斯洛伐克安全企业ESET本周指出,他们发现新一代ComRAT木马程序,除了使用定制化的命令暨控制(C&C)协议之外,还利用Gmail作为发送命令或接收所盗资料的媒介。
第一代ComRAT木马程序现身于2007年,它是一个远程访问木马,由俄罗斯黑客集团Turla Group所打造,ESET认为它目前的版本为第四代,是在2017年问世。不过,ComRAT v4采用全新的程序代码,而且远比前几代还要复杂,它的主要目的仍是窃取机密文件,但也具备执行额外程序的功能,且利用诸如OneDrive或4shared等云计算服务来汲取资料,并同时通过既有的C&C协议与Gmail来作为命令暨控制中心。
虽然ComRAT v4的程序代码中并无旧版的踪迹,但它与其它ComRAT版本采用同样的内部代号,也使用同样的C&C协议,其网络架构有部分与Turla的其它恶意程序共享,也是通过Turla的恶意程序来传播,使得研究人员相信它来自Turla。
除了窃取机密文件之外,ComRAT v4还能取得Active Directory群组或用户信息,或是攫取Windows配置中诸如群组原则的信息,同时试图闪避安全软件,因为它会定期汲取安全记录文件,以了解自己是否曾被侦测到。
ComRAT v4依旧使用HTTP协议来作为命令及控制信道,最特别的是,该木马程序也利用Gmail的网页接口作为C&C媒介,它会连到Gmail检查信箱,下载含有加密命令的特定电子邮件附加文件,该信箱也会用来接收ComRAT v4所盗走的机密文件。另一方面,黑客则是借由其它免费的电子邮件服务来发送加密命令,例如GMX。
研究人员表示,Turla至少已利用ComRAT v4来攻击两个外交部及某个国家的议会,且一直到今年初都还看到ComRAT v4,意味着Turla集团依然非常积极,此外,由于Gmail通常不会被列入恶意域名,代表黑客企图借此规避目标组织的安全控制。