skip to Main Content

Cyber Espionage: torna ComRAT, l’infezione che sfrutta Gmail

Cyber Espionage: Torna ComRAT, L’infezione Che Sfrutta Gmail

di Pierguido Iezzi

Gli esperti di cyber security hanno scoperto una nuova versione avanzata del malware ComRAT, una delle prime backdoor usate dall’APT Turla per le operazioni di cyber espionage

Gli esperti di Cyber Security hanno scoperto negli ultimi giorni una nuova versione avanzata del malware ComRAT. Questo è una delle prime backdoor conosciute e utilizzate dal gruppo del cybercrime Turla, che sfrutta l’interfaccia web di Gmail per ricevere comandi in modo nascosto ed estrarre dati sensibili. ComRAT v4 è stato visto per la prima volta nel 2017 ed è noto che è ancora in uso nel gennaio 2020, ha confermato il gruppo di ricerca di ESET. L’APT, noto anche come Snake, è attivo da oltre un decennio con una lunga storia di campagne di spionaggio e di Spear Phishing contro le ambasciate e le organizzazioni militari almeno a partire dal 2004. La piattaforma di cyber espionage del gruppo di criminal hacker è nata come Agent.BTZ, nel 2007, prima di evolversi in ComRAT, oltre ad acquisire ulteriori capacità per ottenere persistenza e rubare dati dalle reti in locale.

Turla ha abbandonato le infezioni malware con chiavetta USB, tipiche di Agent.BTZ, passando alla code injection con ComRAT

Le versioni precedenti di Agent.BTZ erano responsabili dell’infezione delle reti militari statunitensi in Medio Oriente nel 2008. Negli ultimi anni, si dice anche che Turla sia stato dietro l’attacco informatico contro le Forze Armate francesi nel 2018 e del ministero degli Esteri austriaco all’inizio del 2020. Le versioni più recenti di ComRAT backdoor hanno da allora abbandonato Il meccanismo di infezione via chiavetta USB di Agent.BTZ. Ciò a favore della code injection in ogni processo della macchina infetta e dell’esecuzione del suo payload in “explorer.exe”.

Cosa c’è di nuovo in Chinch v4?

Il ComRAT v4 o “Chinch”, come viene chiamato il malware, utilizza una base di codice completamente nuova ed è molto più complessa delle sue varianti precedenti, secondo gli esperti dio cyber security di ESET. L’azienda ha dichiarato che il primo campione noto del codice malevolo è stato rilevato nell’aprile del 2017. ComRAT è tipicamente installato tramite PowerStallion, una backdoor PowerShell usata da Turla per installare altre backdoor. Inoltre, il loader PowerShell inietta un modulo chiamato ComRAT orchestrator nel browser web, che utilizza due canali diversi – un legacy e una modalità email – per ricevere comandi da un server C2 ed estrarre le informazioni agli operatori.

Come funziona il codice malevolo dell’APT del cybercrime

L’uso principale di ComRAT è scoprire, rubare ed estrarre documenti riservati. In un caso, i suoi operatori hanno persino utilizzato un eseguibile .NET per interagire con il database centrale MS SQL Server della vittima contenente i documenti dell’organizzazione. Inoltre, tutti i file relativi al malware, ad eccezione dell’orchestratore DLL e del task programmato per la persistenza, sono memorizzati in un file system virtuale (VFS). La modalità “mail” funziona leggendo l’indirizzo email e i cookie di autenticazione che si trovano nel VFS, collegandosi alla modalità HTML di base di Gmail e analizzando la pagina HTML della posta in arrivo  per ottenere la lista delle email con oggetto che corrispondono a quelle di un file “subject.str” nel VFS. Per ogni email che soddisfa i criteri di cui sopra, il comRAT procede scaricando gli allegati (ad es. “document.docx”, “documents.xlsx”) e cancellando le email per evitare di elaborarle una seconda volta. 

ComRAT si auto-protegge, analizzando i log della vittima per vedere se è stato rilevato

Nonostante il formato “.docx” e “.xlsx” nei nomi dei file, gli allegati non sono documenti in sé, ma piuttosto blocchi di dati criptati che includono un comando specifico da eseguire: lettura/scrittura dei file, esecuzione di processi aggiuntivi e raccolta di log. Nella fase finale, i risultati dell’esecuzione del comando vengono crittografati e memorizzati in un allegato (con la doppia estensione “.jpg.bfe”), che viene poi inviato come email a un indirizzo di destinazione specificato in “answer_addr.str”. File VFS. I dati esfiltrati comprendono i dettagli dell’utente e i file di log relativi alla sicurezza per verificare se i loro campioni di malware sono stati rilevati durante una scansione dei sistemi infetti. L’ultima versione di ComRAT, peraltro, è in grado di bypassare alcuni controlli di sicurezza perché non si basa su alcun dominio dannoso.

Back To Top