Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Группировка Turla вооружилась новой версией вредоноса COMpfun (http://txgate.io:443/showthread.php?t=16983)

Artifact 02-21-2025 01:53 AM

Вредонос контролирует зараженные хосты с помощью механизма, основанного на кодах состояния HTTP.
https://www.securitylab.ru/upload/ib...4ca1593db4.jpg
Исследователи безопасности из «Лаборатории Касперского» https://securelist.com/compfun-http-...-trojan/96874/новую версию вредоносного ПО COMpfun, которое контролирует зараженные хосты с помощью механизма, основанного на кодах состояния HTTP. Вредоносная программа была впервые обнаружена в ноябре прошлого года и использовалась группировкой Turla для атак на дипломатические структуры по всей Европе с целью кибершпионажа.
COMpfun представляет собой троян для удаленного доступа (RAT), который заражает устройства жертв, собирает системные данные, осуществляет кейлоггинг и делает скриншоты рабочего стола пользователя. Все собранные данные отправляются на удаленный C&C-сервер. Новая версия вредоноса отличается от старых и помимо классических функций сбора данных также включает два новых дополнения.
Первым изменением оказалась способность отслеживать подключение съемных USB-устройств к зараженному хосту и затем распространяться на новое устройство. Как предполагают эксперты, данный механизм используется Turla для заражения физически изолированных систем.
Второе дополнение — новая система связи с C&C-сервером, не использующая классический шаблон, в котором команды отправляются непосредственно на зараженные хосты в виде HTTP- или HTTPS-запросов, несущих четко определенные команды.
С целью избежания обнаружения Turla разработала новый протокол сервер-клиент на базе кодов состояния HTTP. Коды состояния HTTP — стандартизированные на международном уровне ответы, которые сервер предоставляет подключающемуся клиенту. Коды состояния предоставляют состояние сервера и используются для сообщения дальнейших действий клиенту, например, сбросить соединение, предоставить учетные данные, обновить соединение и пр.
Turla адаптировала базовый механизм сервер-клиент, существовавший на протяжении десятилетий, к протоколу C&C-сервера COMpfun, где имплантаты COMpfun на зараженных хостах играют роль клиентов.


All times are GMT. The time now is 01:52 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.