Атаки COMpfun

Специалисты антивирусной компании «Лаборатория Касперского» обнаружили новый вариант вредоносной программы COMpfun, контролирующей заражённый компьютер с помощью кодов состояния HTTP. Принято считать, что за атаками COMpfun стоит российская правительственная кибергруппировка Turla.

Впервые этот вредонос попал в поле зрения исследователей в ноябре. Киберпреступники используют COMpfun в операциях кибершпионажа против дипломатических представительств в странах Европы. Как объясняют эксперты, не раз столкнувшиеся с атаками Turla, киберпреступная группировка любит использовать нестандартные методы установки вредоносных программ, которые помогают маскировать шпионские кампании.

В последних атаках, по словам экспертов «Лаборатории Касперского», Turla прибегла к новому подходу: используемая в атаках вредоносная программа получает инструкции от командного центра (C&C) в виде кодов состояния HTTP. Именно таким образом действует зловред COMpfun, который на деле представляет собой классический троян удалённого доступа (RAT). Обосновавшись в системе жертвы, COMpfun может собирать информацию о компьютере, фиксировать нажатия клавиш и снимать скриншоты рабочего стола.

Группа угроз

Turla APT, российская группа угроз, имеет давнюю историю проведения шпионских и водопойных атак в различных секторах, включая правительства, посольства, военные, образовательные, исследовательские и фармацевтические компании.

Впервые задокументированный G-Data в 2014 году, COMpfun получил значительное обновление в прошлом году (так называемый «Редуктор») после того, как Касперский обнаружил, что вредоносное ПО использовалось для слежки за действиями жертвы в браузере путем организации атак «человек посередине» (MitM). На зашифрованный веб-трафик через твик в генераторе случайных чисел браузера (PRNG).

Способность захватывать нажатия клавиш

В дополнение к функционированию в качестве полнофункциональной RAT, способной захватывать нажатия клавиш, снимки экрана и экранировать конфиденциальные данные, этот новый вариант COMpfun отслеживает любые съемные USB-устройства, подключенные к зараженным системам, для дальнейшего распространения и получает команды от контролируемого злоумышленником сервера. В виде кодов состояния HTTP.

 

«Мы наблюдали интересный протокол связи C2, использующий редкие коды состояния HTTP / HTTPS (см. IETF RFC 7231, 6585, 4918)», — сказали исследователи. «Несколько кодов состояния HTTP (422-429) из класса Client Error позволяют троянцу знать, что хотят делать операторы. После того, как сервер управления отправляет статус« Требуется оплата »(402), все эти ранее полученные команды выполняются».

 

Коды состояния HTTP — это стандартизированные ответы, выдаваемые сервером в ответ на запрос клиента к серверу. С помощью удаленных команд в виде кодов состояния идея состоит в том, чтобы скрыть любое обнаружение вредоносной активности при сканировании интернет-трафика.

 

 

«Авторы хранят открытый ключ RSA и уникальный HTTP ETag в зашифрованных данных конфигурации. Созданный по причинам кэширования веб-содержимого, этот маркер также можно использовать для фильтрации нежелательных запросов к C2, например, тех, которые поступают от сетевых сканеров, а не от целей. «

 

«Для эксфильтрации данных цели в C2 через HTTP / HTTPS вредоносная программа использует шифрование RSA. Для локального скрытия данных троянец использует сжатие LZNT1 и однобайтовое шифрование XOR».

 

В то время как точный способ действия, определяющий, как вредоносное визовое приложение доставляется к цели, остается неясным, первоначальная дроппер при загрузке запускает следующую стадию вредоносного ПО, которое обменивается данными с сервером командования и управления (C2) с использованием статуса HTTP модуль.

 

«Операторы вредоносных программ сохранили свое внимание к дипломатическим структурам и выбору визового приложения, хранящегося в каталоге, совместно используемом в локальной сети, поскольку первоначальный вектор заражения работал в их пользу», — заключили исследователи Касперского.

 

«Сочетание индивидуального подхода к их целям и способности генерировать и воплощать их идеи, безусловно, делает разработчиков COMpfun сильной атакующей командой.

Источник: www.thehackernews.com

Перевод: Анна М.

Понравилась статья? У нас таких есть еще — www.cryptocity.tech