Annonce du 12. novembre 2014

La campagne d’attaque Uroburos est encore active

Un nouveau code malveillant lié à Uroburos vient d’être découvert par le G DATA SecurityLabs

Le G DATA SecurityLabs annonce la découverte de ComRAT, un nouveau code malveillant lié à la campagne d'attaque Uroburos détectée en février 2014. L'analyse de ComRAT montre de nombreuses similitudes avec l'Agent.BTZ, le RAT (Remote Administration Tool) utilisé avant l'opération Uroburos. Cette découverte prouve que l'opération Uroburos est encore active.

En février 2014 les experts du G DATA SecurityLabs publiaient une analyse du rootkit Uroburos, un rootkit aux racines russes. Elle expliquait le lien entre Uroburos et le code malveillant Agent.BTZ, "responsable de la plus importante violation des ordinateurs de l'armée américaine". Neuf mois plus tard, une nouvelle génération de l’Agent.BTZ, nommée ComRAT, a été détectée et analysée (deux versions : v3.25 et v3.26). Agent.BTZ utilisait les mêmes clés d’encodage et le même nom du fichier pour le journal d'installation qu’Uroburos.

Similitudes dans les codes
ComRAT, dans sa version 3.25, montre les mêmes caractéristiques que les codes précédents. En outre, les attaquants partagent également un domaine de commande et de contrôle commun. La dernière version (v3.26) de ComRAT analysée utilise quant à elle une nouvelle clé et ne crée plus de fichiers journaux, cela afin de compliquer l’analyse et de cacher le lien entre ces cas.

Les attaquants brouillent les pistes
L’analyse montre qu’après la publication d’Uroburos de février 2014, le groupe derrière ce code malveillant est encore actif. Dans tous les cas, les développeurs de ComRAT ont implémenté de nouveaux mécanismes, changé les clés et effacé les fichiers de configuration pour cacher leur activité et ôter autant que possible tout lien avec le rootkit Uroburos et le RAT Agent.BTZ. Malgré cela, le G DATA SecurityLabs a pu remonter la piste en comparant les versions.

 

Retrouver l’analyse technique en anglais de cette découverte sur le G DATA SecurityBlog

 

Media:

Annonce du 12. novembre 2014

Contact Presse

G DATA Software France SARL

Jérôme Granger

Public Relations Manager France

2A, rue Danton

92120 Montrouge

Tél: +33 (0)1 41 48 51 46

Mail: Jerome.granger@remove-this.gdata.fr