ESET报告称，与俄罗斯有联系的网络间谍威胁演员Turla在最近的攻击中使用的ComRAT恶意软件的更新版本可以连接到Gmail以接收命令。

也被称为Snake，Venomous Bear，KRYPTON和Waterbug ，基于使用ComRAT（也称为Agent.BTZ和Chinch）的使用，该黑客组织至少自2006年以来一直活跃。

该组织使用的最古老的恶意软件家族之一，ComRAT在2008年被用于瞄准美国军方，并在2012年之前发布了两个主要版本，两个主要版本均源自相同的代码库。到2017年，黑客对恶意软件的更改很少。

ESET的安全研究人员报告说，2017年发布的ComRAT v4与其前代产品相比要复杂得多，并且已知甚至在今年采用的攻击中也已在使用。ComRAT v4的第一个样本似乎已于2017年4月编译，而最新的样本于2019年11月发布。

迄今为止，Turla已使用该恶意软件将至少三个受害者（两个外交部和一个国家议会）作为目标，以将敏感文档泄露给OneDrive和4shared等公共云服务。

ComRAT v4使用C ++开发，可通过现有的访问方法（例如PowerStallion PowerShell后门）进行部署，并具有两个命令和控制（C＆C）通道，即HTTP（与先前变体中使用的协议相同）和电子邮件（可以接收命令和控制）。通过Gmail窃取数据）。

依靠存储在配置文件中的cookie，恶意软件可以连接到Gmail Web界面以检查收件箱并下载包含攻击者已从其他地址发送的加密命令的附件。

新的恶意软件变体内部名称为Chinch（与以前的版本相同），与Mosquito共享其部分网络基础结构，并且已被观察到被丢弃或丢弃了Turla恶意软件，例如定制的PowerShell加载程序，PowerStallion后门和RPC后门。

ComRAT v4主要设计用于泄露机密文档，还允许攻击者将其他恶意软件部署到受感染的环境中。此外，操作员可以运行命令以从受感染系统中收集信息，例如Active Directory组或用户，网络详细信息以及Microsoft Windows配置。

该恶意软件的组件包括一个注入到explorer.exe（用于控制大多数功能）的协调器，一个由协调器注入到默认浏览器中的通信模块（DLL）以及一个包含配置和日志的虚拟FAT16文件系统。

安全研究人员还观察到了对逃避的关注，黑客定期窃取与安全相关的日志文件，以评估是否已检测到他们的工具。

“它最有趣的功能是使用Gmail网络用户界面来接收命令并提取数据。因此，它可以绕过某些安全控制，因为它不依赖于任何恶意域。我们还注意到，该新版本放弃了COM对象劫持的持久性，这种方法使恶意软件具有通用名称。”研究人员指出。

ESET总结说，由于ComRAT v4在今年年初仍在使用，很明显Turla仍然是对外交官和军队的积极威胁。