Nowy malware ComRAT przypomina rządowego spyware Uroburos

27 listopada, 2014

Eksperci G DATA SecurityLabs odkryli i dokonali analizy wysoce skomplikowanego wcześniej nieznanego malwareu. Spyware ComRAT atakuje sieci o dużym potencjale. Co to oznacza? Twórcy analizowanego złośliwego oprogramowania za cel postawili sobie kradzież wysoce poufnych danych firmowych. Na podstawie uzyskanych danych można stwierdzić, że ComRAT to „krewniak” użytego w 2008 roku w ataku na USA malwareu Agent.BTZ. Więcej, analitycy zauważyli wiele podobieństw do prawdopodobnie rządowego spywareu Uroburos!

G DATA SecurityLabs ostrzegało przed Uroburosem po raz pierwszy w lutym 2014, kiedy to zaatakowano Ministerstwo Spraw Zagranicznych Belgii z wykorzystaniem tego szkodliwego oprogramowania. Po przechwyceniu interfejsu programisty (COM hijacking), malware potrafi umieścić się na infekowanej maszynie i uruchamiać swoje szkodliwe funkcje niezauważony. Przykładowo może przesyłać wszelkie wykradzione i interesujące atakujących dane za pomocą przeglądarki z wykorzystaniem ruchu sieciowego. W ten sposób napastnicy korzystając z ComRAT Remote Administration Tool (narzędzie administracji zdalnej) mogą szpiegować zainfekowana sieć bez obawy o możliwość wykrycia. Oprogramowanie G DATA wykrywa i blokuje różne warianty ComRAT.

„ComRAT jest najnowsza wersją znanych już od dłuższego czasu programów szpiegujących takich jak Uroburos czy Agent.BTZ. Tak jak jego sławni poprzednicy ComRAT został stworzony do inwigilacji dużych sieci komputerowych należących do korporacji, agencji rządowych, różnego rodzaju organizacji i instytutów badawczych.” – wyjaśnia Łukasz Nowatkowski, dyrektor techniczny G DATA Software. „Po wielu podobieństwach przypuszczamy, że za obecną jak i wcześniejszymi wersjami tego oprogramowania szpiegującego stoi ta sama grupa ludzi. Aktualnie analizowane oprogramowanie jest jeszcze bardziej złożone i nieschematyczne. Płynie z tego jasna informacja, budżet na opracowanie najnowszej wersji musiał być o wiele większy od wykorzystanego przy poprzednich projektach.”

Czym dokładnie jest ComRAT?

Pracownicy G DATA ochrzcili badane oprogramowanie szpiegujące mianem „ComRAT” ze względu na jego właściwości. Nazwa to połączenie dwóch terminów COM (Component Object Model – to standard tworzenia interfejsów programistycznych) oraz RAT (od Remote Administrator Tool). Obiekty COM są wykorzystywane do przejęcia kontroli nad komputerem. Dzięki temu mogą ComRAT może zainfekować komputer oraz ukryć swoje szkodliwe działanie przed użytkownikiem. Dzięki wykorzystaniu najzwyklejszej przeglądarki do przesyłania wykradzionych informacji z zaatakowanej sieci, szmuglowane dane nie wzbudzają podejrzeń i są traktowane jako normalny ruch sieciowy. RAT pozwala na kontrolowanie całego procesu z dowolnego komputera podłączonego do sieci i wyposażonego w moduł administracyjny ComRAT. Hakerzy mogą wydawac polecenia z dowolnego miejsca na ziemi.

Podczas prowadzonej analizy eksperci G DATA SecurityLabs odkryli dwa niezależne warianty badanego malwareu.

  • Więcej szczegółów na stronie SecurityBlog: ANALIZA,
  • Więcej szczegółów odnośnie samej infekcji i przejęcia atakowanego komputera: COM OBJECT HIJACKING,
  • O Uroburosie możecie przeczytać tu: UROBUROS

źródło: G Data

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]