ESET: веб-інтерфейс Gmail використовується бекдором для отримання команд та крадіжки даних
ESET: веб-інтерфейс Gmail використовується бекдором для отримання команд та крадіжки даних
ESET виявив нову версію бекдору ComRAT відомої групи кіберзлочинців Turla (також відома як Snake), яка активна вже більше десяти років. Особливістю оновленого бекдора є використання веб-інтерфейсу Gmail для отримання команд і крадіжки даних.
Бекдор дозволяє викрадати конфіденційні документи, і з 2017 року він використовувався для атак мінімум на три урядові установи. Фахівці ESET виявили ознаки використання останньої версії ComRAT на початку 2020 року, що підтверджує високу активність групи Turla сьогодні. Оновлений бекдор використовує зовсім новий код і має складніший функціонал, ніж його попередні версії.
Як правило, ComRAT використовується для викрадення конфіденційних даних. У деяких випадках кіберзлочинці навіть розгортали виконуваний файл .NET для взаємодії з центральною базою даних MS SQL Server жертви, яка містить документи організації. Оператори шкідливих програм використовували загальнодоступні хмарні сервіси, такі як OneDrive і 4shared для крадіжки даних. Остання версія бекдору Turla може виконувати багато інших дій на заражених комп'ютерах, наприклад завантажувати додаткові програми.
«Високий рівень складності функціоналу шкідливого програмного забезпечення групи кіберзлочинців дозволяє уникати виявлення програмами з безпеки та тривалий час залишатися на тих самих пристроях, — пояснює дослідник компанії ESET. — Крім того, остання версія бекдору ComRAT здатна обійти деякі заходи контролю безпеки за допомогою використання веб-інтерфейсу Gmail, оскільки вона не залежить від будь-якого шкідливого домену».
«На основі даних досліджень інших зразків шкідливого програмного забезпечення, виявлених на тих самих заражених пристроях, ми вважаємо, що ComRAT належить групі зловмисників Turla», — коментує дослідник компанії ESET.
Слід зазначити, що бекдор ComRAT, також відомий під назвою Agent.BTZ, став відомим після його використання для злому систем збройних сил США у 2008 році. Перша версія шкідливого ПЗ, ймовірно випущена в 2007 році, продемонструвала можливості комп'ютерного черв'яка, поширюючись через змінні диски.
