Le malware ComRAT utilise Gmail pour recevoir des commandes

Les chercheurs en cybersécurité ont découvert une nouvelle version avancée de la porte dérobée ComRAT, l’une des premières portes dérobées connues utilisées par le groupe APT Turla. Cette nouvelle version exploite l’interface Web de Gmail pour recevoir secrètement des commandes et exfiltrer des données sensibles.

“ComRAT v4 a été aperçu pour la première fois en 2017 et était encore utilisé en janvier 2020”, a déclaré la firme de cybersécurité ESET dans un rapport. “Nous avons identifié au moins trois cibles: deux ministères des Affaires étrangères en Europe de l’Est et un parlement national dans la région du Caucase.”

Turla, également connue sous le nom de Snake, est actif depuis plus d’une décennie avec une longue histoire de campagnes d’hameçonnages ciblées contre les ambassades et les organisations militaires au moins depuis 2004.

La plate-forme d’espionnage du groupe a débuté sous le nom d’Agent.BTZ, en 2007, avant d’évoluer vers ComRAT, en plus d’acquérir des capacités supplémentaires pour atteindre la persistance et voler des données à partir d’un réseau local.

comrat

On sait maintenant que les versions antérieures d’Agent.BTZ étaient responsables de l’infection de réseaux militaires américains au Moyen-Orient en 2008. Ces dernières années, Turla aurait été à l’origine du compromis des forces armées françaises en 2018 et du ministère autrichien des Affaires étrangères au début de l’année 2020.

comrat

Les nouvelles versions de la porte dérobée ComRAT ont depuis abandonné le mécanisme d’infection par clé USB d’Agent.BTZ en faveur de l’injection dans chaque processus de la machine infectée et l’exécution de sa charge utile principale dans “explorer.exe”.

Quoi de neuf dans ComRAT v4?

ComRAT v4 (ou “Chinch” selon les auteurs de logiciels malveillants) utilise une base de code entièrement nouvelle et est beaucoup plus complexe que ses variantes précédentes, selon ESET. La firme a déclaré que le premier échantillon connu du malware a été détecté en avril 2017.

ComRAT est généralement installé via PowerStallion, une porte dérobée PowerShell utilisée par Turla pour installer d’autres portes dérobées. De plus, le chargeur PowerShell injecte un module appelé ComRAT orchestrator dans le navigateur Web, ce dernier utilise deux canaux différents – un mode hérité et un mode e-mail – pour recevoir des commandes d’un serveur C2 et exfiltrer des informations vers les opérateurs.

“La principale utilisation de ComRAT est la découverte, le vol et l’exfiltration de documents confidentiels”, ont déclaré les chercheurs. “Dans un cas, ses opérateurs ont même déployé un exécutable .NET pour interagir avec la base de données centrale MS SQL Server de la victime contenant les documents de l’organisation.”

comrat

De plus, tous les fichiers associés à ComRAT, à l’exception de la DLL d’orchestrateur et de la tâche planifiée pour la persistance, sont stockés dans un système de fichiers virtuel (VFS).

Le mode “courrier” fonctionne en lisant l’adresse e-mail et les cookies d’authentification situés dans le VFS, en se connectant à Gmail et en analysant la page HTML de la boîte de réception (à l’aide de l’analyseur HTML Gumbo) pour obtenir la liste des e-mails avec des lignes d’objet qui correspondent à ceux d’un fichier “subject.str” dans le VFS.

Pour chaque e-mail qui répond aux critères ci-dessus, ComRAT procède en téléchargeant les pièces jointes (par exemple “document.docx,” “documents.xlsx”), et en supprimant les e-mails pour éviter de les traiter une seconde fois.

Malgré le format “.docx” et “.xlsx” dans les noms de fichiers, les pièces jointes ne sont pas des documents eux-mêmes, mais plutôt des objets de données chiffrés qui incluent une commande spécifique à exécuter: lire/écrire des fichiers, exécuter des processus supplémentaires et rassembler des logs.

Dans la dernière étape, les résultats de l’exécution de la commande sont chiffrés et stockés dans une pièce jointe (avec la double extension “.jpg.bfe”), qui est ensuite envoyée sous forme d’e-mail à une adresse cible spécifiée dans le fichier VFS “answer_addr.str”.

Le mode «hérité», quant à lui, utilise l’infrastructure C2 déjà existante (ComRAT v3.x) pour émettre des commandes à distance, dont les résultats sont compressés et transmis à un service cloud tel que Microsoft OneDrive ou 4Shared.

Les données exfiltrées contiennent les détails de l’utilisateur et les fichiers logs liés à la sécurité pour vérifier si leurs échantillons de logiciels malveillants ont été détectés lors d’une analyse des systèmes infectés.

En se basant sur les modèles de distribution des e-mails Gmail sur une période d’un mois, ESET a déclaré que les opérateurs derrière la campagne travaillaient sur les fuseaux horaires UTC + 3 ou UTC + 4.

“La v4 de ComRAT est une famille de malwares totalement remaniée distribuée en 2017”, a déclaré Matthieu Faou, chercheur chez ESET. “Ses fonctionnalités les plus intéressantes sont le système de fichiers virtuel au format FAT16 et la possibilité d’utiliser l’interface Web Gmail pour recevoir des commandes et exfiltrer des données. De cette façon, il est capable de contourner certains contrôles de sécurité car il ne repose sur aucun domaine malveillant.”

Si cet article vous a plu, jetez un œil à notre article précédent.