D’Agent.BTZ à ComRAT, 7 ans d’évolution du programme de cyber-espionnage

eye-500

Les experts G DATA ont analysé l’évolution du malware utilisé dans plusieurs attaques ciblées.

Les cyberattaques ciblant les institutions gouvernementales, les grandes entreprises ou les organisations internationales ont pris de l’ampleur ces dernières années. G DATA a analysé 7 ans d‘évolution de l‘Agent.BTZ, l’une des armes de ces attaques. Détecté pour la première fois en 2008 dans une attaque ciblant le Pentagone américain, il a également éte utilisé en 2014 dans la campagne d’espionnage Uroburos.

En novembre 2014, G DATA mettait à jour la campagne d’attaque Uroburos. Celle-ci avait touché de nombreuses institutions dont notamment les ministères des affaires étrangères belge et finlandais. De cette attaque ont suivi la découverte et l’analyse détaillée d’Agent.BTZ, successeur de ComRAT.
Les experts du G DATA SecurityLabs ont passé au crible Agent.BTZ et ComRAT – au total 46 échantillons différents provenant d’une période de sept ans ont été analysés.

Des évolutions constantes

Jusqu’à la version 3.00, détectée en 2012, des changements mineurs avaient été réalisés dans le logiciel. Ceux-ci se cantonnent à des adaptations liées aux nouvelles versions de Windows, des erreurs de programmation et de nouvelles méthodes de dissimulation. L’arrivée de la version 3.00 est une rupture et à impliqué un changement d’appellation. De nombreuses améliorations sont intégrées, notamment au niveau du mécanisme d’infection et de la communication avec les serveurs de commandes (C&C). Agent.BTZ devient alors ComRAT.
Les analystes G DATA sont certains que le groupe derrière Uroburos, Agent.BTZ et ComRAT va continuer à être actif dans le domaine du malware et de l’APT (Advanced Persistent Threat). D’autres éléments laissent à penser que d’autres attaques sont à attendre.

Related Topics
Author
By
@coesteve1
Related Posts

Readers Comments


Add Your Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

In The News

D’Agent.BTZ à ComRAT, 7 ans d’évolution du programme de cyber-espionnage

eye-500 19th janvier, 2015

Les experts G DATA ont analysé l’évolution du malware utilisé dans plusieurs attaques ciblées.

Les cyberattaques ciblant les institutions gouvernementales, les grandes entreprises ou les organisations internationales ont pris de l’ampleur ces dernières années. G DATA a analysé 7 ans d‘évolution de l‘Agent.BTZ, l’une des armes de ces attaques. Détecté pour la première fois en 2008 dans une attaque ciblant le Pentagone américain, il a également éte utilisé en 2014 dans la campagne d’espionnage Uroburos.

En novembre 2014, G DATA mettait à jour la campagne d’attaque Uroburos. Celle-ci avait touché de nombreuses institutions dont notamment les ministères des affaires étrangères belge et finlandais. De cette attaque ont suivi la découverte et l’analyse détaillée d’Agent.BTZ, successeur de ComRAT.
Les experts du G DATA SecurityLabs ont passé au crible Agent.BTZ et ComRAT – au total 46 échantillons différents provenant d’une période de sept ans ont été analysés.

Des évolutions constantes

Jusqu’à la version 3.00, détectée en 2012, des changements mineurs avaient été réalisés dans le logiciel. Ceux-ci se cantonnent à des adaptations liées aux nouvelles versions de Windows, des erreurs de programmation et de nouvelles méthodes de dissimulation. L’arrivée de la version 3.00 est une rupture et à impliqué un changement d’appellation. De nombreuses améliorations sont intégrées, notamment au niveau du mécanisme d’infection et de la communication avec les serveurs de commandes (C&C). Agent.BTZ devient alors ComRAT.
Les analystes G DATA sont certains que le groupe derrière Uroburos, Agent.BTZ et ComRAT va continuer à être actif dans le domaine du malware et de l’APT (Advanced Persistent Threat). D’autres éléments laissent à penser que d’autres attaques sont à attendre.

By
@coesteve1
backtotop