En février 2014 les experts du G DATA SecurityLabs publiaient une analyse du rootkit Uroburos, un rootkit aux racines russes. Elle expliquait le lien entre Uroburos et le code malveillant Agent.BTZ, utilisé en 2008 dans une attaque visant les Etats-Unis. Neuf mois plus tard, une nouvelle génération de l’Agent.BTZ, nommée ComRAT (pour Remote Administration Tool), a été détectée et analysée (deux versions : v3.25 et v3.26). Agent.BTZ utilisait les mêmes clés d’encodage et le même nom du fichier pour le journal d’installation qu’Uroburos.

Similitudes dans les codes

ComRAT, dans sa version 3.25, montre les mêmes caractéristiques que les codes précédents. En outre, les attaquants partagent également un domaine de commande et de contrôle commun. La dernière version (v3.26) de ComRAT analysée utilise quant à elle une nouvelle clé et ne crée plus de fichiers journaux, cela afin de compliquer l’analyse et de cacher le lien entre ces cas.

Les attaquants brouillent les pistes

L’analyse montre qu’après la publication d’Uroburos de février 2014, le groupe derrière ce code malveillant est encore actif. Dans tous les cas, les développeurs de ComRAT ont implémenté de nouveaux mécanismes, changé les clés et effacé les fichiers de configuration pour cacher leur activité et ôter autant que possible tout lien avec le rootkit Uroburos et le RAT Agent.BTZ. Malgré cela, le G ?DATA SecurityLabs a pu remonter la piste en comparant les versions.

Retrouver l’analyse technique en anglais de cette découverte ici : https://blog.gdatasoftware.com/blog/article/the-uroburos-case-new-sophisticated-rat-identified.html