• Votre panier est vide.

  • LOGIN

Le nouveau logiciel malveillant ComRAT utilise Gmail pour recevoir des commandes et exfiltrer les données


Certains articles de veille peuvent faire l'objet de traduction automatique.


Les chercheurs en cybersécurité ont découvert aujourd’hui une nouvelle version avancée de la porte dérobée ComRAT, l’une des premières portes dérobées connues utilisées par le groupe Turla APT, qui exploite l’interface Web de Gmail pour recevoir secrètement des commandes et exfiltrer des données sensibles.

« ComRAT v4 a été vu pour la première fois en 2017 et on sait qu’il est toujours utilisé aussi récemment qu’en janvier 2020 », a déclaré la société de cybersécurité ESET dans un rapport partagé avec The Hacker News. « Nous avons identifié au moins trois cibles: deux ministères des Affaires étrangères en Europe de l’Est et un parlement national dans la région du Caucase. »

Turla, également connu sous le nom de Snake, est actif depuis plus d’une décennie avec une longue histoire de points d’eau et de campagnes de harponnage contre les ambassades et les organisations militaires au moins depuis 2004.

La plate-forme d’espionnage du groupe a commencé comme Agent.BTZ, en 2007, avant de devenir ComRAT, en plus d’acquérir des capacités supplémentaires pour atteindre la persistance et pour voler des données d’un réseau local.

On sait maintenant que les versions antérieures d’Agent.BTZ étaient responsables de l’infection Réseaux militaires américains au Moyen-Orient en 2008. Ces dernières années, Turla aurait été à l’origine du compromis de Forces armées françaises en 2018 et le Ministère autrichien des affaires étrangères au début de cette année.

Les nouvelles versions de la porte dérobée ComRAT ont depuis abandonné Agent. Le mécanisme d’infection par clé USB de BTZ en faveur de l’injection dans chaque processus de la machine infectée et exécutant sa charge utile principale dans «explorer.exe».

Quoi de neuf dans ComRAT v4?

Le ComRAT v4 (ou « Chinch » par les auteurs du malware), comme le nouveau successeur est appelé, utilise une base de code entièrement nouvelle et est beaucoup plus complexe que ses variantes précédentes, selon ESET. La société a déclaré que le premier échantillon connu du malware avait été détecté en avril 2017.

ComRAT est généralement installé via PowerStallion, une porte dérobée PowerShell légère utilisée par Turla pour installer d’autres portes dérobées. En outre, le chargeur PowerShell injecte un module appelé orchestrateur ComRAT dans le navigateur Web, qui utilise deux canaux différents – un mode hérité et un mode e-mail – pour recevoir les commandes d’un serveur C2 et exfiltrer les informations aux opérateurs.

« L’utilisation principale de ComRAT est la découverte, le vol et l’exfiltration de documents confidentiels », ont déclaré les chercheurs. «Dans un cas, ses opérateurs ont même déployé un exécutable .NET pour interagir avec la base de données centrale MS SQL Server de la victime contenant les documents de l’organisation.

De plus, tous les fichiers liés à ComRAT, à l’exception de la DLL d’orchestrateur et de la tâche planifiée pour la persistance, sont stockés dans un système de fichiers virtuel (VFS).

Le mode « mail » fonctionne en lisant l’adresse e-mail et les cookies d’authentification situés dans le VFS, en se connectant à la vue HTML de base de Gmail et en analysant la page HTML de la boîte de réception (en utilisant Analyseur HTML Gumbo) pour obtenir la liste des e-mails avec des lignes d’objet qui correspondent à celles d’un fichier « subject.str » dans le VFS.

Pour chaque e-mail répondant aux critères ci-dessus, le comRAT procède en téléchargeant les pièces jointes (par exemple «document.docx», «documents.xlsx»), et en supprimant les e-mails pour éviter de les traiter une seconde fois.

Malgré le format «.docx» et «.xlsx» dans les noms de fichiers, les pièces jointes ne sont pas des documents en elles-mêmes, mais plutôt des blobs de données chiffrées qui incluent une commande spécifique à exécuter: lire / écrire des fichiers, exécuter des processus supplémentaires et rassembler des journaux .

Dans la dernière étape, les résultats de l’exécution de la commande sont chiffrés et stockés dans une pièce jointe (avec la double extension « .jpg.bfe »), qui est ensuite envoyée sous forme de courrier électronique à une adresse cible spécifiée dans le « answer_addr.str » Fichier VFS.

Le mode « legacy », quant à lui, utilise l’infrastructure C2 déjà existante (ComRAT v3.x) pour émettre des commandes à distance, dont les résultats sont compressés et transmis à un service cloud tel que Microsoft OneDrive ou 4Shared.

Les données exfiltrées comprennent les détails de l’utilisateur et les fichiers journaux liés à la sécurité pour vérifier si leurs échantillons de logiciels malveillants ont été détectés lors d’une analyse des systèmes infectés.

Sur la base des modèles de distribution des e-mails Gmail sur une période d’un mois, ESET a déclaré que les opérateurs derrière la campagne travaillaient dans les fuseaux horaires UTC + 3 ou UTC + 4.

«La quatrième version de ComRAT est une famille de logiciels malveillants totalement remaniée, sortie en 2017», a déclaré Matthieu Faou, chercheur à ESET. «Ses fonctionnalités les plus intéressantes sont le système de fichiers virtuel au format FAT16 et la possibilité d’utiliser l’interface utilisateur Web de Gmail pour recevoir des commandes et exfiltrer des données. Ainsi, il est capable de contourner certains contrôles de sécurité car il ne repose sur aucun domaine malveillant. « 

Voir aussi :

décembre 8, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)