E安全5月19日讯,近日据外媒报道,来自卡巴斯基的安全研究人员发现了一种新版本COMpfun恶意软件,该恶意软件使用了一种依赖于HTTP状态代码的机制来控制受感染的主机。据了解,该恶意软件于去年11月首次被发现,并已经部署在针对欧洲外交机构的攻击中。
据悉,这次袭击是由一个名为Turla的黑客组织发起的,卡巴斯基研究人员认为该组织是由俄罗斯国家资助的威胁行动,一直从事网络间谍活动,而且Turla具有使用非标准和创新方法来构建恶意软件并进行隐式攻击的较高水平。
在近日发表的一份报告中,卡巴斯基披露了Turla的另一项新技术恶意软件,它以HTTP状态码的形式接收来自命令与控制(C&C)服务器的指令。这种特定的恶意软件被称为COMpfun,是一种典型的远程访问木马(RAT),它可以感染受害者,然后收集系统数据,记录击键并获取用户桌面的屏幕快照,最后所有收集的数据都会被泄漏到远程C&C服务器上。
据了解,第一个COMpfun恶意软件是在首次吸引了研究人员的目光,但是卡巴斯基表示,他们去年发现了一款新型COMpfun软件版本,这个新的升级版本不同于旧的COMpfun迭代。
卡巴斯基表示,除了经典的RAT数据收集功能外,新的COMpfun版本还包括两个新功能。首先是它能够监视USB可移动设备何时连接到受感染的主机,然后将自身信息传播到新设备上。第二个是新的C&C通信系统,根据卡巴斯基的说法,这种新的C&C恶意软件协议并没有使用经典操作模式。因为,安全研究人员和安全产品通常会扫描HTTP / HTTPS流量以查找类似的恶意软件命令模式。当安全人员在HTTP标头或流量中看到类似CLI的参数时,表明正在发生恶意行为。为了避免这种类型的检测,Turla小组开发了一种新型基于HTTP状态代码的服务器,也就是客户端C&C协议。
此次卡巴斯基对于COMpfun的报告再次说明了为什么Turla被认为是当今最复杂的网络间谍组织之一。因为它不仅具有针对外交机构的目标,同时该组织在隐身上投入了大量资金,而俄罗斯许多国家黑客组织并没有这样做,大多数黑客组织的运作都是非常杂乱的,但Turla是一个有逻辑的整体。
