پژوهشگران امنیت سایبری نسخهی پیشرفتهی جدیدی از دربپشتی ComRAT را کشف کردند که یکی از اولین دربهای پشتی شناخته شدهی مورد استفادهی گروه Turla APT است و از رابط وب جیمیل برای دریافت دستورات و استخراج دادههای حساس بهطور مخفیانه استفاده میکند.
شرکت امنیت سایبری ESET در گزارش خود اعلام کرد که ComRAT نسخهی ۴ اولین بار در سال ۲۰۱۷ مشاهده شد و بهتازگی در ماه ژانویهی سال ۲۰۲۰ میلادی نیز مورد استفاده قرار گرفته است. این شرکت حداقل سه هدف را شناسایی کرده است: دو وزارت امور خارجه در اروپای شرقی و یک پارلمان ملی در منطقهی قفقاز.
گروه Turla که با نام Snake نیز شناخته میشود، با سابقهی طولانی در مورد پویشهای watering hole و spear-phishing علیه سفارتخانهها و سازمانهای نظامی، حداقل از سال ۲۰۰۴ میلادی فعال بوده است. بستر جاسوسی این گروه با نام Agent.BTZ در سال ۲۰۰۷ میلادی و قبل از تکامل آن به شکل ComRAT آغاز به کار کرد.
درحالحاضر مشخص شده است که نسخههای قبلی Agent.BTZ مسئول آلوده کردن شبکههای نظامی امریکا در خاورمیانه در سال ۲۰۰۸ میلادی بودند. در سالهای اخیر گفته میشود که Turla در پشت پردهی حملات علیه نیروهای مسلح فرانسه در سال ۲۰۱۸ میلادی و وزارت امور خارجهی اتریش در اوایل سال جاری بوده است.
نسخههای جدیدتر دربپشتی ComRAT، سازوکار آلودگی USB-stick مربوط به Agent.BTZ برای تزریق خود در هر یک از فرآیندهای دستگاه آلوده و اجرای بار دادهی اصلی خود در explorer.exe را کنار گذاشته است.
بهگفتهی ESET، ComRAT نسخهی ۴ که از یک پایگاه کد کاملاً جدید استفاده میکند به مراتب پیچیدهتر از نسخههای قبلی آن است. اولین نمونهی شناختهشدهی این بدافزار در ماه آوریل سال ۲۰۱۷ میلادی شناسایی شد.
ComRAT معمولاً از طریق PowerStallion نصب میشود که یک دربپشتی PowerShell سبک است که توسط Turla برای نصب سایر دربهای پشتی استفاده میشود. علاوهبرآن، بارگذار PowerShell ماژولی به نام orchestrator ComRAT در مرورگر وب تزریق میکند که از دو کانال برای دریافت دستورات از یک سرور C2 و استخراج اطلاعات برای اپراتورها استفاده میکند.
کاربرد اصلی ComRAT، کشف، سرقت و استخراج اسناد محرمانه است. حتی در یک مورد نیز اپراتورهای آن برای تعامل با پایگاه دادهی مرکزی MS SQL server قربانی که حاوی اسناد سازمان است، یک فایل اجرایی .NET را توزیع میکنند.
همهی فایلهای مربوط به ComRAT به استثنای فایل orchestrator DLL و کارهای برنامهریزیشده برای ماندگاری، در یک سیستم فایل مجازی ذخیره میشود. حالت mail با خواندن آدرس ایمیل و کوکیهای احرازهویت در سیستم فایل مجازی، به نمای HTML اصلی جیمیل متصل میشود و صفحهی HTML صندوق دریافت را parse میکند تا فهرست ایمیلهایی که عنوان آنها با عناوین موجود در فایل subject.str در سیستم فایل مجازی مطابقت دارد، به دست آورد.
در هر ایمیلی که معیارهای موردنظر را داشته باشد، ComRAT پیوستها را بارگیری و ایمیلها را بهمنظور جلوگیری از پردازش دوبارهی آنها حذف میکند.
برخلاف وجود فرمت .docx و .xlsx در نام فایلها، پیوستها سند نیستند، بلکه دادههای رمزنگاریشدهای هستند که شامل یک دستور خاص برای اجرا هستند.
در مرحلهی آخر، نتایج اجرای دستور رمزنگاری و در یک پیوست ذخیره میشود که سپس بهعنوان یک ایمیل به آدرس هدف مشخصشده در فایل answer_addr.str ارسال میشود. ComRAT نسخهی ۴ یک خانوادهی بدافزاری کاملاً بازسازی شده است که در سال ۲۰۱۷ میلادی منتشر شده است. از جالبترین ویژگیهای آن سیستم فایل مجازی در فرمت FAT16 و توانایی استفاده از Gmail Web UI برای دریافت دستورات و استخراج داده است. بنابراین، میتواند برخی کنترلهای امنیتی را دور بزند، زیرا به هیچ دامنهی مخربی متکی نیست.