ESET 公司发现了俄罗斯最高阶的国家黑客组织 Turla 执行的新型攻击。这些攻击发生在2020年1月份。研究人员表示攻击针对的是三个高级别实体,如高加索的国民议会和两个东欧国家的外交部。出于国家安全原因,ESET 公司并未给出这些实体的具体名称。
这些入侵活动又使该组织的受害者增多。多数受害者是外交实体和军队实体。最早的受害者五角大楼早在21世纪中期就遭攻击,其它受害者位于欧洲、中东、亚洲和非洲地区。
2020年1月份的这次攻击因攻击者部署 ComRAT 恶意软件的更新版本而引人注意。ESET 公司表示该版本中包含一些非常狡猾的新功能。
窃取反病毒日志
ComRAT 恶意软件又被称为 Agentbtz,是 Turla 组织最古老的武器之一,曾在2008年被用于窃取五角大楼网络数据。
多年来该公司几次更新,新版本分别出现于2014年和2017年。最新版本 ComRAT v4 首次现身于2017年,然而 ESET 公司表示发现了包含两种新功能的 ComRAT v4 变体,如提取反病毒日志的能力和使用 Gmail 收件箱控制该恶意软件的能力。
它的第一个新功能是从受感染主机中收集反病毒日志并将其上传到其中一个命令和控制服务器中。
虽然黑客组织的确切动机总是让人捉摸不透,但分析该恶意软件的ESET 研究员 Matthieu Faou 指出,Turla 的操纵人员可能正在收集反病毒日志,“从而更好地了解被检测到的是恶意软件的哪个样本。”研究人员认为如果 Turla 的操纵人员发现被检测到的样本,就会修改恶意软件并采取应对措施避免未来被在其它系统上检测到。
Faou 指出,恶意软件窃取日志的行为较常见,但事件相应人员通常难以检测到这种行为。Faou 表示,“通常难以判断攻击者提取的是哪些文件。但对于相对高阶的黑客组织而言,试图了解自己是否被检测到或者是否留下线索的行为并不少见。”
使用 Gmail 作为 C&C 服务器
但这并非最新的 ComRAT 恶意软件版本发生的唯一变化。Faou 表示该恶意软件现在并非包含一个而是两个命令和控制机制。
第一个是典型的通过 HTTP 联系远程服务器并接受在受感染主机上执行的指令。第二个是使用 Gmail 的web 接口。Faou 表示最新的 ComRAT v4 接管了受害者的其中一个浏览器,加载了预定义的 cookie 文件,然后启动了与 Gmail web 仪表板的会话。
恶意软件读取收件箱中的最新邮件,从中下载文件附件,之后读取文件中包含的指令。
这么做的思路是,每当 Turla 操纵人员想要向在受感染主机上运行的 ComRAT 实例发送新命令时,黑客仅需要向 Gmail 地址发送邮件即可。按照这种方式执行指令收集的数据被发送回 Gmail 收件箱并被重定向至 Turla 操纵人员。
ESET 公司表示,尽管新增了这些新功能,Turla 的操纵人员还是像以前一样使用 ComRAT,将其主要当作易受感染主机的第二阶段的 payload。文中所述 ComRAT 用户查找文件系统中的具体文件,之后将数据提取到一个远程点,通常是 OneDrive 或4shared 上的一个云文件共享账户。
两周前,卡巴斯基实验室也发布了关于更早版本的 Turla 恶意软件更新的报告。研究人员表示他们发现了 COMpfun 恶意软件的新版本,Turla 操纵人员可通过依赖于 HTTP 状态代码的史无前例的全新系统进行控制。
原文链接
https://www.zdnet.com/article/turla-hacker-group-steals-antivirus-logs-to-see-if-its-malware-was-detected/
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
