恶意软件

从 Agent.BTZ 到 ComRAT v4 的十年发展历程

  • 浏览次数 42054
  • 喜欢 0
  • 评分 12345

ESET研究人员近期发现了由Turla组织ComRAT经营的恶意软件的更新版本。Turla,也被称为Snake,是一个臭名昭著的间谍组织,已经活跃了十多年,之前也介绍过许多该组织的活动

ComRAT,也称为Agent.BTZ,是一种用于远程访问特洛伊木马(RAT),该木马在2008年因违反美国军方使用规则声名狼藉。该恶意软件的第一版(约在2007年发布)通过传播可移动驱动器来展现蠕虫功能。从2007年到2012年,已经发布了RAT的两个主要版本。有趣的是,它们都使用了著名的Turla XOR密钥:

1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri3do5L6gs923HL34x2f5cvd0fk6c1a0s

2017年,Turla开发人员对ComRAT进行了一些更改,但这些变体仍然是从相同的代码库中派生出来的,相关研究报告请见https://www.welivesecurity.com/wp-content/uploads/2020/05/ESET_Turla_ComRAT.pdf。此外还发布了不同的ComRAT版本。这个新版本使用了全新的代码库,相比之前的版本会复杂很多。以下是该恶意软件的几个特征:

  • ComRAT v4于2017年首次亮相,直到2020年1月仍在使用。
  • 其至少确定了三个攻击目标:两个外交部和一个国民议会。
  • ComRAT用于窃取敏感文档,运营商使用OneDrive和4shared等云服务来窃取数据。
  • ComRAT是用C ++开发的复杂后门程序。
  • ComRAT使用FAT16格式化的虚拟FAT16文件系统。
  • 其使用现有的访问方法(例如PowerStalli on PowerShell后门)部署ComRAT。
  • ComRAT具有两个命令和控制通道:
    1.HTTP:它使用与ComRAT v3完全相同的协议;
    2.电子邮件:它使用Gmail网络界面接收命令并窃取数据。
  • ComRAT可以在受到感染的计算机上执行如泄露其他程序或文件的操作。

 

……

更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1222/

 

 

消息来源:welivesecurity, 译者:dengdeng。
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接