Categories: Sicherheit

Hackergruppe Turla steuert Malware per Gmail-Posteingang

Eset hat eine neue Angriffswelle der Hackergruppe Turla analysiert, die angeblich der russische Staat unterstützen soll. Die Attacken fanden demnach im Januar 2020 statt und richteten sich gegen ein nationales Parlament im Kaukasus sowie die Auslandsministerien von zwei Osteuropäischen Staaten. Aus Gründen der nationalen Sicherheit hält Eset jedoch die Namen der betroffenen Länder zurück.

Bei den Angriffen kam laut Eset eine aktualisierte Version des Trojaners ComRAT zum Einsatz, die über neue Funktionen verfügt. ComRAT, auch als Agent.BTZ bezeichnet, ist eine der ältesten Waffen von Turla und wurde auch schon im Jahr 2008 bei einem Einbruch in die Systeme des Pentagon benutzt. Seit 2017 ist die Version 4 von ComRAT im Umlauf, die laut Eset für die jüngsten Attacken verbessert wurde.

Neu ist, das sich ComRAT über einen Gmail-Posteingang steuern lässt. Zu diesem Zweck übernimmt die Malware die Kontrolle über einen Browser des Opfers, um ein vordefiniertes Cookie zu laden und eine Sitzung mit dem Gmail Web Dashboard zu initiieren. ComRAT liest anschließend die neuesten Nachrichten im Posteingang und bezieht aus Anhängen dieser E-Mails seine Befehle.

Mit Gmail als alternativen Befehlsserver können die Hacker ihre Malware tatsächlich mit einer einfachen E-Mail steuern, die an eine bestimmte Gmail-Adresse geschickt wird. Die Daten, die ComRAT anhand seiner neuen Befehle abgreift, werden ebenfalls über diesen Weg, also als E-Mail, an die Hintermänner verschickt.

Darüber hinaus stiehlt die Gruppe nun Log-Dateien von Antivirensoftware. Welches Ziel die Hacker damit verfolgen, ist nicht bekannt. Eset vermutet, dass sie herausfinden wollen, ob und wenn ja, welches ihres Schadprogramme enttarnt wurde. Das könnte Turla in die Lage versetzen, die Malware so anzupassen, dass sie nicht mehr erkannt wird.

Grundsätzlich kommt ComRAT laut der Analyse von Eset weiterhin als Malware zum Einsatz, nachdem ein System bereits von den Hackern kompromittiert wurde. ComRAT soll vor allem gezielt nach bestimmten Dateien suchen und sie an einen entfernten Server übertragen – oft eine Clouddienst wie OneDrive oder 4Shared.

Erst vor zwei Wochen hatte Kaspersky eine andere neue Schadsoftware der Turla-Gruppe unter die Lupe genommen. Die neue Version von COMpfun wird nun über HTTP-Status-Codes gesteuert – eine Technik, die erstmals dokumentiert wurde.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago