Chế độ “Mail” của ComRAT v4 hoạt động sẽ đọc địa chỉ email và các tập tin tạm (cookie) đã được xác thực lưu trữ tại VFS (Virtual File System), kết nối với giao diện HTML cơ bản của Gmail, phân tích cú pháp hòm thư tới ở trang HTML rồi lấy danh sách email có chủ đề khớp với tập tin “subject.str” trên VFS.
Với mỗi email đáp ứng tiêu chí trên, ComRAT sẽ tải tập tin đính kèm khả dụng và xóa luôn thư điện tử đó để tránh xử lý lại lần hai. Dù chứa định dạng như tập tin Word (.docx) hay Excel (.xlsx) trong tên, các tập đính kèm thực tế không phải tập tin tài liệu mà là tập dữ liệu nhị phân được mã hóa có chứa các lệnh thực thi chuyên biệt như đọc/ghi file, thực thi tiến trình bổ sung, thu thập lịch sử hoạt động…
Kết quả từ các lệnh thực thi sau đó được mã hóa và lưu trữ dạng tập đính kèm rồi gửi trong email vào địa chỉ đích có sẵn trong file VFS.
Dựa trên các mẫu phân phối Gmail trong một tháng, ESET cho biết những kẻ đứng sau chiến dịch này hoạt động ở múi giờ UTC+3 hoặc UTC+4.
“ComRAT v4 lần đầu được phát hiện năm 2017 và tính tới tháng 1.2020 vẫn hoạt động”, chuyên gia bảo mật tại công ty ESET chia sẻ trên THN. Hãng này phát hiện có ít nhất 3 mục tiêu mà phần mềm độc hại nhắm tới gồm Bộ Ngoại giao của hai quốc gia thuộc Tây Âu và một quốc hội thuộc vùng Kavkaz.
Hoạt động gián điệp của Turla bắt đầu với Agent.BTZ năm 2007, sau này phát triển thành ComRAT – công cụ điều khiển từ xa nhằm bổ sung khả năng ăn cắp thông tin từ mạng cục bộ. Chính các phiên bản đầu tiên của Agent.BTZ đã lây nhiễm vào mạng quân sự của Mỹ tại Trung Đông năm 2008. Vài năm trở lại đây, Turla được xác định đứng sau các vụ tấn công vào mạng Lực lượng vũ trang Pháp (FAF) năm 2018 và Bộ Ngoại giao Áo hồi đầu năm nay.
