O malware ComRAT é uma ferramenta de gestão remota e que é usado pelo grupo Turla. Foi detetado pela primeira vez em novembro de 2014. Este grupo de hackers denominado Turla está ativo há mais de dez anos.
O malware ComRAT, também conhecido como Agent.BTZ, foi lançado em 2007. Torno-se popular depois de ter sido usado para violar as forças armadas dos EUA em 2008.
Uma nova variante do malware ComRAT foi observada em 2017 e está ativa desde janeiro de 2020. Três alvos foram identificados como scope dos operadores deste malware:
- two of them are ministries of Foreign Affairs; and
- a national parliament.
De uma forma geral, este malware exfiltra documentos confidenciais e também é utilizado para fazer a implantação de payloads adicionais. P.ex., foi observado num ataque o deploy de um binário .NET com o objetivo de exfiltrar detalhes de uma base de dados MSSQL.
The main use of the ComRAT malware is to steal confidential documents, in one such case researchers observed that “deployed a .NET executable to interact with the victim’s central MS SQL Server database containing the organization’s documents.”
Além disso, o malware também executa comandos no Active Directory de forma a mapear os utilizadores e políticas da AD, potencialmente para auxiliar o grupo na fase de escalonamento de privilégios na rede.
The most recently compiled ComRAT malware dated November 2019, according to the ESET telemetry, the malware was installed using an existing foothold such as compromised credentials or via another Turla backdoor.
Todos os arquivos associados ao ComRAT são armazenados num sistema de ficheiros virtual e o VFS é cifrado utilizando o algoritmo AES-256 no modo XTS.
São utilizados dois canais de comunicação pelo C2, nomeadamente:
- HTTP – The malware makes HTTP requests to its C&C server.
- Email – Uses the Gmail web interface to receive commands and exfiltrate data
Um dos detalhes interessantes desta nova variante é a utilização do Gmail como meio para receber e exfiltrar comandos do C2.
Detalhes adicionais sobre esta ameaça em: https://www.welivesecurity.com/2020/05/26/agentbtz-comratv4-ten-year-journey/
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.