Az Uroburos kártevői kampány mögött álló bűnözők egy új eszközt alkottak kiberkémkedési tevékenységükhöz, egy olyat, amely a korábbi kártevők kódrészleteit is tartalmazza.

A G Data biztonsági kutatói felfedezték a ComRAT-ot, egy távoli elérésű trójait (RAT – patkány), amely képes parancsokat végrehajtani, fájlokat letölteni, információt gyűjteni az érintett számítógépekről és eljuttatni őket a távolban lévő szerverekre. Ez a továbbfejlesztett RAT megpróbálja elrejteni kapcsolatát az Uroburosszal.

A szakértők két különböző verzióját csípték nyakon a kártevőnek, nagyon kis különbség volt köztük, leginkább csak abban, hogy hogyan próbálják elrejteni magukat és hogyan tárolják a parancs és ellenőrző szerverek adatait.

Azonban a kártevő legutóbbi verziója egy fejlettebb elrejtési és antianalízis mechanizmussal jött ki, amely szintén egy kísérlet arra, hogy elrejtse kapcsolatát a korábban már használt eszközökkel.

Hogy elkerülje a lelepleződést, a ComRAT böngészőfolyamatokon keresztül kommunikál a C&C szerverekkel, amelyet sokkal kisebb valószínűséggel szúrnak ki az érintett számítógépen lévő biztonsági megoldások (tűzfalak vagy antivírustermékek).

Elemző eljárásokkal megállapították, hogy a domén, amelyhez a kártevő kapcsolódik, az a „wheather-online.hopto.org”, amellyel már korábbi kártevői kampányok során is találkoztak.

A biztonsági szakértők megfigyelték, hogy a ComRAT-ban használt kód részben azonos azzal, amit korábban már egy Uroburoshoz köthető eszközben használtak. Ezt Agent.BTZ-nek nevezték el a G Datánál. Emiatt az új RAT-et jelenleg Uroburosként ismerik fel a biztonsági termékek.

A fenyegetés legutóbbi verziójának szerkesztési dátuma 2013. január 3. Azonban azt feltételezik, hogy ez a dátum csak átverés, mert egy korábbi minta, amely nem tartalmazza az fejlesztéseket, 2014. február 6-i szerkesztési dátummal van ellátva.

Az az új perzisztens mechanizmus, amelyet 2014 októberében fedeztek fel, lehetővé teszi, hogy nagyon diszkrét módon hatoljanak be egy rendszerbe, és a G Datánál azt feltételezik, hogy ugyanezt a mechanizmust fogják használni más szereplők is a közeljövőben.

Az Uroburost Turla vagy Snake néven is ismerik, és azokat a kampányokat, amelyben érintettek voltak, dokumentálták a Symantecnél, a Kasperskynél és a CrySyS Labnál is.

Az eszközök korábbi elemzései orosz hackerekre utaltak.

Részletes angol nyelvű technikai elemzés a ComRat-ról a G Data Security Blog oldalán található.

Forrás: Softpedia