安全研究人员警告说,俄罗斯最先进的政府资助的黑客组织之一已经为其军械库添加了一些狡猾的新工具。
尽管Turla小组仍在使用v4版本的ComRAT恶意软件,但ESET研究人员警告说,此后已更新为包括两个新功能:受害者防病毒日志的渗透,以及通过Gmail收件箱控制恶意软件的能力。
根据ESET的说法,防病毒日志被恶意软件窃取,然后上传到其命令和控制服务器之一。
该恶意软件被发现已于1月份部署,针对三个身份不明的欧洲政府的议会和外交部。
Turla恶意软件
Gmail控制机制是另一项新功能,其中,恶意软件控制受害者的浏览器,加载预定义的cookie文件,并启动与Gmail网络仪表板的会话。
完成此操作后,Turla操作员可以简单地将电子邮件和附件中的说明发送至Gmail帐户。ComRAT恶意软件将阅读电子邮件,下载附件,并阅读并执行其中的说明。这样收集的所有数据将被发送回Gmail收件箱,从而发送给操作员。
ESET研究人员Matthieu Faou告诉ZDNet,收集防病毒日志可能是“让他们更好地了解是否检测到了哪个恶意软件样本以及检测到了哪个恶意软件样本”。这将有助于调整恶意软件,以避免将来被检测到。
Faou指出,通常很难确定攻击者“窃听了”哪些文件,并补充说,对于相对高级的团体,“尝试了解是否检测到它们或是否留下痕迹并不罕见。或不。”