Группировка Turla вооружилась новой версией вредоноса COMpfun

Группировка Turla вооружилась новой версией вредоноса COMpfun

Вредонос контролирует зараженные хосты с помощью механизма, основанного на кодах состояния HTTP.

Исследователи безопасности из «Лаборатории Касперского» обнаружили новую версию вредоносного ПО COMpfun, которое контролирует зараженные хосты с помощью механизма, основанного на кодах состояния HTTP. Вредоносная программа была впервые обнаружена в ноябре прошлого года и использовалась группировкой Turla для атак на дипломатические структуры по всей Европе с целью кибершпионажа.

COMpfun представляет собой троян для удаленного доступа (RAT), который заражает устройства жертв, собирает системные данные, осуществляет кейлоггинг и делает скриншоты рабочего стола пользователя. Все собранные данные отправляются на удаленный C&C-сервер. Новая версия вредоноса отличается от старых и помимо классических функций сбора данных также включает два новых дополнения.

Первым изменением оказалась способность отслеживать подключение съемных USB-устройств к зараженному хосту и затем распространяться на новое устройство. Как предполагают эксперты, данный механизм используется Turla для заражения физически изолированных систем.

Второе дополнение — новая система связи с C&C-сервером, не использующая классический шаблон, в котором команды отправляются непосредственно на зараженные хосты в виде HTTP- или HTTPS-запросов, несущих четко определенные команды.

С целью избежания обнаружения Turla разработала новый протокол сервер-клиент на базе кодов состояния HTTP. Коды состояния HTTP — стандартизированные на международном уровне ответы, которые сервер предоставляет подключающемуся клиенту. Коды состояния предоставляют состояние сервера и используются для сообщения дальнейших действий клиенту, например, сбросить соединение, предоставить учетные данные, обновить соединение и пр.

Turla адаптировала базовый механизм сервер-клиент, существовавший на протяжении десятилетий, к протоколу C&C-сервера COMpfun, где имплантаты COMpfun на зараженных хостах играют роль клиентов.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!