El grupo de hackers de Turla roba registros de antivirus para ver si se detectó su malware


Turla

Característica especial

La ciberguerra y el futuro de la ciberseguridad

Las amenazas a la seguridad de hoy se han ampliado en alcance y seriedad. Ahora puede haber millones, o incluso miles de millones, de dólares en riesgo cuando la seguridad de la información no se maneja adecuadamente.

Lee mas

Investigadores de seguridad de ESET han descubierto nuevos ataques llevados a cabo por Turla, uno de los grupos de piratería patrocinado por el estado más avanzados de Rusia.

Los nuevos ataques tuvieron lugar en enero de 2020. Los investigadores de ESET dicen que los ataques se dirigieron a tres entidades de alto perfil, como un parlamento nacional y dos Ministerios de Relaciones Exteriores. Los objetivos no se pudieron identificar por nombre debido a razones de seguridad nacional.

Estas intrusiones representan las últimas entradas en una larga lista de víctimas, la mayoría de las cuales incluyen entidades diplomáticas y militares. Esta lista comenzó a mediados de la década de 2000 con el Pentágono y continuó a lo largo de los años con objetivos en Europa, Oriente Medio, Asia y África.

Sin embargo, los ataques de enero de 2020 se destacaron debido a la implementación de una versión actualizada del malware ComRAT, que según ESET contenía algunas características nuevas bastante inteligentes.

Turla ahora roba registros de antivirus

los Malware ComRAT, también conocido como Agent.BTZ, es una de las armas más antiguas de Turla, y la que solía extraer datos de la pink del Pentágono en 2008.

La herramienta ha visto varias actualizaciones a lo largo de los años, con nuevas versiones descubiertas en 2014 y 2017, respectivamente.

La última versión, conocida como ComRAT v4, se vio por primera vez en 2017, sin embargo, en un informe publicado hoy, ESET dice que han detectado una variación de ComRAT v4 que incluye dos nuevas funciones, como la capacidad de filtrar registros de antivirus y capacidad de controlar el malware utilizando una bandeja de entrada de Gmail.

La primera de estas características es la capacidad del malware para recopilar registros de antivirus de un host infectado y subirlo a uno de sus servidores de comando y manage.

Los motivos exactos de un grupo de hackers siempre permanecerán confusos, pero Matthieu Faou, el investigador de ESET que analizó el malware, dijo ZDNet que los operadores de Turla podrían estar recopilando registros de antivirus para «permitirles comprender mejor si se detectó una de sus muestras de malware y cuál de ellas».

La creencia es que si los operadores de Turla ven una detección, pueden modificar su malware y evitar futuras detecciones en otros sistemas, donde pueden operar sin ser detectados.

Faou dice que el malware que roba registros es común, pero siempre es difícil para los respondedores de incidentes detectar el comportamiento.

«La cuestión es que, en normal, es difícil determinar qué archivos fueron extraídos por los atacantes», nos dijo Faou. «Pero para grupos relativamente avanzados, no es raro tratar de entender si son detectados o si dejan rastros detrás de ellos o no».

ComRAT de Turla utiliza Gmail como servidor C&C

Pero este no fue el único cambio importante en la última versión de malware ComRAT. Faou dice que el malware ahora incluye no uno, sino dos mecanismos de comando y regulate.

El primero es el método clásico de contactar a un servidor remoto a través de HTTP y recuperar instrucciones para ejecutar en hosts infectados.

El segundo, y el nuevo, es el uso de la interfaz world wide web de Gmail. Faou dice que el último ComRAT v4 se hace cargo de uno de los navegadores de la víctima, carga un archivo de cookies predefinido y luego inicia una sesión en el panel world-wide-web de Gmail.

Aquí, el malware lee correos electrónicos recientes en la bandeja de entrada, desde donde descarga los archivos adjuntos, y luego lee las instrucciones contenidas en el archivo.

La notion es que cada vez que los operadores de Turla quieran emitir nuevos comandos a las instancias de ComRAT que se ejecutan en hosts infectados, los hackers simplemente tienen que enviar un correo electrónico a la dirección de Gmail.


ESET dice que a pesar de las nuevas características, los operadores de Turla continúan usando ComRAT como lo hicieron antes, que es principalmente como una carga útil de segunda etapa en hosts ya infectados. Aquí, ComRAT se usa para buscar en el sistema de archivos archivos específicos y luego filtrar los datos a un punto remoto, generalmente una cuenta para compartir archivos en la nube en OneDrive o 4shared.

Hace dos semanas, Kaspersky también publicó un informe sobre algunos malware antiguos de Turla que recibieron una actualización ingeniosa. Los investigadores dijeron que detectaron una nueva versión del malware COMpfun, que los operadores de Turla podían controlar usando un sistema novedoso y nunca antes visto que se basaba en códigos de estado HTTP.

Turla ComRAT "src =" https://zdnet3.cbsistatic.com/hub/i/2020/05/26/4978c69b-d224-4088-a1c0-ae1d9e7b3302/turla-comrat.png

Imagen: ESET



Enlace a la noticia initial