第232期安全事件

2020/05/25-2020/05/31

英文標(biāo)題	Turla has updated its ComRAT backdoor and now uses the Gmail web interface for Command and Control
中文標(biāo)題	安全廠商披露 Turla 組織新版本的 ComRAT 后門
作者及單位	Matthieu Faou
內(nèi)容概述	ESET 研究人員發(fā)現(xiàn) Turla 組織新版本的 ComRAT 后門。ComRAT（也稱為 Agent.BTZ），是 Turla 組織的最早使用的惡意軟件家族之一，曾在 2008 年攻擊美國軍方。2007 年到 2012 年，該惡意軟件發(fā)布了兩個新版本。直到 2017 年中，攻擊者對 ComRAT 進行了一些更改。最新版本 ComRAT v4 于 2017 年出現(xiàn)，直到 2020 年 1 月仍在使用。研究人員至少確定了其針對兩個外交部和一個國民議會。ComRAT v4 是用 C ++ 開發(fā)的復(fù)雜后門程序，使用一個在 FAT16 中格式化的虛擬 FAT16 文件系統(tǒng)。ComRAT v4 使用現(xiàn)有的訪問方法部署，例如 PowerStallion PowerShell 后門，使用 HTTP 和Gmail Web界面進行命令和控制。ComRAT v4可以在受到感染的計算機上執(zhí)行許多操作，例如執(zhí)行其它程序或竊取數(shù)據(jù)。攻擊者使用 OneDrive 和 4shared 等公共云服務(wù)來接受數(shù)據(jù)。
新聞鏈接	https://www.welivesecurity.com/2020/05/26/agentbtz-comratv4-ten-year-journey/