بدافزار جدید از کدهای وضعیت HTTP برای کنترل سیستم‌های هک‌شده استفاده می‌کند

نوع جدیدی از تروجان دسترسی از راه دور COMpfun کشف شده است که از کدهای وضعیت HTTP برای کنترل سیستم‌های آسیب‌دیده‌ای که در پویش اخیر علیه نهادهای دیپلماتیک اروپا، هدف قرار گرفتند، استفاده می‌کند. پژوهش‌گران کسپرسکی کشف کرد که این بدافزار جاسوسی سایبری که با گروه Turla APT مرتبط است، از طریق یک توزیع‌کننده‌ی اولیه منتشر می‌شود که خود را به‌عنوان یک برنامه‌ی ویزا جا می‌زند.

Turla APT، یک گروه تهدید مستقر در روسیه است که در انجام حملات جاسوسی و حملات watering hole به بخش‌های مختلف ازجمله دولت‌ها، سفارتخانه‌ها، ارتش، آموزش، پژوهش و شرکت‌های داروسازی سابقه‌ی طولانی دارد.

COMpfun که اولین بار توسط G-Data در سال ۲۰۱۴ میلادی مستندسازی شد، سال گذشته پس از آن‌که کسپرسکی متوجه شد که با اجرای حملات مرد میانی در ترافیک وب رمزنگاری‌شده، از این بدافزار برای جاسوسی از فعالیت مرورگر یک قربانی استفاده می‌شود، به‌روزرسانی شد.

این نوع جدید از COMpfun علاوه‌بر آن‌که به‌عنوان یک تروجان دسترسی از راه دور کامل با قابلیت ثبت فشرده شدن کلیدها، اسکرین‌شات‌ها و استخراج داده‌های حساس عمل می‌کند، برای انتشار بیشتر بر هر یک از دستگاه‌های USB قابل جداسازی متصل به سیستم‌های آلوده نظارت می‌کند و دستورات را در قالب کدهای وضعیتHTPP  از یک سرور تحت کنترل مهاجم دریافت می‌کند.

پژوهش‌گران بیان کردند که یک پروتکل ارتباطی C2 جالب مشاهده کرده‌اند که از کدهای وضعیت HTTP/HTTPS  نادر استفاده می‌کند. چندین کد وضعیت HTTP  از کلاس Client Error به این تروجان اطلاع می‌دهند که اپراتورها می‌خواهند چه کاری انجام دهند. پس از آن‌که سرور کنترل «Payment Required» را ارسال کرد، همه‌ی دستوراتی که قبلاً دریافت شده بودند، اجرا می‌شوند.

کدهای وضعیت  HTTPپاسخ‌های استانداردی هستند که توسط یک سرور در پاسخ به درخواست ارسالی یک کلاینت به سرور صادر شده‌اند. این بدافزار برای استخراج داده‌ی سیستم هدف و ارسال به C2 از طریق HTTP/HTTPS، از رمزنگاری RSA استفاده می‌کند. همچنین برای مخفی کردن داده به‌صورت محلی، فشرده‌سازی LZNT1 و رمزنگاری one-byte XOR را پیاده‌سازی می‌کند.

بااین‌که نحوه‌ی توزیع برنامه‌ی ویزای مخرب در سیستم هدف به‌طور دقیق مشخص نیست، اما توزیع‌کننده‌ی اولیه پس از بارگیری، گام بعدی بدافزار را که برقراری ارتباط با سرور فرمان و کنترل با استفاده از یک ماژول HTTP مبتنی‌بر وضعیت است، اجرا می‌کند. پژوهش‌گران کسپرسکی نتیجه‌گیری کردند که اپراتورهای این بدافزار تمرکز خود را روی نهادهای دیپلماتیک حفظ کرده‌اند و انتخاب یک برنامه‌ی مرتبط با ویزا به‌عنوان بردار آلودگی اولیه به نفع آن‌ها است.

منبع

پست‌های مشابه

Leave a Comment