Carbon Backdoor
De Carbon Backdoor is een stukje malware dat privé is ontwikkeld door de Turla-hackgroep. Deze cybercriminaliteitsorganisatie is een van de bekendste namen op het gebied van malwareonderzoek en hun aanvallen hebben bedrijven en organisaties in verschillende industrieën lastiggevallen. Met name de Carbon Backdoor wordt vaak gebruikt als secundaire payload. De criminelen vertrouwen meestal op spear-phishing-e-mails om hun slachtoffers te bereiken, en ze gebruiken vaak trending topics om hun berichten meer geloofwaardigheid te geven. In andere gevallen werd de Carbon Backdoor aan slachtoffers afgeleverd via de zogenaamde 'watering hole-aanval' - deze strategie werkt door een website te compromitteren die het doelwit gebruikt en deze vervolgens te gebruiken om een bedreigende lading af te leveren.
Het primaire doel van de Carbon Backdoor lijkt gegevensdiefstal te zijn. Onderzoekers merken echter op dat het Trojan-configuratiebestand een heel eigenaardige regel heeft met de naam 'PLUGINS'. Dit betekent waarschijnlijk dat de Carbon Backdoor een modulaire structuur heeft en dat de operators extra plug-ins kunnen gebruiken om de functionaliteit van de malware uit te breiden.
De Carbon Backdoor heeft ook een aantal functies die bedoeld zijn om de communicatie en activiteit moeilijker te analyseren. Het verzendt geen gegevens naar de Command & Control-server voordat is gecontroleerd op de aanwezigheid van bepaalde procesnamen die zijn gekoppeld aan software voor het vastleggen van netwerkpakketten. Als er geen overeenkomsten worden gevonden, gaat de Carbon Backdoor door met het verzenden van gegevens en informatie.
De Carbon Backdoor heeft verschillende grote updates ondergaan, wat geen verrassing is gezien de gebruikelijke activiteit van Turla. De leden van de groep doen hun best om hun payloads opnieuw te bewerken en bij te werken zodra ze op de juiste manier zijn ontdekt en geanalyseerd. Advanced Persistent Threat (APT) -actoren verbeteren hun spel altijd en hun waarschijnlijke doelwitten moeten de nodige voorzorgsmaatregelen nemen om de beveiliging van hun netwerk up-to-date te houden.
