ComRAT

A ferramenta de hacking ComRAT (Trojan de Acesso Remoto) faz parte do arsenal do famoso Turla APT (Ameaça Persistente Avançada). O malware ComRAT foi detectado pela primeira vez há mais de uma década em 2008. Os especialistas em segurança cibernética acreditam que o Turla APT opera na Rússia e provavelmente é patrocinado pelo Kremlin, já que a maioria de seus alvos parece ser indivíduos ou instituições de interesse do governo russo. Muitos dos alvos do Turla APT são órgãos governamentais estrangeiros, geralmente localizados na América do Norte, Europa, África, Oriente Médio e Ásia. Apesar de a ameaça ComRAT ser um Trojan que foi descoberto pela primeira vez há doze anos, está sendo usado nas campanhas de Turla até hoje. A mais recente operação de Turla que empregava a ameaça ComRAT foi realizada em janeiro de 2020. Esta campanha teve como alvo vários governos localizados na região da Europa Oriental.

Os cibercriminosos do Turla APT fizeram questão de melhorar bastante a ameaça ComRAT ao longo dos anos. O malware ComRAT é capaz de detectar e coletar registros vinculados à atividade de utilitários anti-malware. É provável que isso permita ao Turla APT estudar como os fornecedores de segurança cibernética identificam suas ameaças e, portanto, aplicar melhores técnicas de evasão. Uma das características únicas do ComRAT é que ele não depende apenas de uma conexão HTTP para entrar em contato com o servidor de C&C (Comando & Controle). Ele também pode receber comandos para executar enviando anexos de email a uma caixa de entrada do Gmail operada pelos atacantes. O implante ComRAT verificará a caixa de entrada em busca de novos anexos de email periodicamente e depois descriptografará o conteúdo para ver e seguir as instruções do operador de malware. Os resultados serão enviados de volta ao Turla APT através do mesmo e-mail usado anteriormente.

Na campanha ComRAT de 2020, os atacantes parecem ter usado muito poucos recursos da ameaça. O ComRAT foi usado para verificar o host comprometido e detectar certos tipos ou nomes de arquivos principalmente. As informações coletadas foram então transferidas de volta para os atacantes por meio de uma conta OneDrive ou 4shared.

O Turla APT é um nome bem conhecido no mundo do crime cibernético, e não é provável que eles deixem de funcionar tão cedo. O grupo de hackers Turla é composto por cibercriminosos muito experientes que sempre se esforçam para melhorar seu arsenal de ferramentas.