Được phát hiện bởi nhóm phân tích và nghiên cứu toàn cầu Kaspersky, phần mềm độc hại này được cho là bắt nguồn từ nhóm tin tặc tấn công có chủ đích Turla, với mức độ tin cậy từ trung bình xuống thấp, dựa trên lịch sử của các nạn nhân bị xâm nhập. COMpfun lây nhiễm bằng việc giả danh một đơn xin thị thực visa.
Turla là nhóm tin tặc đến từ Nga, nổi tiếng trong hoạt động gián điệp và các cuộc tấn công có chủ đích (Advanced Persistent Threat - APT) vào các tổ chức chính phủ, đại sứ quán, quân sự, giáo dục, nghiên cứu và các công ty dược phẩm.
Mã độc hại COMpfun được phát hiện lần đầu tiên vào năm 2014 theo báo cáo của G-Data (công ty bảo mật của Đức). Năm 2019, COMpfun đã nhận được một bản nâng cấp có tên gọi Reductor. Kaspersky đã phát hiện ra phần mềm độc hại này khi nó theo dõi hoạt động trình duyệt của người dùng bằng tấn công người đứng giữa (Man in the midle - MitM) trên lưu lượng truy cập web được mã hóa thông qua một tinh chỉnh trong trình tạo số ngẫu nhiên (pseudorandom number generator - PRNG) của trình duyệt.
Cách thức lây nhiễm của COMpfun
Ngoài các chức năng phổ biến của một RAT, biến thể mới này cho phép giám sát hoạt động của bất kỳ thiết bị USB và thực hiện phát tán qua thiết bị. Sau đó, mã độc nhận lệnh từ máy chủ do kẻ tấn công kiểm soát dưới dạng mã trạng thái HTTP.
Nhóm các nhà nghiên cứu cho biết: "Chúng tôi đã quan sát một giao thức truyền thông thú vị qua máy chủ điều khiển (Command and Control – C2) và mã độc là tận dụng mã trạng thái HTTP/HTTPS hiếm gặp. Một số mã trạng thái HTTP (422-429) từ lớp lỗi phía máy khách (Client Error class) cho phép Trojan biết các yêu cầu thực thi. Sau khi máy chủ điều khiển gửi trạng thái “Payment Required” (402), thì tất cả các lệnh đã nhận trước đó sẽ được thực thi".
Một số mã trạng thái HTTP được COMpfun sử dụng
Cùng với đó, mã trạng thái HTTP là các phản hồi được tiêu chuẩn hóa do máy chủ đưa ra để đáp ứng yêu cầu của người dùng gửi đến máy chủ. Bằng cách tạo các lệnh từ xa dưới dạng mã trạng thái, nhằm làm xáo trộn mọi hoạt động độc hại được phát hiện trong khi quét lưu lượng truy cập Internet.
Tác giả của phần mềm độc hại này nắm giữ khóa công khai RSA và HTTP ETag duy nhất trong dữ liệu cấu hình được mã hóa. Nó được tạo để lưu trữ nội dung web, lọc các yêu cầu không mong muốn đối với C2. Để lọc dữ liệu sang C2 qua HTTP/HTTPS, COMpfun sử dụng mã hóa RSA và sử dụng nén LZNT1 với mã hóa XOR một byte để ẩn dữ liệu cục bộ.
Hiện nay, COMpfun vẫn nhằm mục tiêu vào các tổ chức ngoại giao và lựa chọn một ứng dụng liên quan đến việc cấp visa (có tính năng lưu trữ trên một thư mục được chia sẻ trong mạng cục bộ). Với cách tiếp cận phù hợp và mục tiêu cụ thể, COMpfun có thể trở thành một mối nguy hiểm không nhỏ trên không gian mạng trong thời gian tới.
M.H
(The Hacker news)
11:00 | 12/04/2020
13:00 | 07/09/2020
09:00 | 14/04/2020
09:00 | 21/04/2020
18:00 | 11/10/2024
Trong một chiến dịch tấn công mạng quy mô lớn, Microsoft đã phối hợp với Bộ Tư pháp Hoa Kỳ (DoJ) triệt phá thành công mạng lưới 107 tên miền Internet được tin tặc Nga sử dụng để thực hiện các hoạt động lừa đảo và tấn công mạng.
09:00 | 11/10/2024
Một chuỗi các lỗ hổng bảo mật mới đã được phát hiện trong hệ thống in CUPS (Common Unix Printing System) Linux, có thể cho phép các tin tặc thực hiện chèn lệnh từ xa trong một số điều kiện nhất định.
13:00 | 30/09/2024
Cơ quan Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã thêm 5 lỗ hổng vào danh mục Các lỗ hổng đã biết bị khai thác (KEV), trong đó có lỗ hổng thực thi mã từ xa (RCE) ảnh hưởng đến Apache HugeGraph-Server.
13:00 | 21/08/2024
Mặc dù đã có những biện pháp kiểm duyệt từ Google, tuy nhiên kho ứng dụng Play Store dành cho nền tảng Android vẫn thường xuyên ghi nhận xuất hiện các phần mềm có chứa mã độc.
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024