G DATA обнаружила и выявила последователя софта Agent.BTZ.
17.11.2014 | Бохум Эксперты G DATA обнаружили новый вариант шпионского программного комплекса высокого уровня. ComRAT атакует сети, потенциально содержащие важные и секретные данные. Основываясь на анализе технических параметров, эксперты делают выводы о вероятном происхождении ПО из одного источника с «вредоносом» Agent.BTZ. В 2008 году он использовался в кибератаке против США. Кроме того, было обнаружено сходство со шпионской программой Uroburos. В феврале 2014 лаборатория G DATA SecurityLabs впервые сообщила об обнаружении ПО Uroburos, использованного в свое время в атаке на бельгийский МИД. С помощью взлома интерфейса для разработчиков, т.н. COM-Hijacking, шпионское ПО может проникнуть на компьютер и незаметно выполнять свои вредоносные функции, например, пересылку собранных данных в потоке запросов браузера. Так злоумышленники могут незаметно управлять инфицированной сетью довольно долгое время с помощью программы для удаленного администрирования (Remote Administration Tool) ComRAT. Решения G DATA обнаруживают и блокируют версии ComRAT.
„ComRAT – новейшее поколение известного шпионского ПО Uroburos и Agent.BTZ. Подобно своим предшественникам ComRAT предназначен для работы в больших сетях компаний, государственных учреждений и исследовательских организаций “, - объясняет Ральф Бенцмюллер, руководитель лаборатории G DATA SecurityLabs. „Мы имеем основания вновь подозревать ту же группу разработчиков из-за многочисленных сходств кода. Обнаруженное ПО еще сложнее. Это указывает на высокую стоимость разработки.“
Что такое ComRat?
Лаборатория G DATA SecurityLabs окрестила обнаруженное шпионское ПО именем „ComRAT“. Имя связано с COM-интерфейсом (Component Object Model) и понятием RAT (Remote Administration Tool – утилита удаленного администрирования). COM-объекты используются в процессе взлома и захвата компьютера. Для программиста вредоносного ПО такой функционал является отличным укрытием в процессе проникновения и организации незаметного управления компьютером. В данном случае – с помощью интернет-браузера. Так похищенные в сети данные выглядят в потоке как обычные пакеты браузера. RAT – утилита удаленного управления, обычно используемая для доступа к удаленному компьютеру. Хакер может с ее помощью управлять своим ПО на расстоянии.
Эксперты G DATA в своих исследованиях обнаружили два варианта вредоносного ПО. Подробная информация доступна здесь: https://blog.gdatasoftware.com/blog/article/the-uroburos-case-new-sophisticated-rat-identified.html
Блог G DATA описывает перехват COM-объектов очень подробно: https://blog.gdatasoftware.com/blog/article/com-object-hijacking-the-discreet-way-of-persistence.html
Анализ ПО Uroburos доступен в блоге G DATA (https://blog.gdatasoftware.com/blog/article/uroburos-highly-complex-espionage-software-with-russian-roots.html) , где также есть подробный технический обзор функций вредоносного ПО. (https://blog.gdatasoftware.com/blog/article/uroburos-deeper-travel-into-kernel-protection-mitigation.html)