Menu dostępności

Malware wykorzystujący kody odpowiedzi HTTP do komunikacji z serwerem C2

Zespół specjalistów z Kaspersky odkrył i opisał nową, usprawnioną wersję popularnego malware COMpfun. Malware ten jest z kategorii Remote Access Trojan (RAT) i wykorzystywany jest prawdopodobnie przez grupę Turla APT, która atakuje podmioty dyplomatyczne w Europie.
Początkowo malware ten podszywał się pod legalną aplikację Visa, która faktycznie instaluje aplikację płatniczą, ale oprócz tego również trojana. Co, przykuło naszą uwagę to dwie nowe funkcjonalności w tej wersji wirusa. Po pierwsze, gdy do zainfekowanego systemu zostanie podłączone wymienne urządzenie USB, to COMpfun będzie próbował zaszyć się na nim w celu przeniesienia się na więcej urządzeń. Drugą ciekawą funkcją jest wykorzystanie status kodów HTTP/HTTPS do zdalnego sterowania malware.

źródło: securelist.com

Sam malware COMpfun obserwowany jest w cyberatakach od 2014 roku. Wyposażony w podstawowe moduły do szpiegowania i eksfiltracji danych takie jak keylogger czy przechwytywanie ekranu i atakuje kluczowe podmioty polityczne i gospodarcze w Europie. Z jaką skutecznością – tego do końca nie wiemy. Jednak to aktualizacja trojana, zwana „Reduktor” wywołała ostatnio spore zamieszanie w środowisku cyberbezpieczeństwa. Oprócz automatycznej propagacji na podłączone urządzenia po USB, teraz trojan zdolny jest do odbierania i wykonywania poleceń osoby atakującej, która przesyła rozkazy w postaci kodów stanu HTTP. Ta innowacyjna metoda powoduje, że ruch od serwera C2 jest uznawany za normalne działanie i zwracanie standardowych odpowiedzi serwera HTTP.

źródło: sceurelist.com

„Zaobserwowaliśmy interesujący protokół komunikacyjny C2 wykorzystujący rzadkie kody statusu HTTP / HTTPS”- powiedzieli specjaliści z Kaspersky. „Kilka kodów statusu HTTP (422–429) z klasy „błąd klienta” informuje trojana, co operator żąda, aby wykonał. Po tym, jak serwer Command & Control wyśle status „Wymagana płatność” (402), wszystkie wcześniej odebrane polecenia zostaną wykonane.”

Kody statusu HTTP to znormalizowane wiadomości wysyłane przez serwer w odpowiedzi na żądanie klienta. Atakujący wydając polecenia zdalne w postaci tych kodów, zaciemnia wykrycie szkodliwej aktywności podczas skanowania i analizy ruchu sieciowego.

Aby wyeksportować skradzione dane do C2 przez HTTP / HTTPS, szkodliwe oprogramowanie wykorzystuje szyfrowanie RSA. Aby ukryć dane lokalnie, trojan implementuje kompresję LZNT1 i jednobajtowe szyfrowanie XOR.

Operatorzy tego szkodliwego oprogramowania nadal koncentrują się na placówkach dyplomatycznych i wybierają zainfekowaną aplikację związaną z płatnością Visa. Nie wykluczone jednak, że rozszerzą swoją działalność na inne cele oraz zmienią wektor ataku. Programiści odpowiedzialni za COMpfun wykazali się inwencją i zaimplementowali metodę, która jest w stanie przechytrzyć większość sieciowych narzędzi do bezpieczeństwa. Warto znać takie zagrożenia i być na nie przygotowanym.

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...