Die G DATA Sicherheitsexperten haben eine neue Variante ei-nes hoch komplexen Cyber-Spionageprogramms entdeckt und analysiert: Das Spionageprogramm ComRAT attackiert High-Potential-Netzwerke, um sensible und geheime Informationen zu stehlen. Aufgrund technischer Details gehen die Analysten davon aus, dass der Schadcode den gleichen Ursprung wie die Schadsoftware Agent.BTZ hat, die 2008 bei einer Cyberattacke gegen die USA zum Einsatz kam. Außerdem haben die Experten erneut Ähnlichkeiten zum Spionageprogramm Uroburos festgestellt. Im Februar 2014 hatten die G DATA SecurityLabs erstmals vor Uroburos gewarnt, der unter anderem das belgische Außenministerium befallen hatte. Durch das Kapern einer Entwickler-Schnittstelle, sogenanntes COM-Hijacking, kann sich die Spionagesoftware auf einem PC einnisten und unbemerkt seine Schadfunktionen ausführen, wie zum Beispiel hochsensible Informationen über den Browser-Datenverkehr ausschleusen. So können Angreifer ein infiziertes System unbemerkt über einen langen Zeitraum mit dem Fernsteuerungstool (engl. RAT; Remote Administration Tool) ComRAT ausspionieren. G DATA Sicherheitslösungen erkennen und blockieren die Varianten von ComRAT.
„ComRAT ist die neueste Generation der bekannten Spionageprogramme Uroburos und Agent.BTZ. Ähnlich wie seine Vorgänger, ist ComRAT darauf ausgelegt in großen Netzen von Firmen, Behörden, Organisationen und Forschungseinrichtungen zu agieren und attackieren“, erklärt Ralf Benzmüller, Leiter der G DATA SecurityLabs. „Wir vermuten dahinter wieder die gleiche Gruppe, da der Schadcode viele Ähnlichkeiten aufweist. Die aktuelle Software ist noch komplexer und noch aufwendiger. Das zeugt von einer kostenintensiven Entwicklung.“
Was ist ComRat?
Die G DATA SecurityLabs haben die Spionage-Software aufgrund seiner technischen Eigenschaften „ComRAT“ getauft. Der Name setzt sich zusammen aus der COM-Schnittstelle (Component Object Model) und dem Begriff RAT (Remote Administration Tool). COM-Objekte werden zum Kapern eines Rechners missbraucht. Für Schadcode-Programmierer bietet diese Funktionalität einen Unterschlupf, um vom Anwender und dem Virenschutz unbemerkt zu agieren, im aktuellen Fall den Browser zu missbrauchen. So sehen die aus dem Netzwerk herausgeschleuste Daten aus wie ganz normale Browser-Surfdaten. Ein RAT ist ein Fernsteuerungstool, das in der Regel genutzt wird, um von entfernten Orten auf andere Rechner zuzugreifen. Die Hacker können die Malware von außen steuern.
Die G DATA Sicherheitsexperten haben in ihrer Analyse zwei Varianten des Schädlings entdeckt. Detaillierte Informationen stehen hier zur Verfügung: https://blog.gdata.de/artikel/die-akte-uroburos-neues-ausgekluegeltes-rat-identifiziert/
Im G DATA SecurityBlog wird das Kapern von COM-Objekten genauer untersucht: https://blog.gdata.de/artikel/hijacking-von-com-objekten-persistenz-der-diskreten-art/
Die Analyse zu Uroburos steht im G DATA SecurityBlog (https://blog.gdata.de/artikel/uroburos-hochkomplexe-spionagesoftware-mit-russischen-wurzeln/) zur Verfügung, ebenso wie ein detaillierter technischer Einblick in die Funktionsweise der Malware. (https://blog.gdata.de/artikel/uroburos-detaillierte-einblicke-in-die-umgehung-des-kernelschutzes/)
„ComRAT ist die neueste Generation der bekannten Spionageprogramme Uroburos und Agent.BTZ. Ähnlich wie seine Vorgänger, ist ComRAT darauf ausgelegt in großen Netzen von Firmen, Behörden, Organisationen und Forschungseinrichtungen zu agieren und attackieren“, erklärt Ralf Benzmüller, Leiter der G DATA SecurityLabs. „Wir vermuten dahinter wieder die gleiche Gruppe, da der Schadcode viele Ähnlichkeiten aufweist. Die aktuelle Software ist noch komplexer und noch aufwendiger. Das zeugt von einer kostenintensiven Entwicklung.“
Was ist ComRat?
Die G DATA SecurityLabs haben die Spionage-Software aufgrund seiner technischen Eigenschaften „ComRAT“ getauft. Der Name setzt sich zusammen aus der COM-Schnittstelle (Component Object Model) und dem Begriff RAT (Remote Administration Tool). COM-Objekte werden zum Kapern eines Rechners missbraucht. Für Schadcode-Programmierer bietet diese Funktionalität einen Unterschlupf, um vom Anwender und dem Virenschutz unbemerkt zu agieren, im aktuellen Fall den Browser zu missbrauchen. So sehen die aus dem Netzwerk herausgeschleuste Daten aus wie ganz normale Browser-Surfdaten. Ein RAT ist ein Fernsteuerungstool, das in der Regel genutzt wird, um von entfernten Orten auf andere Rechner zuzugreifen. Die Hacker können die Malware von außen steuern.
Die G DATA Sicherheitsexperten haben in ihrer Analyse zwei Varianten des Schädlings entdeckt. Detaillierte Informationen stehen hier zur Verfügung: https://blog.gdata.de/artikel/die-akte-uroburos-neues-ausgekluegeltes-rat-identifiziert/
Im G DATA SecurityBlog wird das Kapern von COM-Objekten genauer untersucht: https://blog.gdata.de/artikel/hijacking-von-com-objekten-persistenz-der-diskreten-art/
Die Analyse zu Uroburos steht im G DATA SecurityBlog (https://blog.gdata.de/artikel/uroburos-hochkomplexe-spionagesoftware-mit-russischen-wurzeln/) zur Verfügung, ebenso wie ein detaillierter technischer Einblick in die Funktionsweise der Malware. (https://blog.gdata.de/artikel/uroburos-detaillierte-einblicke-in-die-umgehung-des-kernelschutzes/)
