به گزارش کارگروه حملات سایبری سایبربان؛ کارشناسان شرکت امنیت سایبری ایست (ESET) با انتشار گزارشی اعلام کردند گروه روسزبان تورلا (Turla) اخیراً دو وزارت خارجه در اروپای شرقی و برخی پارلمانهای منطقه قفقاز را هدف حملات سایبری قرار داده است.
به گفته کارشناسان این شرکت، این حملات در ماه ژانویه 2020 صورت گرفته و هکرها در آنها از نسخه جدید بدافزار کومرات (ComRAT) بهره بردهاند.
آخرین نسخه این بدافزار کومرات 4 نامگذاری شده است که طبق گزارش ایست بهتازگی از دو قابلیت جدید برخوردار شده و در حملات گروه تورلا مورداستفاده قرارگرفته است.
یکی از قابلیتهای جدید کومرات جمعآوری لاگهای آنتیویروسها از هاستهای آلوده و بارگذاری آنها در یکی از سرورهای فرماندهی و کنترل است.
به اعتقاد کارشناسان ایست، اپراتورهای کومرات با این اقدام می خواهند بهتر بفهمند کدام یک از نسخههای بدافزار توسط آنتی ویروسها مورد شناسایی قرار میگیرد و از این طریق تغییراتی در تنظیمات بدافزار وارد کنند.
قابلیت دیگر کومرات ارتباط آن با اپراتور از طریق نسخه وب جیمیل است. کومرات از دو طریق با سرور کنترل ارتباط میگیرد، یکی از طریق HTTP و دیگری از طریق رابط کاربری جیمیل.
کومرات 4 یکی از مرورگرهای قربانی را تحت کنترل خود درآورده و با بهرهگیری از فایلهای کوکی به رابط کاربری جیمیل متصل میشود و پیامهای صندوق ورودی را بررسی کرده و پیوستهای خاصی را که حاوی فرامین رمزگذاری شده هستند، بررسی میکند.
این فرامین توسط اپراتورهای بدافزار از سرویسهای دیگری همچون GMX ارسال میشود و کومرات با مطالعه آنها با اپراتورهای خود ارتباط میگیرد و اطلاعات دریافتی خود را از طریق ایمیل به سرور کنترل ارسال میکند.
بدافزار کومرات که به «Agent.BTZ» نیز شناخته میشود یکی از قدیمیترین ابزارهای تورلا بوده و از سال 2008 برای سرقت اطلاعات محرمانه ازجمله دادههای پنتاگون مورداستفاده قرارگرفته است.
طی سالهای اخیر کومرات چندین بار بهروزرسانی شده و آخرین نسخههای آن در سالهای 2014، 2017 و 2019 شناساییشده است.
