Группировка Turla использует версию ComRAT v4 для атак на МИДы в Восточной Европе и парламента одной из стран на Кавказе.
https://www.securitylab.ru/upload/ib...9599aeb4da.png
Специалисты компании ESET https://www.welivesecurity.com/2020/...-year-journey/новую, более совершенную версию бэкдора ComRAT – одного из самых старых бэкдоров в арсенале APT-группы Turla, использующего web-интерфейс Gmail для тайного получения команд и похищения данных.
Версия ComRAT v4 была впервые обнаружена в 2017 году, и в январе 2020 года по-прежнему использовался. Исследователи ESET зафиксировали как минимум три жертвы бэкдора – два министерства иностранных дел в Восточной Европе и парламент одной из стран Кавказского региона.
Группировка Turla, также известная как Snake, активна уже более десяти лет. Чаще всего группировка использует целенаправленный фишинг и атаки watering hole, а ее жертвами, как правило, являются посольства и военные организации.
С 2007 года Turla использовала платформу Agent.BTZ, которая со временем эволюционировала в ComRAT. Ранние версии Agent.BTZ в 2008 году использовались в атаках на военные сети США на Среднем Востоке.
Последняя версия ComRAT v4 (в терминологии разработчиков Chinch) использует совершенно новую кодовую базу. Как правило, ComRAT устанавливается на компьютеры жертв с помощью легковесного PowerShell-бэкдора PowerStallion. Вдобавок PowerStallion внедряет в браузер модуль ComRAT orchestrator для получения команд от C&C-сервера и передачи данных киберпреступникам.
Главным предназначением ComRAT является обнаружение, похищение и передача конфиденциальных документов. В одном из случаев операторы вредоноса даже использовали исполняемый файл .NET для взаимодействия с серверами MS SQL жертв, где хранятся их конфиденциальные документы.