Carbon Backdoor

Carbon Backdoor est un logiciel malveillant développé par le groupe de piratage Turla en privé. Cette organisation de cybercriminalité est l'un des noms les plus connus dans le domaine de la recherche sur les logiciels malveillants, et ses attaques ont troublé les entreprises et les organisations de divers secteurs. La porte arrière en carbone, en particulier, est souvent utilisée comme charge utile secondaire. Les criminels comptent généralement sur les e-mails de spear-phishing pour atteindre leurs victimes, et ils utilisent souvent des sujets tendance pour donner plus de crédibilité à leurs messages. Dans d'autres cas, le Carbon Backdoor a été livré aux victimes via la soi-disant "attaque au point d'eau'' - cette stratégie fonctionne en compromettant un site Web, que la cible utilise, puis en l'utilisant pour fournir une charge utile menaçante.

Le but principal de la Carbon Backdoor semble être le vol de données. Cependant, les chercheurs notent que le fichier de configuration du cheval de Troie a une ligne très particulière appelée «PLUGINS». Cela signifie probablement que Carbon Backdoor a une structure modulaire et que ses opérateurs peuvent exécuter des plugins supplémentaires pour étendre les fonctionnalités du malware.

La Carbon Backdoor possède également certaines fonctionnalités destinées à rendre ses communications et son activité plus difficiles à analyser. Il ne transmettra pas de données au serveur Command & Control avant de vérifier la présence de noms de processus particuliers liés au logiciel de capture de paquets réseau. Si aucune correspondance n'est trouvée, le Carbon Backdoor continuera à transmettre des données et des informations.

La Carbon Backdoor a subi plusieurs mises à jour importantes, ce qui n'est pas une surprise compte tenu de l'activité habituelle de Turla. Les membres du groupe s'efforcent de retravailler et de mettre à jour leurs charges utiles une fois qu'elles ont été découvertes et analysées correctement. Les acteurs APT (Advanced Persistent Threat) améliorent toujours leur jeu, et leurs cibles probables doivent prendre les précautions nécessaires pour maintenir la sécurité de leur réseau à jour.