Группировка Turla использует коды состояния HTTP для управления шпионом

Группировка Turla использует коды состояния HTTP для управления шпионом

Специалисты антивирусной компании «Лаборатория Касперского» обнаружили новый вариант вредоносной программы COMpfun, контролирующей заражённый компьютер с помощью кодов состояния HTTP. Принято считать, что за атаками COMpfun стоит российская правительственная кибергруппировка Turla.

Впервые этот вредонос попал в поле зрения исследователей в ноябре. Киберпреступники используют COMpfun в операциях кибершпионажа против дипломатических представительств в странах Европы.

Как объясняют эксперты, не раз столкнувшиеся с атаками Turla, киберпреступная группировка любит использовать нестандартные методы установки вредоносных программ, которые помогают маскировать шпионские кампании.

В последних атаках, по словам экспертов «Лаборатории Касперского», Turla прибегла к новому подходу: используемая в атаках вредоносная программа получает инструкции от командного центра (C&C) в виде кодов состояния HTTP.

Именно таким образом действует зловред COMpfun, который на деле представляет собой классический троян удалённого доступа (RAT). Обосновавшись в системе жертвы, COMpfun может собирать информацию о компьютере, фиксировать нажатия клавиш и снимать скриншоты рабочего стола.

Помимо этого, киберпреступники оснастили COMpfun ещё двумя нововведениями. Во-первых, вредоносная программа теперь мониторит подключение USB-устройств к заражённому компьютеру — это помогает распространять зловред и на другие устройства.

Во-вторых, злоумышленники переработали принцип взаимодействия с командным сервером. Чтобы скрыть отправляемые вредоносу команды, операторы Turla разработали собственный протокол, использующий коды состояния HTTP.

Например, если сервер отвечает COMpfun сначала кодом 402, а затем — 200, вредонос загрузит все собранные данные на сервер злоумышленников. С частичным списком команд можно ознакомиться ниже:

 

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

PT Application Inspector и BlackBox интегрированы с Платформой Сфера

Positive Technologies и НОТА (входит в Холдинг Т1) объявили об интеграции своих продуктов. Внедрение PT Application Inspector и PT BlackBox в DevOps-конвейер Платформы Сфера призвано повысить надежность и эффективность создаваемых веб-приложений.

Возможность использования анализатора кода PT Application Inspector и сканера PT BlackBox на платформе для производства софта позволяет выявлять и устранять уязвимости и другие проблемы на ранних этапах жизненного цикла ИТ-продуктов, а также ускорить эти процессы.

Число атак в российском сегменте интернета растет, и агрессоры чаще всего используют уязвимости в веб-приложениях. В прошлом году наличие таких лазеек, по данным экспертов, зачастую приводило к утечке данных, и эти угрозы сохранят актуальность даже в эпоху квантовых вычислений.

«Результаты внешних пентестов наших экспертов показывают, что чаще всего злоумышленники используют уязвимости именно веб-приложений, чтобы проникнуть во внутреннюю корпоративную сеть, — комментирует Иван Соломатин, руководитель развития бизнеса защиты приложений в PT. — Более того, в 2024 году мы прогнозируем рост числа атак на веб-ресурсы организаций, в особенности это коснется компаний, которые предоставляют онлайн-услуги и собирают большие объемы данных о клиентах».

Расширение возможностей Платформы Сфера за счет интеграции продуктов PT позволяет реализовать столь необходимый сейчас подход DevSecOps. Партнеры надеются, что их совместные усилия по достоинству оценят и разработчики ИТ-решений, и их клиенты.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru