Kinshasa 30 mai 2020 (ACP)- Les chercheurs d’ESET ont découvert l’utilisation de Gmail en version de la Backdoor ComRAT, l’une des plus anciennes familles de malwares opérées par le groupe Turla, indique un communiqué de presse parvenu samedi à l’ACP.
Selon ce document. Snake Turla, qui est un groupe de cyberespionnage actif depuis plus de dix ans, est spécialisé dans l’utilisation de l’interface web de Gmail pour recevoir des commandes et exfiltrer des données, précise-t-on tout en soulignant que ComRAT s’est attaqué à au moins trois institutions gouvernementales depuis 2017 pour y dérober des documents sensibles.
ESET a découvert que cette dernière version de ComRAT était toujours utilisée au début de l’année 2020, ce qui montre que le groupe Turla est toujours très actif et constitue une menace majeure pour les diplomates et les militaires.
La principale utilisation de ComRAT est le vol de documents confidentiels. Lors d’une campagne spécifique, ses opérateurs ont même déployé un exécutable .NET pour interagir avec le serveur de base de données MS SQL d’une victime contenant les documents de l’organisation.
Les opérateurs du malware ont utilisé des services de Cloud public tels que OneDrive et 4shared pour exfiltrer des données.
La dernière version de la Backdoor de Turla est en mesure d’effectuer de nombreuses autres actions sur les ordinateurs compromis, notamment lancer des programmes supplémentaires et exfiltrer des fichiers.
Les moyens mis en œuvre pour échapper à la détection par les solutions de sécurité sont préoccupant.
« Cela montre le niveau de sophistication de ce groupe et son intention de s’implanter à long terme dans les machines, » explique Matthieu Faou, qui a enquêté sur le groupe pendant plusieurs années. « Grâce à l’utilisation de l’interface web de Gmail, la dernière version de ComRAT est capable de contourner certains contrôles de sécurité, car elle n’utilise aucun domaine malveillant, » poursuit M. Faou.
ESET a découvert une mise à jour importante de la Backdoor en 2017.
Elle est beaucoup plus complexe que les versions précédentes. La dernière itération de la Backdoor découverte par les chercheurs d’ESET, a été compilée en novembre 2019.
« En étudiant la victimologie et les échantillons du malware présents sur les machines compromises, nous estimons que ComRAT est utilisé exclusivement par Turla, » ajoute M. Faou. ComRAT, également appelé Agent. BTZ, est une Backdoor malveillante qui est devenue célèbre après avoir été utilisée dans une faille de sécurité qui a touchée l’armée américaine en 2008. La première version de ce malware, probablement lancée en 2007, était un ver qui se propageait via des disques amovibles, rappelle-t-on. ACP/Kayu
