Eset actualiza la información sobre el 'backdoor' ComRAT del actor de APT Turla

  • Actualidad

La firma de seguridad ha descubierto una nueva versión de una de las familias de malware del grupo Turla más antiguas: el 'backdoor' ComRAT. Su función más interesante es que utiliza la interfaz de usuario de Gmail.

 

Recomendados: 

WEBINAR >> Vídeo colaboración y reuniones virtuales para una comunicación efectiva Registro 

WEBINAR >> Automatización Inteligente de Procesos para asegurar la continuidad del negocio Registro

Turla, también conocido como Snake, es un grupo de ciberespionaje que lleva activo más de diez años y el último descubrimiento de su actividad llega de la mano de Eset, que ha identificado una nueva versión de una de sus familias de malware más antiguas: el backdoor ComRAT.

La función más interesante del nuevo backdoor, conforme a los datos que maneja la firma, es que utiliza la interfaz de usuario de Gmail para recibir comandos y extraer información.

ComRAT, también conocido como Agent.BTZ, es un troyano de acceso remoto que roba documentos sensibles y desde 2017 ha atacado al menos a tres entidades gubernamentales. El especialista en ciberseguridad ha encontrado indicios de que su última versión todavía estaba en uso a principios de año, con lo que se demuestra que el grupo de ciberdelincuentes sigue estando muy activo y representa una amenaza para militares y diplomáticos.

El objetivo principal de ComRAT es robar documentos confidenciales. En uno de los casos, sus operadores incluso desplegaron un ejecutable .NET para interactuar con la base de datos MS SQL Server principal de la víctima, en la que se encontraban documentos de la organización. Los operadores de este malware utilizaron servicios cloud públicos, como OneDrive o 4shared, para extraer los datos. La última versión del backdoor Turla, además, puede llevar a cabo otras acciones en ordenadores comprometidos, como ejecutar programas o extraer archivos.

A Eset le preocupa que los ciberdelincuentes estén intentando evadir los programas de seguridad, ya que “muestra el nivel de sofisticación del grupo y su intención de quedarse en las máquinas infectadas durante mucho tiempo”, según Matthieu Faou, responsable de la investigación sobre el grupo Turla desde hace años.

Además, según explica, la última versión de ComRAT, al usar de la interfaz web de Gmail, es capaz de superar algunos de los controles de seguridad, ya que no se encuentra alojada en un dominio malicioso.

Eset descubrió la actualización del backdoor en 2017. Utiliza una base de código completamente nueva y es mucho más compleja que sus predecesoras. Sus investigadores encontraron la iteración más reciente del backdoor compilada en noviembre de 2019.