Awas, Malware ekploitasi Gmail

Malware ComRAT Baru Menggunakan Gmail untuk Menerima Perintah dan Membersihkan Data

Peneliti Cybersecurity hari ini menemukan versi canggih baru dari pintu belakang ComRAT, salah satu pintu belakang paling awal yang diketahui digunakan oleh kelompok Turla APT, yang memanfaatkan antarmuka web Gmail untuk secara diam-diam menerima perintah dan mengekstrak data sensitif.

"ComRAT v4 pertama kali terlihat pada 2017 dan diketahui masih digunakan baru-baru ini pada Januari 2020," kata perusahaan cybersecurity ESET dalam sebuah laporan yang dibagikan kepada The Hacker News. "Kami mengidentifikasi setidaknya tiga target: dua Kementerian Luar Negeri di Eropa Timur dan sebuah parlemen nasional di wilayah Kaukasus."

Turla, juga dikenal sebagai Snake, telah aktif selama lebih dari satu dekade dengan sejarah panjang tentang lubang air dan kampanye phishing-phishing terhadap kedutaan dan organisasi militer setidaknya sejak 2004.

Platform spionase grup dimulai sebagai Agent.BTZ, pada 2007, sebelum berevolusi menjadi ComRAT, selain mendapatkan kemampuan tambahan untuk mencapai kegigihan dan mencuri data dari jaringan lokal.

Sekarang diketahui bahwa versi sebelumnya dari Agent.BTZ bertanggung jawab untuk menginfeksi jaringan militer AS di Timur Tengah pada tahun 2008. Dalam beberapa tahun terakhir, Turla dikatakan berada di belakang kompromi Angkatan Bersenjata Perancis pada tahun 2018 dan Kementerian Luar Negeri Austria awal tahun ini.

Versi baru dari backdoor ComRAT telah melewati Agen. Mekanisme infeksi USB-stick BTZ yang mendukung penyuntikan dirinya ke dalam setiap proses mesin yang terinfeksi dan mengeksekusi muatan utamanya dalam "explorer.exe."

Apa yang Baru di ComRAT v4?

ComRAT v4 (atau "Chinch" oleh pembuat malware), sebagaimana penerusnya disebut, menggunakan basis kode yang sama sekali baru dan jauh lebih kompleks daripada varian sebelumnya, menurut ESET. Perusahaan itu mengatakan sampel malware yang diketahui pertama kali terdeteksi pada April 2017.

ComRAT biasanya diinstal melalui PowerStallion, sebuah backdoor PowerShell ringan yang digunakan oleh Turla untuk menginstal backdoors lainnya. Selain itu, pemuat PowerShell menyuntikkan modul yang disebut ComRAT orchestrator ke dalam browser web, yang menggunakan dua saluran yang berbeda - mode warisan dan email - untuk menerima perintah dari server C2 dan mengekstrak informasi ke operator.

"Penggunaan utama ComRAT adalah menemukan, mencuri, dan mengelupas dokumen rahasia," kata para peneliti. "Dalam satu kasus, operatornya bahkan menggunakan .NET yang dapat dieksekusi untuk berinteraksi dengan database MS SQL Server pusat korban yang berisi dokumen organisasi."

Terlebih lagi, semua file yang terkait dengan ComRAT, dengan pengecualian DLL orkestrator dan tugas terjadwal untuk kegigihan, disimpan dalam sistem file virtual (VFS).

Mode "mail" bekerja dengan membaca alamat email dan cookie otentikasi yang terletak di VFS, menghubungkan ke tampilan HTML dasar Gmail, dan mem-parsing halaman HTML kotak masuk (menggunakan parser Gumbo HTML) untuk mendapatkan daftar email dengan baris subjek yang cocok dengan yang ada di file "subject.str" di VFS.

Untuk setiap email yang memenuhi kriteria di atas, comRAT melanjutkan dengan mengunduh lampiran (mis. "Document.docx," "dokumen.xlsx"), dan menghapus email untuk menghindari memprosesnya untuk kedua kalinya.

Meskipun format ".docx" dan ".xlsx" dalam nama file, lampiran itu bukan dokumen itu sendiri, melainkan gumpalan data terenkripsi yang mencakup perintah khusus yang akan dieksekusi: baca / tulis file, jalankan proses tambahan, dan kumpulkan log .

Pada tahap akhir, hasil eksekusi perintah dienkripsi dan disimpan dalam lampiran (dengan ekstensi ganda ".jpg.bfe"), yang kemudian dikirim sebagai email ke alamat target yang ditentukan dalam "answer_addr.str" File VFS.

Mode "lawas", di sisi lain, menggunakan infrastruktur C2 yang sudah ada (ComRAT v3.x) untuk mengeluarkan perintah jarak jauh, yang hasilnya dikompres dan dikirim ke layanan cloud seperti Microsoft OneDrive atau 4Shared.

Data exfiltrated terdiri dari rincian pengguna dan file log terkait keamanan untuk memeriksa apakah sampel malware mereka terdeteksi selama pemindaian sistem yang terinfeksi.

Berdasarkan pola distribusi email Gmail selama periode satu bulan, ESET mengatakan operator di balik kampanye ini bekerja di zona waktu UTC + 3 atau UTC + 4.

"Versi empat dari ComRAT adalah keluarga malware yang benar-benar dirubah yang dirilis pada tahun 2017," kata peneliti ESET Matthieu Faou. "Fitur-fiturnya yang paling menarik adalah Sistem File Virtual dalam format FAT16 dan kemampuan untuk menggunakan UI web Gmail untuk menerima perintah dan mengekstrak data. Dengan demikian, ia dapat mem-bypass beberapa kontrol keamanan karena tidak bergantung pada domain jahat. "

Hackernews .com