据国外卡巴斯基方面消息,其安全研究人员发现了一个新版本的COMpfun远程访问木马(RAT),最近一次针对欧洲外交实体利用受感染系统使用HTTP状态代码来控制实现攻击。卡巴斯基全球研究与分析团队发现,网络间谍软件是根据最初的投递器传播的,攻击者根据受害受害者的历史可追溯到Turla APT。Turla APT,也被称为Venomous Bear、Waterbug和Uroboros,据国内外安全媒体报道 ,认为其是迄今为止最为高级的威胁组织之一,并被认为隶属于俄罗斯政府(该组织成员均说俄语)。该组织被成立不晚于2007年,014年被卡巴斯基实验室发现。该组织被证实能够利用卫星通信中固有的安全漏洞,实现隐藏其C&C服务器的位置和控制中心,以至于难以跟踪。这里再简单插一句HTTP状态码的概念,HTTP状态码(英语:HTTP Status Code)是用以表示网页服务器超文本传输协议响应状态的3位数字代码。它由 RFC 2616 规范定义的,并得到 RFC 2518、RFC 2817、RFC 2295、RFC 2774 与 RFC 4918 等规范扩展。所有状态码的第一个数字代表了响应的五种状态之一。所示的消息短语是典型的,但是可以提供任何可读取的替代方案。 除非另有说明,状态码是HTTP / 1.1标准(RFC 7231)的一部分。HTTP状态码的官方注册表由互联网号码分配局(Internet Assigned Numbers Authority)维护。Turla APT威胁组织总部位于俄罗斯,在进行间谍活动和水坑攻击方面有着悠久的历史,攻击范围遍及各个部门,包括政府、大使馆、军事、教育、研究和制药公司等。COMpfun于2014年 由G-Data首次记录,并于去年进行了重大升级(称为“ Reductor”).卡巴斯基方面发现恶意软件被用来通过进行中间人(MitM)攻击,监视受害者的浏览器活动,通过调整浏览器的随机数生成器(PRNG)来处理加密的网络流量。
除了作为功能齐全的RAT能够捕获键盘、屏幕截图和泄露敏感数据外,COMpfun的新变体还监视插入受感染系统的所有可移动USB设备,以进一步传播并接收来自攻击者控制的服务器的命令以HTTP状态代码的形式。安全研究人员观察到了一种极少使用HTTP / HTTPS状态码(参阅:IETF RFC 7231、6585、4918)与C2通信。通过来自客户端的几个HTTP错误类的状态代码(422-429),特洛伊木马能够识别操作员想要做什么。控制服务器发送状态为402后,所有先前接收的命令都将执行。HTTP状态代码是服务器响应客户端对服务器的请求而发出的标准化响应。通过以状态码的形式发出远程命令,其思想是在扫描互联网流量时消除对恶意活动的任何检测。攻击者将RSA公钥和唯一的HTTP ETag保留在加密的配置数据中。基于Web缓存内容的创建,此标记可以用于过滤对C2的不需要的请求,为了通过HTTP / HTTPS将目标数据泄露到C2,恶意软件使用RSA加密。为了在本地隐藏数据,特洛伊木马实现了LZNT1压缩和一字节XOR加密。虽然尚不清楚确切方式实现恶意签证申请交付给目标,但最初的删除程序在下载后会运行下一阶段的恶意软件,该恶意软件使用HTTP状态与命令和控制(C2)服务器进行基于模块的通信。
卡巴斯基研究人员认为由于最初的感染媒介对他们有利,恶意软件操作员将精力集中在外交实体上,并且选择了与签证相关的应用程序,存储在本地网络中共享的目录中,针对目标人群量身定制方法以及产生和执行想法的能力的结合,由此可见COMpfun背后的开发人员是一支强大的进攻团队。
微软2020年5月份于补丁日针对111个安全漏洞发布补丁
SaltStack研究显示百分之七十的公司牺牲安全性以加快创新
以色列大学研究出新恶意软件通过操纵电源转化成音频跳过网闸保护
黑客利用SaltStack漏洞破坏LineageOS,Ghost和DigiCert服务器
成千上万的数据中心受严重的SaltStack RCE错误(CVSS得分10)影响
本站仅提供存储服务,所有内容均由用户发布,如发现有害或侵权内容,请
点击举报。
