Група кіберзлочинців Turla використовує веб-інтерфейс Gmail для викрадення даних

Компанія ESET — лідер у галузі інформаційної безпеки — виявила нову версію бекдора ComRAT відомої групи кіберзлочинців Turla (також відома як Snake), яка активна вже більше десяти років. Особливістю оновленого бекдора є використання веб-інтерфейсу Gmail для отримання команд та викрадення даних.

Бекдор дозволяє викрадати конфіденційні документи, і з 2017 року він використовувався для атак щонайменше на три урядові установи. Спеціалісти ESET знайшли ознаки використання останньої версії ComRAT на початку 2020 року, що підтверджує високу активність групи Turla до сьогодні. Оновлений бекдор використовує абсолютно новий код і має набагато складніший функціонал, ніж його попередні версії.

Як правило, ComRAT використовується для викрадення конфіденційних даних. В деяких випадках кіберзлочинці навіть розгортали виконуваний файл .NET для взаємодії з центральною базою даних MS SQL Server жертви, що містить документи організації. Оператори шкідливих програм використовували загальнодоступні хмарні сервіси, такі як OneDrive та 4shared для викрадення даних. Остання версія бекдора Turla може виконувати багато інших дій на інфікованих комп’ютерах, наприклад, завантажувати додаткові програми.

«Високий рівень складності функціоналу шкідливого програмного забезпечення групи кіберзлочинців дозволяє уникати виявлення програмами з безпеки та тривалий час залишатися на одних і тих же пристроях,— пояснює Матьє Фау, дослідник компанії ESET. — Крім того, остання версія бекдора ComRAT здатна обійти деякі заходи контролю безпеки за допомогою використання веб-інтерфейсу Gmail, оскільки вона не залежить від будь-якого шкідливого домену».

Кіберзлочинці оновили бекдор ComRAT для досягнення своїх цілей. ESET.

«На основі даних досліджень інших зразків  шкідливого програмного забезпечення, виявлених на тих же інфікованих пристроях, ми вважаємо, що ComRAT належить групі зловмисників Turla», — коментує Матьє Фау.

Варто зазначити, що бекдор ComRAT, також відомий під назвою Agent. BTZ, став відомим після його використання для зламу систем збройних сил США у 2008 році. Перша версія цього шкідливого ПЗ, ймовірно випущена у 2007 році, продемонструвала можливості комп’ютерного черв’яка, поширюючись через змінні диски.

Більш детальна інформація про бекдор та ідентифікатори компрометації доступна за посиланням.