Группировка Turla использует коды состояния HTTP для управления шпионом

Екатерина Быстрова 15 Мая 2020 - 10:10

Корпорации

Государство

Лаборатория Касперского

...

Специалисты антивирусной компании «Лаборатория Касперского» обнаружили новый вариант вредоносной программы COMpfun, контролирующей заражённый компьютер с помощью кодов состояния HTTP. Принято считать, что за атаками COMpfun стоит российская правительственная кибергруппировка Turla.

Впервые этот вредонос попал в поле зрения исследователей в ноябре. Киберпреступники используют COMpfun в операциях кибершпионажа против дипломатических представительств в странах Европы.

Как объясняют эксперты, не раз столкнувшиеся с атаками Turla, киберпреступная группировка любит использовать нестандартные методы установки вредоносных программ, которые помогают маскировать шпионские кампании.

В последних атаках, по словам экспертов «Лаборатории Касперского», Turla прибегла к новому подходу: используемая в атаках вредоносная программа получает инструкции от командного центра (C&C) в виде кодов состояния HTTP.

Именно таким образом действует зловред COMpfun, который на деле представляет собой классический троян удалённого доступа (RAT). Обосновавшись в системе жертвы, COMpfun может собирать информацию о компьютере, фиксировать нажатия клавиш и снимать скриншоты рабочего стола.

Помимо этого, киберпреступники оснастили COMpfun ещё двумя нововведениями. Во-первых, вредоносная программа теперь мониторит подключение USB-устройств к заражённому компьютеру — это помогает распространять зловред и на другие устройства.

Во-вторых, злоумышленники переработали принцип взаимодействия с командным сервером. Чтобы скрыть отправляемые вредоносу команды, операторы Turla разработали собственный протокол, использующий коды состояния HTTP.

Например, если сервер отвечает COMpfun сначала кодом 402, а затем — 200, вредонос загрузит все собранные данные на сервер злоумышленников. С частичным списком команд можно ознакомиться ниже:

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 29 Апреля 2025 - 13:06

Мошенничество Онлайн-мошенничество Домашние пользователи F6

Мошенники выдают себя за фонд «Защитники Отечества» перед 9 Мая

Накануне 9 Мая эксперты по кибербезопасности обнаружили новую мошенническую схему, в которой злоумышленники прикрываются именем государственного фонда «Защитники Отечества».

На специально созданных сайтах людям обещают до 30 миллионов рублей в рамках якобы «социального проекта», но на деле это классическая схема инвестиционного обмана.

На таких сайтах предлагается вложиться в акции российских компаний и «заработать вместе со страной». Чтобы создать иллюзию правдоподобия, на страницах размещены поддельные отзывы от «граждан», которые якобы уже получили выплаты.

Сценарий стандартный: жертву просят оставить имя и телефон, а затем с ней связывается «менеджер», который убеждает внести деньги на некий депозит.

Иногда для «открытия счёта» предлагают установить приложение — на деле это может быть вредоносная программа, способная получить полный доступ к устройству и финансам. Также могут запросить паспорт под предлогом верификации, после чего личные данные могут быть использованы в других атаках.

Известные сайты уже заблокированы в России, но мошенники могут запускать новые домены.

Ранее, осенью прошлого года, похожую схему пытались провернуть с использованием вымышленного «Спецфонда ВПК» — тогда речь тоже шла об инвестициях в оборонную промышленность.

Такие схемы — не редкость: обещание лёгких денег, использование патриотической тематики, подделка отзывов, иногда даже дипфейки с известными людьми. Трафик гонят через соцсети, мессенджеры, фейковые вакансии и даже телефонные звонки.

Главное правило — не верить в лёгкий и быстрый заработок. Особенно если просят установить сомнительный софт или выслать документы.