بدافزار جدید ComRAT از پلتفرم Gmail برای دریافت دستورات و استخراج داده استفاده می کند

 

محققان نسخه جدید و پیشرفته ای  ComRAT backdoor، یکی از اولین backdoor شناخته شده مورد استفاده گروه Turla APT را شناسایی کردند، که از رابط وب Gmail برای دریافت دستورات و استخراج داده های حساس استفاده می کند.

شرکت امنیتی ESET در گزارشی که منتشر کرد، گفت: “ComRAT v4 برای اولین بار در سال ۲۰۱۷ شناسایی شد و تا ژانویه ۲۰۲۰ در حملات استفاده می شده است. ما حداقل سه هدف را که تحت تاثیر حملات این بدافزار بوده اند، را شناسایی کردیم که دو وزارت امور خارجه در اروپای شرقی و یک پارلمان ملی در منطقه قفقاز بوده. “

Turla که به Snake نیز معروف است، بیش از یک دهه و با سابقه طولانی از سال ۲۰۰۴ در موارد watering hole و spear-phishing campaigns علیه سفارتخانه ها و سازمان های نظامی فعالیت می کرده.

پلتفرم جاسوسی این گروه با عنوان  Agent.BTZ در سال ۲۰۰۷ قبل از به وجود آمدن ComRAT، با قابلیت دستیابی به پایداری و سرقت داده ها از یک شبکه، آغاز به کار کرد.

اکنون مشخص شده است که مسئول آلوده شدن شبکه های نظامی آمریکا در خاورمیانه در سال ۲۰۰۸ نسخه اولیه Agent.BTZ بوده است.

قابلیت های ComRAT v4 چیست؟

طبق گزارش ESET: ComRAT v4  به عنوان جانشین جدید نامیده می شود که در آن از کدهای کاملاً جدید استفاده شده و به مراتب پیچیده تر از انواع اولیه خود است. این شرکت اعلام کرده است که اولین نمونه شناخته شده این بدافزار در آوریل ۲۰۱۷ کشف شده است.

ComRAT به طور معمول از طریق PowerStallion ، یک backdoor نامحصوص در PowerShell که توسط Turla برای نصب سایر درب های پشتی مورد استفاده قرار می گیرد ، نصب می کند. به طوریکه این لودر PowerShell، ماژول ComRAT orchestrator را به مرورگر وب injects می کند، که موجب میشود دو کانال مختلف، یک حالت legacy و یک حالت ایمیل برای دریافت دستورات از یک سرور C2 و استخراج اطلاعات به اپراتورها استفاده شود.

محققان اضافه کردند: “اصلی ترین کاربرد ComRAT کشف، سرقت و به دست آوردن اسناد محرمانه است. در یکی از حملات مشخص شد که حتی فایل های .Net اجرایی که برای برقراری ارتباط با پایگاه داده MS SQL Server که حاوی اسناد محرمانه سازمان بوده، هم آلوده بوده و اطلاعات به سرقت می رفته.

  • Active Directory Pentesting Full Course – Red Team Hacking

Active Directory Pentesting Full Course – Red Team Hacking

Active Directory Pentesting Full Course – Red Team Hacking   اکثر شبکه های امروزی از سرویس اکتیو دایرکتوری برای مدیریت اکانتینگشبکه استفاده میکنند . در واقع سرویس AD برای مدیریت لاگین و دسترسی [...]