Вход для зарегистрированных пользователей
логин
пароль
регистрация
забыли пароль?
Еще не зарегистрировались?

Дайджест

Контур-Фокус – быстрая проверка контрагентов

G DATA Software AG

Производство и продажа программных решений в области информационной безопасности.
Тел.: +7 (905) 797-6179
E-mail: presse@gdata.de
Контактная информация: О компании
Разделы выставки: Антивирусы, Антиспам
Регионы работы: Москва
Новость
17 ноября 2014

Программный комплекс спецслужб ComRAT охотится на важные данные

G DATA обнаружила и выявила последователя софта Agent.BTZ.

17.11.2014 | Бохум Эксперты G DATA обнаружили новый вариант шпионского программного комплекса высокого уровня. ComRAT атакует сети, потенциально содержащие важные и секретные данные. Основываясь на анализе технических параметров, эксперты делают выводы о вероятном происхождении ПО из одного источника с «вредоносом» Agent.BTZ. В 2008 году он использовался в кибератаке против США. Кроме того, было обнаружено сходство со шпионской программой Uroburos. В феврале 2014 лаборатория G DATA SecurityLabs впервые сообщила об обнаружении ПО Uroburos, использованного в свое время в атаке на бельгийский МИД. С помощью взлома интерфейса для разработчиков, т.н. COM-Hijacking, шпионское ПО может проникнуть на компьютер и незаметно выполнять свои вредоносные функции, например, пересылку собранных данных в потоке запросов браузера. Так злоумышленники могут незаметно управлять инфицированной сетью довольно долгое время с помощью программы для удаленного администрирования (Remote Administration Tool) ComRAT. Решения G DATA обнаруживают и блокируют версии ComRAT.

„ComRAT – новейшее поколение известного шпионского ПО Uroburos и Agent.BTZ. Подобно своим предшественникам ComRAT предназначен для работы в больших сетях компаний, государственных учреждений и исследовательских организаций “, - объясняет Ральф Бенцмюллер, руководитель лаборатории G DATA SecurityLabs. „Мы имеем основания вновь подозревать ту же группу разработчиков из-за многочисленных сходств кода. Обнаруженное ПО еще сложнее. Это указывает на высокую стоимость разработки.“

 Что такое ComRat?

Лаборатория G DATA SecurityLabs окрестила обнаруженное шпионское ПО именем „ComRAT“. Имя связано с COM-интерфейсом (Component Object Model) и понятием RAT (Remote Administration Tool – утилита удаленного администрирования). COM-объекты используются в процессе взлома и захвата компьютера. Для программиста вредоносного ПО такой функционал является отличным укрытием в процессе проникновения и организации незаметного управления компьютером. В данном случае – с помощью интернет-браузера. Так похищенные в сети данные выглядят в потоке как обычные пакеты браузера. RAT – утилита удаленного управления, обычно используемая для доступа к удаленному компьютеру. Хакер может с ее помощью управлять своим ПО на расстоянии.

 Эксперты G DATA в своих исследованиях обнаружили два варианта вредоносного ПО. Подробная информация доступна здесь: https://blog.gdatasoftware.com/blog/article/the-uroburos-case-new-sophisticated-rat-identified.html

Блог G DATA описывает перехват COM-объектов очень подробно: https://blog.gdatasoftware.com/blog/article/com-object-hijacking-the-discreet-way-of-persistence.html

 Анализ ПО Uroburos доступен в блоге G DATA  (https://blog.gdatasoftware.com/blog/article/uroburos-highly-complex-espionage-software-with-russian-roots.html) , где также есть подробный технический обзор функций вредоносного ПО. (https://blog.gdatasoftware.com/blog/article/uroburos-deeper-travel-into-kernel-protection-mitigation.html)


Поделись ссылочкой:


©   ООО «Инфосекьюрити»
Тел.: +7 (495) 231-4831   +7 (495) 778-4675Адрес:  Москва, Б.Семеновская, 49


PROFLINE - сайты на Битрикс