Il Cyber Command statunitense ha esposto otto nuovi campioni di malware che sono stati sviluppati e implementati da hacker russi in recenti attacchi.
Sei degli otto esempi sono per il malware ComRAT (utilizzato dal gruppo di hacker Turla), mentre gli altri due sono esempi per il malware Zebrocy (utilizzato dal gruppo di hacking APT28).
Sia ComRAT che Zebrocy sono famiglie di malware utilizzate da anni dai gruppi di hacker russi, con ComRAT implementato negli attacchi per più di un decennio, essendosi evoluto dal vecchio malware Agent.BTZ.
Sia Turla che APT28 hanno costantemente aggiornato entrambi gli strumenti per aggiungere tecniche di evasione e mantenere il malware non rilevato.
Lo scopo di questa recente denuncia del governo degli Stati Uniti è condividere le versioni recenti di questi strumenti di hacking con il pubblico in generale in modo che gli amministratori di sistema e altri difensori possano aggiungere regole di rilevamento e aggiornare le misure di protezione.
Giovedì, la Cyber National Mission Force (CNMF) del Cyber Command statunitense ha caricato campioni delle nuove versioni di ComRAT e Zebrocy sul proprio account VirusTotal, mentre la Cybersecurity and Infrastructure Security Agency (CISA), in collaborazione con il CyWatch del Federal Bureau of Investigation, ne ha pubblicati due che descrivono il funzionamento interno di ComRAT e Zebrocy.
I ceppi di malware si sono collegati formalmente alla Russia per la prima volta
Come ha sottolineato questa settimana la società di sicurezza informatica slovacca ESET, gli allarmi congiunti CYBERCOM, CISA e FBI segnano anche la prima volta che ComRAT e Zebrocy sono stati formalmente collegati alle unità di spionaggio informatico del governo russo.
L’attribuzione sia per ComRAT che per Zebrocy è sempre stata fatta in modo informale nei rapporti pubblicati da fornitori di sicurezza di società private, ma mai negli avvisi pubblicati da agenzie governative.
Il governo degli Stati Uniti non ha collegato nessuno di questi campioni recenti a nessun recente incidente di sicurezza.
In passato, ComRAT è stato utilizzato per prendere di mira i ministeri degli affari esteri e un parlamento nazionale (per ESET), mentre Zebrocy è stato utilizzato per colpire ambasciate e ministeri degli affari esteri (anche per ESET).
Le vittime di entrambi i malware sono state identificate in Europa orientale e in Asia centrale, ha affermato il Cyber Command statunitense.
All’inizio di questa settimana, il fornitore di sicurezza informatica Accenture ha anche pubblicato un rapporto sulle recenti operazioni di Turla e sulla sua prevalenza nell’utilizzo del malware ComRAT.
L’avviso congiunto del governo degli Stati Uniti è stato pubblicato ad Halloween. Le agenzie di sicurezza informatica statunitensi hanno recentemente preso l’abitudine di esporre le operazioni di malware durante le festività note, come un modo per inviare saluti agli hacker stranieri.