El grupo de hackers rusos usa códigos de estado HTTP para controlar implantes de malware


vulnerabilidad-code.png

Característica especial

La ciberguerra y el futuro de la ciberseguridad

Las amenazas a la seguridad de hoy se han ampliado en alcance y seriedad. Ahora puede haber millones, o incluso miles de millones, de dólares en riesgo cuando la seguridad de la información no se maneja adecuadamente.

Lee mas

Los investigadores de seguridad de Kaspersky han identificado una nueva versión del malware COMpfun que controla los hosts infectados utilizando un mecanismo que se basa en códigos de estado HTTP.

El malware se detectó por primera vez el año pasado, en noviembre, y se desplegó en ataques contra entidades diplomáticas en toda Europa.

El responsable de los ataques es un grupo conocido como Turla, un actor de amenaza ruso patrocinado por el estado que históricamente ha participado en operaciones de ciberespionaje.

Turla tiene una larga historia de uso de métodos innovadores y no estándar para crear malware y realizar ataques sigilosos.

El grupo ha sido conocido por secuestrar y usar satélites de telecomunicaciones para enviar malware a áreas remotas del mundo, ha desarrollado malware que oculta su mecanismo de handle comentarios internos publicados en las fotos de Instagram de Britney Spears, desarrolló puertas traseras del servidor de correo electrónico que recibieron comandos a través de mensajes con aspecto de spam, hackeó los grupos de piratas informáticos de espionaje cibernético de otros países y modificó las instalaciones de Chrome y Firefox en los dispositivos de las víctimas para ocultar una pequeña huella digital en el tráfico HTTPS que luego use para rastrear el tráfico de la víctima a través de la crimson troncal de World-wide-web.

En un informe publicado hoy, Kaspersky ha revelado otra de las técnicas novedosas de Turla: el malware que recibe instrucciones de los servidores de comando y control (C&C) en forma de códigos de estado HTTP.

Nueva versión de COMpfun

Este malware en certain se llama COMpfun y es un clásico troyano de acceso remoto (RAT) que infecta a las víctimas y luego recopila datos del sistema, registra las pulsaciones de teclas y toma capturas de pantalla del escritorio del usuario. Todos los datos recopilados se extraen a un servidor C&C remoto.

La primera versión de COMpfun se vio en libertad en 2014 y se detalla en un informe de G Knowledge aquí. Hoy, Kaspersky dice que vieron una nueva versión de COMpfun el año pasado.

compfun.jpg "src =" https://zdnet4.cbsistatic.com/hub/i/2020/05/14/d551747c-1316-42bf-b268-68a4b7ba936c/compfun.jpg

Imagen: Kaspersky

Esta nueva versión actualizada era diferente de las versiones anteriores de COMpfun. Además de las características clásicas de recopilación de datos tipo RAT, Kaspersky dice que la nueva versión COMpfun también incluyó dos nuevas incorporaciones.

El primero fue su capacidad de monitorear cuando los dispositivos extraíbles USB están conectados a un host infectado y luego propagarse al nuevo dispositivo. Se cree que la característica es un mecanismo de propagación automática utilizado por el grupo Turla para infectar otros sistemas en redes internas y / o con espacios de aire.

Nuevo protocolo C&C basado en código de estado HTTP

La segunda incorporación es un nuevo sistema de comunicaciones C&C. Según Kaspersky, este nuevo protocolo de malware C&C no utiliza un patrón clásico en el que los comandos se envían directamente a los hosts infectados (los implantes de malware COMpfun) como solicitudes HTTP o HTTPS que llevan comandos claramente definidos.

Los investigadores de seguridad y los productos de seguridad a menudo analizan el tráfico HTTP / HTTPS en busca de patrones que parezcan comandos de malware. Cuando ven parámetros similares a CLI en encabezados o tráfico HTTP, generalmente es una señal obvia de que está sucediendo algo malicioso.

Para evitar este tipo de detección, el grupo Turla desarrolló un nuevo protocolo C&C servidor-cliente que se basa en códigos de estado HTTP.

Códigos de estado HTTP son respuestas estandarizadas internacionalmente que un servidor proporciona a un cliente que se conecta. Los códigos de estado proporcionan un estado del servidor y se utilizan para indicarle al cliente (generalmente los navegadores) qué hacer a continuación, como desconectar la conexión, proporcionar credenciales, actualizar la conexión, etcetera.

Kaspersky dice que Turla adaptó este mecanismo básico de servidor-cliente que ha existido durante décadas al protocolo C&C de COMpfun, donde COMpfun C&C desempeña el papel de un servidor, y los implantes COMpfun que se ejecutan en hosts infectados desempeñan el papel de clientes.

Kaspersky dice que cada vez que un implante COMpfun hace ping al servidor C&C si el servidor responde con un código de estado 402 (pago requerido), todos los códigos de estado posteriores son comandos futuros.

Por ejemplo, si el servidor COMpfun respondiera con un código de estado 402, seguido de un código de estado 200, el implante de malware cargaría todos los datos que recopiló de la computadora de un host al servidor Turla C&C.

Los investigadores dicen que han podido realizar ingeniería inversa en los siguientes códigos de estado HTTP y sus comandos COMpfun asociados.

compfun-command.png "src =" https://zdnet1.cbsistatic.com/hub/i/2020/05/14/02aa20e2-a479-4268-997b-a849b1a939f7/compfun-commands.png

Imagen: Kaspersky

El informe COMpfun muestra una vez más por qué Turla es considerado uno de los grupos de ciberespionaje más sofisticados de la actualidad.

Con un historial de apuntar a objetivos diplomáticos, el grupo ha invertido mucho en sigilo, algo que no han hecho muchos grupos de hackers estatales rusos, la mayoría de los cuales son muy ruidosos en sus operaciones.

Detalles adicionales sobre el malware COMpfun e indicadores de compromiso están disponibles en el Informe Kaspersky.



Enlace a la noticia first