Группировка Turla вооружилась новой версией вредоноса COMpfun

Исследователи безопасности из «Лаборатории Касперского» обнаружили новую версию вредоносного ПО COMpfun, которое контролирует зараженные хосты с помощью механизма, основанного на кодах состояния HTTP. Вредоносная программа была впервые обнаружена в ноябре прошлого года и использовалась группировкой Turla для атак на дипломатические структуры по всей Европе с целью кибершпионажа.

COMpfun представляет собой троян для удаленного доступа (RAT), который заражает устройства жертв, собирает системные данные, осуществляет кейлоггинг и делает скриншоты рабочего стола пользователя. Все собранные данные отправляются на удаленный C&C-сервер. Новая версия вредоноса отличается от старых и помимо классических функций сбора данных также включает два новых дополнения.

Первым изменением оказалась способность отслеживать подключение съемных USB-устройств к зараженному хосту и затем распространяться на новое устройство. Как предполагают эксперты, данный механизм используется Turla для заражения физически изолированных систем.

Второе дополнение — новая система связи с C&C-сервером, не использующая классический шаблон, в котором команды отправляются непосредственно на зараженные хосты в виде HTTP- или HTTPS-запросов, несущих четко определенные команды.

С целью избежания обнаружения Turla разработала новый протокол сервер-клиент на базе кодов состояния HTTP. Коды состояния HTTP — стандартизированные на международном уровне ответы, которые сервер предоставляет подключающемуся клиенту. Коды состояния предоставляют состояние сервера и используются для сообщения дальнейших действий клиенту, например, сбросить соединение, предоставить учетные данные, обновить соединение и пр.

Turla адаптировала базовый механизм сервер-клиент, существовавший на протяжении десятилетий, к протоколу C&C-сервера COMpfun, где имплантаты COMpfun на зараженных хостах играют роль клиентов.