کمیته رکن چهارم – شرکت ESET موج جدیدی از حملات گروههای هکری با بدافزار ComRAT را شناسایی کرد که گروه هکری Turla از آن استفاده میکند.
کارشناسان شرکت امنیت سایبری ایست (ESET) با انتشار گزارشی اعلام کردند گروه روسزبان تورلا (Turla) اخیراً دو وزارت خارجه در اروپای شرقی و برخی پارلمانهای منطقه قفقاز را هدف حملات سایبری قرار داده است.
به گفته کارشناسان این شرکت، این حملات در ماه ژانویه ۲۰۲۰ صورت گرفته و هکرها در آنها از نسخه جدید بدافزار کومرات (ComRAT) بهره بردهاند.
آخرین نسخه این بدافزار کومرات ۴ نامگذاری شدهاست که طبق گزارش ایست بهتازگی از دو قابلیت جدید برخوردار شده و در حملات گروه تورلا مورداستفاده قرارگرفته است. یکی از قابلیتهای جدید کومرات جمعآوری لاگهای آنتیویروسها از هاستهای آلوده و بارگذاری آنها در یکی از سرورهای فرماندهی و کنترل است.
به اعتقاد کارشناسان ایست، اپراتورهای کومرات با این اقدام می خواهند بهتر بفهمند کدام یک از نسخههای بدافزار توسط آنتی ویروسها مورد شناسایی قرار میگیرد و از این طریق تغییراتی در تنظیمات بدافزار وارد کنند.
قابلیت دیگر کومرات ارتباط آن با اپراتور از طریق نسخه وب جیمیل است. کومرات از دو طریق با سرور کنترل ارتباط میگیرد، یکی از طریق HTTP و دیگری از طریق رابط کاربری جیمیل.
کومرات ۴ یکی از مرورگرهای قربانی را تحت کنترل خود درآورده و با بهرهگیری از فایلهای کوکی به رابط کاربری جیمیل متصل میشود و پیامهای صندوق ورودی را بررسی کرده و پیوستهای خاصی را که حاوی فرامین رمزگذاری شده هستند، بررسی میکند.
این فرامین توسط اپراتورهای بدافزار از سرویسهای دیگری همچون GMX ارسال میشود و کومرات با مطالعه آنها با اپراتورهای خود ارتباط میگیرد و اطلاعات دریافتی خود را از طریق ایمیل به سرور کنترل ارسال میکند.
بدافزار کومرات که به «Agent.BTZ» نیز شناخته میشود یکی از قدیمیترین ابزارهای تورلا بوده و از سال ۲۰۰۸ برای سرقت اطلاعات محرمانه ازجمله دادههای پنتاگون مورداستفاده قرارگرفته است.
طی سالهای اخیر کومرات چندین بار بهروزرسانی شده و آخرین نسخههای آن در سالهای ۲۰۱۴، ۲۰۱۷ و ۲۰۱۹ شناساییشده است.
منبع: سایبربان
