Turla Backdoor agrega la interfaz net de Gmail para …


La última versión de ComRAT es otra señal del enfoque continuo del actor de amenaza en objetivos en el gobierno, el ejército y otros sectores.

El actor de amenazas persistentes avanzadas con sede en Rusia Turla ha comenzado a usar una nueva versión de una de sus herramientas de malware más antiguas en otro signo de la amenaza continua que el grupo de ciberespionaje presenta más de 10 años después de que salió a la luz por primera vez.

Los investigadores de ESET observaron recientemente una puerta trasera llamada ComRAT, que durante mucho tiempo se ha asociado con Turla, con una nueva característica que permite que el malware reciba comandos y filtre datos a través de la interfaz de usuario website de Gmail. Al menos tres organizaciones han sido atacadas, dos de las cuales son Ministerios de Relaciones Exteriores y la otra, que es la red de un parlamento nacional, según ESET.

Lo que es interesante con el canal de comando y manage de Gmail es que el malware no realiza HTTP, DNS u otras solicitudes relativamente fáciles de observar a un dominio sospechoso. Desde el punto de vista de la red, solo se puede ver el tráfico hacia y desde mail.google.com, dice Matthieu Faou, investigador de malware en ESET.

«Por lo tanto, es difícil de detectar y bloquear, especialmente si algunos usuarios de la organización objetivo también usan Gmail con fines legítimos», dice Faou.

En un documento técnico el martes, ESET describió la nueva versión de la puerta trasera ComRAT como el uso de cookies almacenadas en su configuración para conectarse a la interfaz internet de Gmail con el fin de verificar la bandeja de entrada y descargar archivos adjuntos de correo electrónico que contienen comandos cifrados. Conforme para el vendedor, la última versión de ComRAT es una bestia totalmente diferente de las versiones anteriores porque está construida sobre una foundation de código completamente diferente y es mucho más compleja.

Turla, también conocido como Snake and Waterbug, es un grupo de amenazas conocido desde hace mucho tiempo que los investigadores de seguridad han identificado como muy possible que trabajen fuera de Rusia. Desde que apareció por primera vez en la escena de la amenaza hace más de una década, Turla se ha dirigido a numerosas oficinas de asuntos exteriores, embajadas, consulados, organizaciones militares, contratistas de defensa y organizaciones políticas. Aunque el grupo se ha dirigido a organizaciones en varias regiones del mundo, en los últimos tiempos muchos de sus objetivos se han basado en Oriente Medio y Europa del Este.

La estrategia de ataque típica de Turla ha sido utilizar lo que ESET describe como malware básico de primera etapa, e incluso herramientas legítimas como Metasploit, para realizar un reconocimiento en una organización objetivo y luego cambiar a herramientas más sofisticadas si el objetivo se considera interesante. Los atacantes generalmente han utilizado correos electrónicos de spearphishing, ataques de abrevaderos o ataques person-in-the-center para desplegar el malware más grave.

Una vez en una crimson, se sabe que el grupo expande su presencia a través del movimiento lateral y extrae datos utilizando herramientas sofisticadas desarrolladas a medida. El grupo de amenazas también es conocido por establecer cuentas de usuario secretas en sistemas comprometidos para que puedan restablecer el manage en caso de que se detecten sus actividades.

«ComRAT es un buen ejemplo de un malware complejo que se implementa una vez que se viola a la víctima, para mantenerse persistente y espiar durante mucho tiempo», señala Faou. Al igual que otras puertas traseras, el malware puede ejecutar casi cualquier acción en una máquina comprometida, incluida la escritura o lectura de archivos y la creación de procesos maliciosos.

Secuestro y reutilización

Turla no ha estado por encima de secuestrar y usar malware e infraestructura que pertenece a otros grupos de amenazas en sus propias campañas de recopilación de inteligencia. El año pasado, investigadores de seguridad de Symantec y más tarde del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido descubrieron que al menos dos sofisticadas herramientas de malware e infraestructuras de comando y manage que Turla había utilizado en campañas recientes pertenecían al grupo de amenazas iraní APT34.

«El conjunto de herramientas de Turla es bastante más sofisticado que el conjunto de herramientas de la mayoría de los grupos APT», dice Faou. Mientras operacionalmente el grupo es como otros APT sofisticados, la cartera de malware de Turla lo convierte en una amenaza formidable, dice. «El desarrollo y el uso de piezas de malware técnicamente complejas es una característica del grupo Turla».

Las organizaciones en los sectores específicos de Turla deben ser conscientes de la continua amenaza que presenta el grupo, dice Faou. Turla está desarrollando y continúa actualizando su conjunto de herramientas de manera frequent, por lo que las organizaciones deben monitorear la actividad y el malware asociado con los actores de la amenaza, advierte.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más tips





Enlace a la noticia original