Le groupe derrière Uroburos, rootkit russe voleur de données, est encore actif. Nouveaux mécanismes, changement de clés et effacement des fichiers de configuration sont au programme de leur nouveau code malveillant ComRAT.
En février dernier, l’éditeur de sécurité G DATA annonçait la découverte d’Uroburos, un rootkit russe présent sur les réseaux depuis 2011 et capable de dérober des données après via un réseau P2P malveillant. Le laboratoire de sécurité de l’éditeur annonce ce mois-ci que la campagne est toujours active et que ses développeurs ont même lancé un nouveau code malveillant : ComRAT. L'analyse de ComRAT montre de nombreuses similitudes avec l'Agent.BTZ, le RAT (Remote Administration Tool) utilisé avant l'opération Uroburos.
Des similitudes dans les codes
ComRAT, dans sa version 3.25, montre les mêmes caractéristiques que les codes précédents. En outre, les attaquants partagent également un domaine de commande et de contrôle commun. La dernière version (v3.26) de ComRAT analysée utilise quant à elle une nouvelle clé et ne crée plus de fichiers journaux, cela afin de compliquer l’analyse et de cacher le lien entre ces cas.
Les attaquants brouillent les pistes
L’analyse montre qu’après la publication d’Uroburos de février 2014, le groupe derrière ce code malveillant est encore actif. Dans tous les cas, les développeurs de ComRAT ont implémenté de nouveaux mécanismes, changé les clés et effacé les fichiers de configuration pour cacher leur activité et ôter autant que possible tout lien avec le rootkit Uroburos et le RAT Agent.BTZ.
Retrouver l’analyse technique en anglais de cette découverte ici: https://blog.gdatasoftware.com/blog/article/the-uroburos-case-new-sophisticated-rat-identified.html