ComRAT bagdør er tilbage

Gmail bruges til at kontrollere ny opdateret version af ComRAT.

Sikkerhedseksperter har afdækket en ny avanceret version af ComRAT-malware, som er en af de ældste bagdøre udviklet af Turla APT-gruppen. Turla APT-gruppen har været aktiv i over 10 år og siges at være en af de bedst kendte statssponserede grupper, der laver cyberspionage. Bl.a. skal den med succes have gennemført angreb på det amerikanske forsvarsministerium så tidligt som i 2008.

ComRAT, som også kendes under navnet Agent.BTZ er en såkaldt Remote Acces Trojan. Dvs. den giver mulighed for fjernstyring af en inficeret maskine, uden at brugeren er klar over det.

De første versioner af ComRAT-malwaren blev spredt via flytbare disks. I dag kan den installeres via en såkaldt PowerStallion, som er en anden type bagdør, der ligesom andre bagdøre kan installeres ved hjælp af vedhæftede filer eller ved ikke-patchede sårbarheder. Ifølge sikkerhedseksperter kontrolleres malwaren via Gmails interface.

Formålet med ComRAT er primært at få fat i fortrolige dokumenter og er på den måde relevante at tage sig i agt for af virksomheder og myndigheder, der har fortrolige dokumenter i en liga af interesse for statssponserede grupper. Turla APT-gruppen holder givetvis øje med dette og udser sig de organisationer, der kan være relevante at få informationer fra.

Ifølge Bleeping Computer er den seneste version af ComRAT brugt mod to udenrigsministerier og et parlament og anses derfor være en trussel mod diplomater og militær.

Links:

https://www.welivesecurity.com/2020/05/26/agentbtz-comratv4-ten-year-journey/

https://thehackernews.com/2020/05/gmail-malware-hacker.html

https://www.bleepingcomputer.com/news/security/russian-cyberspies-use-gmail-to-control-updated-comrat-malware/