Peneliti keamanan kali ini menemukan varian baru dari malware ComRAT, salah satu backdoor paling awal yang diketahui digunakan oleh kelompok APT Turla, memanfaatkan antarmuka web Gmail untuk secara diam-diam menerima perintah dan mengirim data sensitif.
“ComRAT v4 pertama kali terlihat pada 2017 dan diketahui masih digunakan baru-baru ini pada Januari 2020,” kata tim peniliti ESET dalam sebuah laporan. “Kami mengidentifikasi setidaknya tiga target: dua Kementerian Luar Negeri di Eropa Timur dan sebuah parlemen nasional di wilayah Kaukasus.”
Turla saat ini mulai mencuri log antivirus
Malware ComRAT, juga dikenal sebagai Agent.BTZ, adalah salah satu tool tertua yang digunakan oleh grup Turla, dan pernah mereka gunakan untuk mencuri data dari jaringan Pentagon pada 2008.
Tool ini telah memiliki beberapa pembaruan selama bertahun-tahun, dengan versi baru ditemukan masing-masing pada tahun 2014 dan 2017.
Versi terbaru, yang dikenal sebagai ComRAT v4, pertama kali terlihat pada tahun 2017, namun, dalam sebuah laporan yang diterbitkan baru-baru ini, ESET mengatakan mereka telah melihat varian baru ComRAT v4 yang mencakup dua fitur baru, seperti kemampuan untuk mengeksfiltrasi log antivirus dan kemampuan untuk mengendalikan malware menggunakan Gmail.
Fitur baru pertama adalah kemampuan malware untuk mengumpulkan log antivirus dari host yang terinfeksi dan mengunggahnya ke salah satu server command-and-control (C2) yang dikendalikan penyerang.
Peneliti ESET, Matthieu Faou, mengatakan bahwa grup Turla mungkin mengumpulkan log antivirus untuk “memungkinkan mereka agar bisa lebih mengetahui jika ada sampel malware mereka yang terdeteksi.”
Jika grup Turla mengetahui deteksi, mereka kemudian dapat mengubah malware mereka dan mencari cara untuk menghindari deteksi di masa mendatang, di mana mereka kemudian dapat beroperasi tanpa terdeteksi.
Faou mengatakan bahwa malware yang mencuri log adalah hal biasa, tetapi selalu sulit bagi responden kejadian insiden untuk mendeteksi perilaku tersebut.
“Masalahnya adalah bahwa pada umumnya sulit untuk menentukan file apa yang dieksfiltrasi oleh para penyerang,” kata Faou. “Tetapi untuk kelompok yang relatif terbilang canggih, tidak jarang mencoba untuk memahami apakah mereka terdeteksi atau jika mereka meninggalkan jejak mereka atau tidak.”
ComRAT gunakan Gmail sebagai command-and-control
Tapi ini bukan satu-satunya perubahan besar dalam versi malware ComRAT terbaru. Faou mengatakan bahwa malware sekarang memiliki dua mekanisme command-and-control.
Yang pertama adalah metode klasik menghubungi server jarak jauh melalui HTTP dan mengambil instruksi untuk dieksekusi pada host yang terinfeksi.
Yang kedua, dan yang baru, adalah penggunaan antarmuka web Gmail. Faou mengatakan bahwa ComRAT v4 terbaru mengambil alih salah satu browser korban, memuat file cookie yang telah ditentukan, dan kemudian memulai sesi ke dasbor web Gmail.
Di sini, malware membaca email terbaru di kotak masuk, dari mana ia mengunduh lampiran file, dan kemudian membaca instruksi yang terkandung di dalam file.
Setiap kali operator Turla ingin mengeluarkan perintah baru untuk ComRAT yang berjalan di host yang terinfeksi, operator hanya perlu mengirim email ke alamat Gmail. Semua data yang dikumpulkan setelah pelaksanaan instruksi yang dikirim dengan cara ini dikirim kembali ke kotak masuk Gmail, dan dialihkan kembali ke operator Turla.
ESET mengatakan bahwa terlepas dari fitur-fitur baru, operator Turla terus menggunakan ComRAT seperti yang mereka lakukan sebelumnya, yang terutama sebagai muatan tahap kedua pada host yang sudah terinfeksi. Di sini, ComRAT digunakan untuk mencari file sistem serta file-file tertentu, kemudian mengirim data, biasanya ke akun berbagi file cloud di OneDrive atau 4shared.
Dua minggu lalu, Kaspersky juga menerbitkan laporan tentang beberapa malware lawas dari Turla menerima pembaruan yang canggih. Para peneliti mengatakan mereka melihat versi baru dari malware COMpfun, yang dapat dikendalikan oleh operator Turla menggunakan sistem baru dan belum pernah terlihat yang mengandalkan kode status HTTP.
