استفاده بدافزار COMpfun از کدهای وضعیت HTTP برای کنترل سیستم‌های هک شده

یافته‌های محققان امنیتی شرکت کسپرسکی نشان می‌دهد که بدافزار COMpfun از کدهای وضعیت HTTP برای کنترل سیستم‌های هک شده استفاده می‌کند. گفته می‌شود این بدافزار مربوط به هکرهای گروه Turla است.
۲۷ اردیبهشت ۱۳۹۹

براساس خبرهای منتشر شده نسخه جدیدی از بدافزار دسترسی از راه دور COMpfun شناسایی شده است که از کدهای وضعیت HTTP برای کنترل سیستم‌های مورد هدف که اکثرا نهاد‌های سیاسی در اروپا هستند استفاده می‌کند.

تیم محققان کسپرسکی دریافتند این بدافزار جاسوسی سایبری که مرتبط با گروه هک دولتی Turla است، از طریق یک ابزار ابتدایی که خود را به عنوان یک درخواست نامه ویزا جا می‌زند در سیستم‌های قربانیان گسترش می‌یابد. Turla یک گروه مهاجم روسی است که تاریخچه‌ای طولانی در اجرای حملات جاسوسی و حملات سایبری علیه دولت‌ها، سفارت‌ها، نهادهای نظامی، آموزشی و شرکت‌های داروسازی دارد.

محققان دریافته‌اند که بدافزار COMpfun برای جاسوسی در فعالیت‌های مرورگر قربانیان با استفاده از حمله مرد میانی در ترافیک رمزگذاری شده وب مورد استفاده قرار می‌گیرد. این بدافزار علاوه بر دارا بودن همه قابلیت‌های یک تروجان دسترسی از راه دور مانند توانایی به‌دست گرفتن کنترل کیبورد، گرفتن اسکرین‌شات، استخراج اطلاعات حساس، همچنین قادر به تحت نظر گرفتن دستگاه‌های متصل از طریق پورت USB است که عموما به‌منظور گسترش بیشتر بدافزار و دریافت فرمان از سرور تحت کنترل مهاجم در قالب کدهای وضعیت HTTP است.

استفاده بدافزار COMpfun از کدهای وضعیت HTTP برای کنترل سیستم‌های هک شده

همچنین براساس اطلاعات موجود، این بدافزار برای استخراج اطلاعات قربانی و انتقال آن به سرور کنترل و فرمان از رمزگذاری RSA استفاده می‌کند.

کدهای وضعیت HTTP پاسخ‌های استاندارد هستند که توسط سرور برای پاسخ به درخواست یک کاربر از سوی سرورها ارسال می‌شوند. هدف از منتشر کردن فرمان‌های از راه دور به صورت کدهای وضعیت، مبهم‌سازی هر گونه شناسایی فعالیت مخرب هنگام اسکن کردن ترافیک اینترنت است.

محققان کسپرسکی اظهار کرده‌اند که تمرکز مهاجمان روی نهادهای سیاسی بوده و روشی که انتخاب کرده‌اند نیز (ارائه بدافزار در قالب فرم درخواست ویزا) عملکرد مثبتی داشته است. ترکیب یک رویکرد متناسب و همچنین توانایی تولید و اجرای ایده‌های خاص، توسعه‌دهندگان بدافزار COMpfun را به یک گروه مهاجم قوی تبدیل کرده است.

 

 

توضیحات بیشتر:

HTTP Status Codes Command This Malware How to Control Hacked Systems