Компания ESET — лидер в области информационной безопасности — обнаружила новую версию бэкдора ComRAT известной группы киберпреступников Turla (также известная как Snake), которая активна уже больше десяти лет. Особенностью обновленного бэкдора является использование веб-интерфейса Gmail для получения команд и кражи данных.
Бэкдор позволяет похищать конфиденциальные документы, и с 2017 года он использовался для атак минимум на три правительственные учреждения. Специалисты ESET нашли признаки использования последней версии ComRAT в начале 2020 года, что подтверждает высокую активность группы Turla сегодня. Обновленный бэкдор использует совершенно новый код и имеет более сложный функционал, чем его предыдущие версии.
Как правило, ComRAT используется для похищения конфиденциальных данных. В некоторых случаях киберпреступники даже разворачивали исполняемый файл .NET для взаимодействия с центральной базой данных MS SQL Server жертвы, которая содержит документы организации. Операторы вредоносных программ использовали общедоступные облачные сервисы, такие как OneDrive и 4shared для кражи данных. Последняя версия бэкдора Turla может выполнять много других действий на зараженных компьютерах, например, загружать дополнительные программы.
«Высокий уровень сложности функционала вредоносного программного обеспечения группы киберпреступников позволяет избегать обнаружения программами по безопасности и длительное время оставаться на одних и тех же устройствах, — объясняет Матье Фау, исследователь компании ESET. — Кроме того, последняя версия бэкдора ComRAT способна обойти некоторые меры контроля безопасности с помощью использования веб-интерфейса Gmail, поскольку она не зависит от любого вредоносного домена».
«На основе данных исследований других образцов вредоносного программного обеспечения, обнаруженных на тех же зараженных устройствах, мы считаем, что ComRAT принадлежит группе злоумышленников Turla», — комментирует МатьеФау.
Стоит отметить, что бэкдор ComRAT, также известный под названием Agent.BTZ, стал известным после его использования для взлома систем вооруженных сил США в 2008 году. Первая версия вредоносного ПО, вероятно выпущена в 2007 году, продемонстрировала возможности компьютерного червя, распространяясь через сменные диски.
Более подробная информация о бэкдоре и идентификаторы компрометации доступна по ссылке.