Группировка Turla вооружилась новой версией вредоноса COMpfun

Пт 15 Май 2020 11:01

Исследователи безопасности из «Лаборатории Касперского» обнаружили новую версию вредоносного ПО COMpfun, которое контролирует зараженные хосты с помощью механизма, основанного на кодах состояния HTTP. Вредоносная программа была впервые обнаружена в ноябре прошлого года и использовалась группировкой Turla для атак на дипломатические структуры по всей Европе с целью кибершпионажа.

COMpfun представляет собой троян для удаленного доступа (RAT), который заражает устройства жертв, собирает системные данные, осуществляет кейлоггинг и делает скриншоты рабочего стола пользователя. Все собранные данные отправляются на удаленный C&C-сервер. Новая версия вредоноса отличается от старых и помимо классических функций сбора данных также включает два новых дополнения.

Первым изменением оказалась способность отслеживать подключение съемных USB-устройств к зараженному хосту и затем распространяться на новое устройство. Как предполагают эксперты, данный механизм используется Turla для заражения физически изолированных систем.

Второе дополнение — новая система связи с C&C-сервером, не использующая классический шаблон, в котором команды отправляются непосредственно на зараженные хосты в виде HTTP- или HTTPS-запросов, несущих четко определенные команды.

С целью избежания обнаружения Turla разработала новый протокол сервер-клиент на базе кодов состояния HTTP. Коды состояния HTTP — стандартизированные на международном уровне ответы, которые сервер предоставляет подключающемуся клиенту. Коды состояния предоставляют состояние сервера и используются для сообщения дальнейших действий клиенту, например, сбросить соединение, предоставить учетные данные, обновить соединение и пр.

Turla адаптировала базовый механизм сервер-клиент, существовавший на протяжении десятилетий, к протоколу C&C-сервера COMpfun, где имплантаты COMpfun на зараженных хостах играют роль клиентов.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 258 дней 18 часов 31 минута 31 секунда
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.