بدافزار جدیدCOMRAT امکان استخراج داده از جیمیل

بدافزار جدید ComRat از Gmail برای دریافت دستورات و استخراج داده استفاده می کند

محققان فضای مجازی امروز نسخه جدید پیشرفته ای از ComRAT Backdoor را که یکی از اولین پشتی های شناخته شده

مورد استفاده گروه Turla APT است را کشف کردند.که از رابط وب Gmail برای پنهانی دریافت دستورات و استخراج

داده های حساس استفاده می کند.

شركت فضای مجازی ESET درگزارشی گفت: این بد افزار برای اولین بار در سال 2017 مشاهده شد.

هنوز هم در ژانویه 2020هنوز مورد استفاده قرار نگرفته است. ما حداقل سه هدف را شناسایی کردیم:

دو وزارت امور خارجه در اروپای شرقی و یک پارلمان ملیدر منطقه قفقاز.

تورلا که به مار نیز معروف است ، بیش از یک دهه با سابقه ای طولانی در مورد چاله های آبگرفتگی و مبارزات فیشینگ

نیزه علیهسفارتخانه ها و سازمان های نظامی دست کم از سال 2004 فعال بوده است.

سکوی جاسوسی این گروه به عنوان Agent.BTZ ، قبل از تکامل در ComRAT ، در سال 2007 ، علاوه بر به دست آوردن

قابلیت های اضافی برای دستیابی به پایداری و سرقت داده ها از یک شبکه محلی ، آغاز به کار کرد.

اکنون مشخص شده است که نسخه های اولیه Agent.BTZ مسئول آلوده شدن شبکه های نظامی آمریکا در خاورمیانهدر سال 2008 بوده است.

در سال های اخیر گفته می شود که تورلا پشت سر سازش نیروهای مسلح فرانسه در سال 2018و وزارت امور خارجه اتریش در اوایلکار امسال بوده است.

 

ComRatنسخه های جدیدتر بکدور ComRAT از زمان آژانس خاموش شده اند. مکانیسم عفونت USB-BTZ BTZ به نفع تزریق خود به هر فرآینددستگاه آلوده و اجرای بار اصلی آن در “explorer.exe” است.

ComRat V4 جدید چیست؟

به گزارش ComRat V4 ، ESET (یا “Chinch” توسط نویسندگان بدافزار) به عنوان جانشین جدید نامیده می شود ، از یک کدهای کاملاً جدید

استفاده می کند و به مراتب پیچیده تر از انواع اولیه خود است. این شرکت اعلام کرده است که اولین نمونه شناخته شده این بدافزار در

آوریل 2017 کشف شد.

ComRAT به طور معمول از طریق PowerStallion که توسط Turla برای نصب سایر درب های پشتی استفاده می شود.

علاوه بر این ، لودر PowerShell ماژول موسوم به ارکستر ComRAT را به مرورگر وب تزریق می کند.

که از دو کانال مختلف : میراث و حالت ایمیل – برای دریافت دستورات از یک سرور C2 و استخراج اطلاعات به اپراتورها استفاده می کند.

 

 

منبع : thehackernews

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.