نوع جدیدی از تروجان دسترسی از راه دور COMpfun کشف شده است که از کدهای وضعیت HTTP برای کنترل سیستمهای آسیبدیدهای که در پویش اخیر علیه نهادهای دیپلماتیک اروپا، هدف قرار گرفتند، استفاده میکند. پژوهشگران کسپرسکی کشف کرد که این بدافزار جاسوسی سایبری که با گروه Turla APT مرتبط است، از طریق یک توزیعکنندهی اولیه منتشر میشود که خود را بهعنوان یک برنامهی ویزا جا میزند.
Turla APT، یک گروه تهدید مستقر در روسیه است که در انجام حملات جاسوسی و حملات watering hole به بخشهای مختلف ازجمله دولتها، سفارتخانهها، ارتش، آموزش، پژوهش و شرکتهای داروسازی سابقهی طولانی دارد.
COMpfun که اولین بار توسط G-Data در سال ۲۰۱۴ میلادی مستندسازی شد، سال گذشته پس از آنکه کسپرسکی متوجه شد که با اجرای حملات مرد میانی در ترافیک وب رمزنگاریشده، از این بدافزار برای جاسوسی از فعالیت مرورگر یک قربانی استفاده میشود، بهروزرسانی شد.
این نوع جدید از COMpfun علاوهبر آنکه بهعنوان یک تروجان دسترسی از راه دور کامل با قابلیت ثبت فشرده شدن کلیدها، اسکرینشاتها و استخراج دادههای حساس عمل میکند، برای انتشار بیشتر بر هر یک از دستگاههای USB قابل جداسازی متصل به سیستمهای آلوده نظارت میکند و دستورات را در قالب کدهای وضعیتHTPP از یک سرور تحت کنترل مهاجم دریافت میکند.
پژوهشگران بیان کردند که یک پروتکل ارتباطی C2 جالب مشاهده کردهاند که از کدهای وضعیت HTTP/HTTPS نادر استفاده میکند. چندین کد وضعیت HTTP از کلاس Client Error به این تروجان اطلاع میدهند که اپراتورها میخواهند چه کاری انجام دهند. پس از آنکه سرور کنترل «Payment Required» را ارسال کرد، همهی دستوراتی که قبلاً دریافت شده بودند، اجرا میشوند.
کدهای وضعیت HTTPپاسخهای استانداردی هستند که توسط یک سرور در پاسخ به درخواست ارسالی یک کلاینت به سرور صادر شدهاند. این بدافزار برای استخراج دادهی سیستم هدف و ارسال به C2 از طریق HTTP/HTTPS، از رمزنگاری RSA استفاده میکند. همچنین برای مخفی کردن داده بهصورت محلی، فشردهسازی LZNT1 و رمزنگاری one-byte XOR را پیادهسازی میکند.
بااینکه نحوهی توزیع برنامهی ویزای مخرب در سیستم هدف بهطور دقیق مشخص نیست، اما توزیعکنندهی اولیه پس از بارگیری، گام بعدی بدافزار را که برقراری ارتباط با سرور فرمان و کنترل با استفاده از یک ماژول HTTP مبتنیبر وضعیت است، اجرا میکند. پژوهشگران کسپرسکی نتیجهگیری کردند که اپراتورهای این بدافزار تمرکز خود را روی نهادهای دیپلماتیک حفظ کردهاند و انتخاب یک برنامهی مرتبط با ویزا بهعنوان بردار آلودگی اولیه به نفع آنها است.
