ESET研究人员近期发现了由Turla组织ComRAT经营的恶意软件的更新版本。Turla,也被称为Snake,是一个臭名昭著的间谍组织,已经活跃了十多年,之前也介绍过许多该组织的活动。
ComRAT,也称为Agent.BTZ,是一种用于远程访问特洛伊木马(RAT),该木马在2008年因违反美国军方使用规则声名狼藉。该恶意软件的第一版(约在2007年发布)通过传播可移动驱动器来展现蠕虫功能。从2007年到2012年,已经发布了RAT的两个主要版本。有趣的是,它们都使用了著名的Turla XOR密钥:
1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri3do5L6gs923HL34x2f5cvd0fk6c1a0s
2017年,Turla开发人员对ComRAT进行了一些更改,但这些变体仍然是从相同的代码库中派生出来的,相关研究报告请见https://www.welivesecurity.com/wp-content/uploads/2020/05/ESET_Turla_ComRAT.pdf。此外还发布了不同的ComRAT版本。这个新版本使用了全新的代码库,相比之前的版本会复杂很多。以下是该恶意软件的几个特征:
- ComRAT v4于2017年首次亮相,直到2020年1月仍在使用。
- 其至少确定了三个攻击目标:两个外交部和一个国民议会。
- ComRAT用于窃取敏感文档,运营商使用OneDrive和4shared等云服务来窃取数据。
- ComRAT是用C ++开发的复杂后门程序。
- ComRAT使用FAT16格式化的虚拟FAT16文件系统。
- 其使用现有的访问方法(例如PowerStalli on PowerShell后门)部署ComRAT。
- ComRAT具有两个命令和控制通道:
1.HTTP:它使用与ComRAT v3完全相同的协议;
2.电子邮件:它使用Gmail网络界面接收命令并窃取数据。 - ComRAT可以在受到感染的计算机上执行如泄露其他程序或文件的操作。
……
更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1222/
消息来源:welivesecurity, 译者:dengdeng。
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册