Az Uroburos kémcsoport még mindig aktív, és egy új távoli elérésű trójaira alapoznak

2014.11.15. 10:00 G Data

Az Uroburos kártevői kampány mögött álló bűnözők egy új eszközt alkottak kiberkémkedési tevékenységükhöz, egy olyat, amely a korábbi kártevők kódrészleteit is tartalmazza.

A G Data biztonsági kutatói felfedezték a ComRAT-ot, egy távoli elérésű trójait (RAT - patkány), amely képes parancsokat végrehajtani, fájlokat letölteni, információt gyűjteni az érintett számítógépekről és eljuttatni őket a távolban lévő szerverekre. Ez a továbbfejlesztett RAT megpróbálja elrejteni kapcsolatát az Uroburosszal.

A szakértők két különböző verzióját csípték nyakon a kártevőnek, nagyon kis különbség volt köztük, leginkább csak abban, hogy hogyan próbálják elrejteni magukat és hogyan tárolják a parancs és ellenőrző szerverek adatait.

Azonban a kártevő legutóbbi verziója egy fejlettebb elrejtési és antianalízis mechanizmussal jött ki, amely szintén egy kísérlet arra, hogy elrejtse kapcsolatát a korábban már használt eszközökkel.

Hogy elkerülje a lelepleződést, a ComRAT böngészőfolyamatokon keresztül kommunikál a C&C szerverekkel, amelyet sokkal kisebb valószínűséggel szúrnak ki az érintett számítógépen lévő biztonsági megoldások (tűzfalak vagy antivírustermékek).

Elemző eljárásokkal megállapították, hogy a domén, amelyhez a kártevő kapcsolódik, az a „wheather-online.hopto.org”, amellyel már korábbi kártevői kampányok során is találkoztak.

A biztonsági szakértők megfigyelték, hogy a ComRAT-ban használt kód részben azonos azzal, amit korábban már egy Uroburoshoz köthető eszközben használtak. Ezt Agent.BTZ-nek nevezték el a G Datánál. Emiatt az új RAT-et jelenleg Uroburosként ismerik fel a biztonsági termékek.

A fenyegetés legutóbbi verziójának szerkesztési dátuma 2013. január 3. Azonban azt feltételezik, hogy ez a dátum csak átverés, mert egy korábbi minta, amely nem tartalmazza az fejlesztéseket, 2014. február 6-i szerkesztési dátummal van ellátva.

Az az új perzisztens mechanizmus, amelyet 2014 októberében fedeztek fel, lehetővé teszi, hogy nagyon diszkrét módon hatoljanak be egy rendszerbe, és a G Datánál azt feltételezik, hogy ugyanezt a mechanizmust fogják használni más szereplők is a közeljövőben.

Az Uroburost Turla vagy Snake néven is ismerik, és azokat a kampányokat, amelyben érintettek voltak, dokumentálták a Symantecnél, a Kasperskynél és a CrySyS Labnál is.

Az eszközök korábbi elemzései orosz hackerekre utaltak.

Részletes angol nyelvű technikai elemzés a ComRat-ról a G Data Security Blog oldalán található.

Forrás: Softpedia

Tetszett a bejegyzés? Lájkolj minket a Facebookon!

Facebook Tumblr Tweet Pinterest Tetszik

Címkék: kártevő G Data

Írj kommentet

A bejegyzés trackback címe:

https://virusirto.blog.hu/api/trackback/id/tr256898083

Kommentek:

A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.