Categories: Sicherheit

Hackergruppe Turla steuert Malware per Gmail-Posteingang

Eset hat eine neue Angriffswelle der Hackergruppe Turla analysiert, die angeblich der russische Staat unterstützen soll. Die Attacken fanden demnach im Januar 2020 statt und richteten sich gegen ein nationales Parlament im Kaukasus sowie die Auslandsministerien von zwei Osteuropäischen Staaten. Aus Gründen der nationalen Sicherheit hält Eset jedoch die Namen der betroffenen Länder zurück.

Bei den Angriffen kam laut Eset eine aktualisierte Version des Trojaners ComRAT zum Einsatz, die über neue Funktionen verfügt. ComRAT, auch als Agent.BTZ bezeichnet, ist eine der ältesten Waffen von Turla und wurde auch schon im Jahr 2008 bei einem Einbruch in die Systeme des Pentagon benutzt. Seit 2017 ist die Version 4 von ComRAT im Umlauf, die laut Eset für die jüngsten Attacken verbessert wurde.

Neu ist, das sich ComRAT über einen Gmail-Posteingang steuern lässt. Zu diesem Zweck übernimmt die Malware die Kontrolle über einen Browser des Opfers, um ein vordefiniertes Cookie zu laden und eine Sitzung mit dem Gmail Web Dashboard zu initiieren. ComRAT liest anschließend die neuesten Nachrichten im Posteingang und bezieht aus Anhängen dieser E-Mails seine Befehle.

Mit Gmail als alternativen Befehlsserver können die Hacker ihre Malware tatsächlich mit einer einfachen E-Mail steuern, die an eine bestimmte Gmail-Adresse geschickt wird. Die Daten, die ComRAT anhand seiner neuen Befehle abgreift, werden ebenfalls über diesen Weg, also als E-Mail, an die Hintermänner verschickt.

Darüber hinaus stiehlt die Gruppe nun Log-Dateien von Antivirensoftware. Welches Ziel die Hacker damit verfolgen, ist nicht bekannt. Eset vermutet, dass sie herausfinden wollen, ob und wenn ja, welches ihres Schadprogramme enttarnt wurde. Das könnte Turla in die Lage versetzen, die Malware so anzupassen, dass sie nicht mehr erkannt wird.

Grundsätzlich kommt ComRAT laut der Analyse von Eset weiterhin als Malware zum Einsatz, nachdem ein System bereits von den Hackern kompromittiert wurde. ComRAT soll vor allem gezielt nach bestimmten Dateien suchen und sie an einen entfernten Server übertragen – oft eine Clouddienst wie OneDrive oder 4Shared.

Erst vor zwei Wochen hatte Kaspersky eine andere neue Schadsoftware der Turla-Gruppe unter die Lupe genommen. Die neue Version von COMpfun wird nun über HTTP-Status-Codes gesteuert – eine Technik, die erstmals dokumentiert wurde.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

25 Minuten ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

16 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

20 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

21 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

21 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

22 Stunden ago