte cyberspionagegroep die al meer dan tien jaar actief is. De meest interessante functionaliteit van de geüpdatete backdoor, ComRAT genoemd, is diens gebruik van het Gmail-webgebruikersinterface om commando’s te ontvangen en data te exfiltreren. ComRAT steelt gevoelige documenten en heeft sinds 2017 minstens drie overheidsinstanties aangevallen. ESET heeft tekenen gevonden dat deze nieuwste versie van ComRAT begin 2020 nog in gebruik was – een indicatie dat de Turla-groep nog steeds actief is en immer een grote bedreiging voor diplomaten en militairen vormt.
ComRAT wordt voornamelijk ingezet voor het stelen van vertrouwelijke documenten. De malwarebeheerders hebben zelfs een keer een .NET-executable uitgerold om met de MS SQL-serverdatabase, waarin documenten van de organisatie zijn opgeslagen, van het slachtoffer te communiceren. De malwarebeheerders gebruikten publieke cloud-diensten als OneDrive en 4shared om data te exfiltreren. Turla’s nieuwste backdoor kan vele andere acties uitvoeren op gecompromitteerde computers, zoals het uitvoeren van aanvullende programma’s en bestanden exfiltreren.
Het is zorgwekkend dat de aanvallers securitysoftware proberen te ontwijken. “Dit laat zien hoe geavanceerd de groep is en dat ze van plan zijn een langere tijd op dezelfde machines te bivakkeren,” zegt Matthieu Faou, die de beruchte groep al jarenlang onderzoekt. “Daarbij is deze nieuwste versie van de ComRAT-malwarefamilie in staat een aantal securitycontroles te omzeilen omdat deze hij niet afhankelijk is van een kwaadaardig domein – dit dankzij zijn gebruik van het Gmail-webinterface,” legt Faou verder uit.
De backdoor-upgrade werd voor het eerst ontdekt in 2017 door ESET. De upgrade gebruikt een compleet nieuwe basis voor code die vele malen complexer is dan zijn voorgangers. De meest recente versie van de backdoor die ESET-onderzoekers hebben gezien, was in november 2019 samengesteld.
“Op basis van slachtofferschap en de andere gevonden malwaresamples om dezelfde gecompromitteerde machines, geloven we dat ComRAT alleen door Turla wordt gebruikt,” zegt Faou.
ComRAT, ook bekend als Agent.BTZ, is een kwaadaardige backdoor die berucht werd na een aanval op het Amerikaanse leger in 2008. De eerste versie van deze malware, waarschijnlijk in 2007 gepubliceerd, toonde worm-kwaliteiten door zich via verwijderbare apparaten te verspreiden.
Voor meer technische details en informatie over ComRAT en een volledige en uitgebreide lijst over Indicators of Compromise (IoC’s), kunt u de whitepaper From Agent.BZT to ComRAT v4: a ten year journey lezen.
Over ESET
Al 30 jaar lang ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten voor bedrijven en consumenten over de hele wereld. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf van de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Gesteund door R&D-centra over de hele wereld, is ESET het eerste IT-beveiligingsbedrijf dat 100 Virus Bulletin VB100-awards heeft verdiend, waarmee elke afzonderlijke “in-the-wild” malware zonder onderbreking werd geïdentificeerd sinds 2003. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook en Twitter.