第232期安全事件
2020/05/25-2020/05/31
| 英文标题 | Turla has updated its ComRAT backdoor and now uses the Gmail web interface for Command and Control |
| 中文标题 | 安全厂商披露 Turla 组织新版本的 ComRAT 后门 |
| 作者及单位 | Matthieu Faou |
| 内容概述 |
ESET 研究人员发现 Turla 组织新版本的 ComRAT 后门。ComRAT(也称为 Agent.BTZ),是 Turla 组织的最早使用的恶意软件家族之一,曾在 2008 年攻击美国军方。2007 年到 2012 年,该恶意软件发布了两个新版本。直到 2017 年中,攻击者对 ComRAT 进行了一些更改。最新版本 ComRAT v4 于 2017 年出现,直到 2020 年 1 月仍在使用。研究人员至少确定了其针对两个外交部和一个国民议会。ComRAT v4 是用 C ++ 开发的复杂后门程序,使用一个在 FAT16 中格式化的虚拟 FAT16 文件系统。ComRAT v4 使用现有的访问方法部署,例如 PowerStallion PowerShell 后门,使用 HTTP 和Gmail Web界面进行命令和控制。ComRAT v4可以在受到感染的计算机上执行许多操作,例如执行其它程序或窃取数据。攻击者使用 OneDrive 和 4shared 等公共云服务来接受数据。 |
| 新闻链接 |
https://www.welivesecurity.com/2020/05/26/agentbtz-comratv4-ten-year-journey/ |