Operadores do grupo Turla lançam nova release do ComRAT que usa a interface do Gmail como C2

Operadores do grupo Turla lançam nova release do ComRAT que usa a interface do Gmail como C2.

O malware ComRAT é uma ferramenta de gestão remota e que é usado pelo grupo Turla. Foi detetado pela primeira vez em novembro de 2014. Este grupo de hackers denominado Turla está ativo há mais de dez anos.

O malware ComRAT, também conhecido como Agent.BTZ, foi lançado em 2007. Torno-se popular depois de ter sido usado para violar as forças armadas dos EUA em 2008.

Uma nova variante do malware ComRAT foi observada em 2017 e está ativa desde janeiro de 2020. Três alvos foram identificados como scope dos operadores deste malware:

two of them are ministries of Foreign Affairs; and
a national parliament.

De uma forma geral, este malware exfiltra documentos confidenciais e também é utilizado para fazer a implantação de payloads adicionais. P.ex., foi observado num ataque o deploy de um binário .NET com o objetivo de exfiltrar detalhes de uma base de dados MSSQL.

The main use of the ComRAT malware is to steal confidential documents, in one such case researchers observed that “deployed a .NET executable to interact with the victim’s central MS SQL Server database containing the organization’s documents.”

Além disso, o malware também executa comandos no Active Directory de forma a mapear os utilizadores e políticas da AD, potencialmente para auxiliar o grupo na fase de escalonamento de privilégios na rede.

The most recently compiled ComRAT malware dated November 2019, according to the ESET telemetry, the malware was installed using an existing foothold such as compromised credentials or via another Turla backdoor.

Todos os arquivos associados ao ComRAT são armazenados num sistema de ficheiros virtual e o VFS é cifrado utilizando o algoritmo AES-256 no modo XTS.

São utilizados dois canais de comunicação pelo C2, nomeadamente: