COMpfun - mã độc điều khiển qua mã trạng thái HTTP

08:00 | 01/06/2020 | HACKER / MALWARE

Một phiên bản mới của trojan truy cập từ xa COMpfun đã bị phát hiện sử dụng mã trạng thái HTTP để kiểm soát các hệ thống bị xâm nhập trong chiến dịch chống lại các tổ chức ngoại giao ở châu Âu.

COMpfun - mã độc điều khiển qua mã trạng thái HTTP

Được phát hiện bởi nhóm phân tích và nghiên cứu toàn cầu Kaspersky, phần mềm độc hại này được cho là bắt nguồn từ nhóm tin tặc tấn công có chủ đích Turla, với mức độ tin cậy từ trung bình xuống thấp, dựa trên lịch sử của các nạn nhân bị xâm nhập. COMpfun lây nhiễm bằng việc giả danh một đơn xin thị thực visa.

Turla là nhóm tin tặc đến từ Nga, nổi tiếng trong hoạt động gián điệp và các cuộc tấn công có chủ đích (Advanced Persistent Threat - APT) vào các tổ chức chính phủ, đại sứ quán, quân sự, giáo dục, nghiên cứu và các công ty dược phẩm.

Mã độc hại COMpfun được phát hiện lần đầu tiên vào năm 2014 theo báo cáo của G-Data (công ty bảo mật của Đức). Năm 2019, COMpfun đã nhận được một bản nâng cấp có tên gọi Reductor. Kaspersky đã phát hiện ra phần mềm độc hại này khi nó theo dõi hoạt động trình duyệt của người dùng bằng tấn công người đứng giữa (Man in the midle - MitM) trên lưu lượng truy cập web được mã hóa thông qua một tinh chỉnh trong trình tạo số ngẫu nhiên (pseudorandom number generator - PRNG) của trình duyệt.

Cách thức lây nhiễm của COMpfun

Ngoài các chức năng phổ biến của một RAT, biến thể mới này cho phép giám sát hoạt động của bất kỳ thiết bị USB và thực hiện phát tán qua thiết bị. Sau đó, mã độc nhận lệnh từ máy chủ do kẻ tấn công kiểm soát dưới dạng mã trạng thái HTTP.

Nhóm các nhà nghiên cứu cho biết: "Chúng tôi đã quan sát một giao thức truyền thông thú vị qua máy chủ điều khiển (Command and Control – C2) và mã độc là tận dụng mã trạng thái HTTP/HTTPS hiếm gặp. Một số mã trạng thái HTTP (422-429) từ lớp lỗi phía máy khách (Client Error class) cho phép Trojan biết các yêu cầu thực thi. Sau khi máy chủ điều khiển gửi trạng thái “Payment Required” (402), thì tất cả các lệnh đã nhận trước đó sẽ được thực thi".

Một số mã trạng thái HTTP được COMpfun sử dụng

Cùng với đó, mã trạng thái HTTP là các phản hồi được tiêu chuẩn hóa do máy chủ đưa ra để đáp ứng yêu cầu của người dùng gửi đến máy chủ. Bằng cách tạo các lệnh từ xa dưới dạng mã trạng thái, nhằm làm xáo trộn mọi hoạt động độc hại được phát hiện trong khi quét lưu lượng truy cập Internet.

Tác giả của phần mềm độc hại này nắm giữ khóa công khai RSA và HTTP ETag duy nhất trong dữ liệu cấu hình được mã hóa. Nó được tạo để lưu trữ nội dung web, lọc các yêu cầu không mong muốn đối với C2. Để lọc dữ liệu sang C2 qua HTTP/HTTPS, COMpfun sử dụng mã hóa RSA và sử dụng nén LZNT1 với mã hóa XOR một byte để ẩn dữ liệu cục bộ.

Hiện nay, COMpfun vẫn nhằm mục tiêu vào các tổ chức ngoại giao và lựa chọn một ứng dụng liên quan đến việc cấp visa (có tính năng lưu trữ trên một thư mục được chia sẻ trong mạng cục bộ). Với cách tiếp cận phù hợp và mục tiêu cụ thể, COMpfun có thể trở thành một mối nguy hiểm không nhỏ trên không gian mạng trong thời gian tới.

M.H

(The Hacker news)

‹ › ×

Tin liên quan

Microsoft cảnh báo về mã độc tống tiền tấn công hệ thống y tế

11:00 | 12/04/2020

Mới đây, Microsoft đã thông báo về nguy cơ mất an toàn thông tin cho hàng chục bệnh viện có cơ sở hạ tầng với thiết bị cổng và VPN dễ bị tổn thương.

Phát hiện 4 biến thể mới của HTTP Request Smuggling

13:00 | 07/09/2020

Một nghiên cứu gần đây đã tiết lộ về 4 biến thể mới của kỹ thuật tấn công HTTP request smuggling. Chúng được sử dụng để nhắm tới các máy chủ web và máy chủ proxy HTTP thương mại. Các biến thể này đã cho thấy máy chủ web và máy chủ proxy HTTP vẫn dễ bị ảnh hưởng bởi HTTP request smuggling mặc dù nó đã được phát hiện lần đầu tiên từ 15 năm trước.

10 lưu ý giúp phòng ngừa mã độc tống tiền cho doanh nghiệp

09:00 | 14/04/2020

Một trong những tấn công mạng để lại hậu quả nặng nề nhất về kinh tế đó là mã độc tống tiền. Khi bị lây nhiễm mã độc này, nạn nhân thường phải chi trả một khoản tiền lớn để lấy lại các dữ liệu quan trọng bị mã hóa.

Câu chuyện về mã độc nguy hiểm NotPetya

09:00 | 21/04/2020

Năm 2017, mã độc NotPetya phát tán với phạm vi trên khắp thế giới. Bắt đầu từ một công ty phần mềm khiêm tốn ở Ukraina, NotPetya lây nhiễm đến một trong những tập đoàn lớn nhất thế giới, làm tê liệt mọi hoạt động của họ. Bài viết dưới đây sẽ làm sáng tỏ câu chuyện về NotPetya - mã độc gây thiệt hại lớn nhất từ trước đến nay.

Tin cùng chuyên mục

Tội phạm mạng sử dụng AI để phát tán phần mềm độc hại trong các chiến dịch lừa đảo trên mạng xã hội

10:00 | 22/04/2024

Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.

Chiến dịch phần mềm Sign1 đã xâm phạm hơn 39.000 trang web WordPress

09:00 | 02/04/2024

Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.

Quỹ Tiền tệ Quốc tế bị tấn công mạng

15:00 | 25/03/2024

Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.

Tin tặc Mustang Panda nhắm mục tiêu vào các quốc gia châu Á với biến thể mới của PlugX

09:00 | 06/03/2024

Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.