Grupo russo Turla desenvolveu variação do ComRAT v4 que é capaz de filtrar logs de antivírus e controlar o malware usando o Gmail

Hacker-170.jpg

Pesquisadores de segurança da ESET descobriram novos ataques realizados pelo Turla, um dos mais avançados grupos de hackers patrocinados pelo governo da Rússia. Os novos ataques ocorreram em janeiro e atingiram três entidades de alto nível, como um parlamento no Cáucaso e dois ministérios das Relações Exteriores na Europa Oriental, diz a empresa.

Essas invasões representam as mais recentes vítimas de uma longa lista, a maioria das quais inclui entidades diplomáticas e militares. Essa lista começou em meados dos anos 2000 com a invasão aos sistemas do Pentágono e continuou ao longo dos anos na Europa, Oriente Médio, Ásia e África.

Os ataques ocorridos em janeiro, no entanto, se destacaram devido à implantação de uma versão atualizada do malware ComRAT, que, segundo a ESET, continha alguns novos recursos bastante inteligentes.

A versão mais recente, conhecida como ComRAT v4, foi vista pela primeira vez em 2017, no entanto, no relatório publicado nesta quarta-feira, 27, a ESET diz que detectou uma variação do ComRAT v4 que inclui dois novos recursos, como a capacidade de filtrar logs de antivírus e o capacidade de controlar o malware usando uma caixa de entrada do Gmail.

O primeiro desses recursos é a capacidade do malware de coletar logs de antivírus de um host infectado e carregá-lo em um de seus servidores de comando e controle (C&C). O uso do Gmail para fins de comando e controle se encaixa perfeitamente com outras explorações do grupo Turla (também rastreado como Waterbug, Snake ou VENOMOUS BEAR), visto que são conhecidos por usar métodos não ortodoxos para alcançar seus objetivos de espionagem cibernética.

No passado, eles desenvolveram trojans de backdoor com suas próprias APIs projetadas para reverter os fluxos de comunicação, usaram comentários nas fotos do Instagram de Britney Spears para controlar malware, enviaram anexos de e-mail em PDF com comandos para controlar os servidores infectados com o backdoor do Outlook e sequestraram a infraestrutura e malware do OilRig patrocinado pelo Irã para usar em suas próprias campanhas.

Fonte: CISO Advisor