El malware ComRAT es una herramienta de administración remota y es utilizada por el grupo de hackers Turla. Fue descubierto por primera vez en noviembre de 2014. El grupo de hackers Trula está activo durante más de diez años.
El malware ComRAT también conocido como Agent.BTZ, la primera versión del mismo se lanzó en 2007. Se vuelve infame después de que se usó para violar el Ejército estadounidense en 2008.
Los operadores de Turla conocidos por mantener un gran arsenal de malware incluyen un rootkit, varias puertas traseras complejas dirigidas a diferentes plataformas, incluidos los servidores de correo de Microsoft Exchange, y una amplia gama de herramientas para permitir pivotar en una red.
Malware ComRAT
Una nueva variante de ComRAT el malware encontrado por investigadores en 2017 y está activo tan recientemente como enero de 2020. Se identificaron tres objetivos; dos de ellos son ministerios de Asuntos Exteriores y un parlamento nacional.
El uso principal del malware ComRAT es robar documentos confidenciales, en uno de esos casos los investigadores observaron que "desplegó un ejecutable .NET para interactuar con la base de datos MS SQL Server central de la víctima que contiene los documentos de la organización".
Además del robo de documentos, el grupo de hackers ejecuta varios comandos para recopilar información sobre servicios como "grupos o usuarios de Active Directory, la red o configuraciones de Microsoft Windows como las políticas de grupo".
El malware ComRAT compilado más recientemente con fecha de noviembre de 2019, de acuerdo con la telemetría de ESET, el malware se instaló utilizando un punto de apoyo existente, como credenciales comprometidas o a través de otra puerta trasera de Turla.
Todos los archivos asociados con ComRAT se almacenan en un sistema de archivos virtual y el VFS se cifra utilizando AES-256 en modo XTS.
Dos canales de comando y control
- HTTP: el malware realiza solicitudes HTTP a su servidor C&C.
- Correo electrónico: utiliza la interfaz web de Gmail para recibir comandos y extraer datos
La característica más interesante de la nueva versión del malware utiliza la interfaz de usuario web de Gmail para recibir comandos y filtrar datos.
Para que los atacantes puedan omitir algunas soluciones de seguridad, ya que la comunicación no proviene de los dominios maliciosos. Eset publicó un un reporte detallado Indicadores de compromiso.
Puedes seguirnos en LinkedIn, Twitter, Facebook para actualizaciones diarias de noticias sobre piratería informática y ciberseguridad.
