Được phát hiện bởi nhóm phân tích và nghiên cứu toàn cầu Kaspersky, phần mềm độc hại này được cho là bắt nguồn từ nhóm tin tặc tấn công có chủ đích Turla, với mức độ tin cậy từ trung bình xuống thấp, dựa trên lịch sử của các nạn nhân bị xâm nhập. COMpfun lây nhiễm bằng việc giả danh một đơn xin thị thực visa.
Turla là nhóm tin tặc đến từ Nga, nổi tiếng trong hoạt động gián điệp và các cuộc tấn công có chủ đích (Advanced Persistent Threat - APT) vào các tổ chức chính phủ, đại sứ quán, quân sự, giáo dục, nghiên cứu và các công ty dược phẩm.
Mã độc hại COMpfun được phát hiện lần đầu tiên vào năm 2014 theo báo cáo của G-Data (công ty bảo mật của Đức). Năm 2019, COMpfun đã nhận được một bản nâng cấp có tên gọi Reductor. Kaspersky đã phát hiện ra phần mềm độc hại này khi nó theo dõi hoạt động trình duyệt của người dùng bằng tấn công người đứng giữa (Man in the midle - MitM) trên lưu lượng truy cập web được mã hóa thông qua một tinh chỉnh trong trình tạo số ngẫu nhiên (pseudorandom number generator - PRNG) của trình duyệt.
Cách thức lây nhiễm của COMpfun
Ngoài các chức năng phổ biến của một RAT, biến thể mới này cho phép giám sát hoạt động của bất kỳ thiết bị USB và thực hiện phát tán qua thiết bị. Sau đó, mã độc nhận lệnh từ máy chủ do kẻ tấn công kiểm soát dưới dạng mã trạng thái HTTP.
Nhóm các nhà nghiên cứu cho biết: "Chúng tôi đã quan sát một giao thức truyền thông thú vị qua máy chủ điều khiển (Command and Control – C2) và mã độc là tận dụng mã trạng thái HTTP/HTTPS hiếm gặp. Một số mã trạng thái HTTP (422-429) từ lớp lỗi phía máy khách (Client Error class) cho phép Trojan biết các yêu cầu thực thi. Sau khi máy chủ điều khiển gửi trạng thái “Payment Required” (402), thì tất cả các lệnh đã nhận trước đó sẽ được thực thi".
Một số mã trạng thái HTTP được COMpfun sử dụng
Cùng với đó, mã trạng thái HTTP là các phản hồi được tiêu chuẩn hóa do máy chủ đưa ra để đáp ứng yêu cầu của người dùng gửi đến máy chủ. Bằng cách tạo các lệnh từ xa dưới dạng mã trạng thái, nhằm làm xáo trộn mọi hoạt động độc hại được phát hiện trong khi quét lưu lượng truy cập Internet.
Tác giả của phần mềm độc hại này nắm giữ khóa công khai RSA và HTTP ETag duy nhất trong dữ liệu cấu hình được mã hóa. Nó được tạo để lưu trữ nội dung web, lọc các yêu cầu không mong muốn đối với C2. Để lọc dữ liệu sang C2 qua HTTP/HTTPS, COMpfun sử dụng mã hóa RSA và sử dụng nén LZNT1 với mã hóa XOR một byte để ẩn dữ liệu cục bộ.
Hiện nay, COMpfun vẫn nhằm mục tiêu vào các tổ chức ngoại giao và lựa chọn một ứng dụng liên quan đến việc cấp visa (có tính năng lưu trữ trên một thư mục được chia sẻ trong mạng cục bộ). Với cách tiếp cận phù hợp và mục tiêu cụ thể, COMpfun có thể trở thành một mối nguy hiểm không nhỏ trên không gian mạng trong thời gian tới.
M.H
(The Hacker news)
11:00 | 12/04/2020
13:00 | 07/09/2020
09:00 | 14/04/2020
09:00 | 21/04/2020
13:00 | 06/08/2024
Các nhà nghiên cứu đã phát hiện ra một lỗ hổng nghiêm trọng mới trong Hệ thống phân giải tên miền (DNS) cho phép thực hiện một cuộc tấn công có tên là TuDoor. Cuộc tấn công này có thể được sử dụng nhằm vào bộ đệm DNS, khởi tạo các điều kiện để tấn công từ chối dịch vụ (DoS) và làm cạn kiệt tài nguyên, điều đó khiến nó trở thành mối đe dọa mới.
11:00 | 29/05/2024
Nhóm tin tặc APT tới từ Triều Tiên có tên Kimsuky đã sử dụng một phần mềm độc hại trên Linux mới có tên Gomir để thực hiện các cuộc tấn công mạng vào các thực thể tại Hàn Quốc. Đây là phiên bản của backdoor GoBear được phân phối thông qua trình cài đặt phần mềm bị trojan hóa.
10:00 | 27/05/2024
Nhóm nghiên cứu mối đe dọa Capture Labs của hãng bảo mật SonicWall (Mỹ) đã phát hiện một chiến dịch đánh cắp thông tin đăng nhập nhắm đến người dùng Android bằng cách phân phối ứng dụng độc hại giả mạo các nền tảng như Google, Instagram, Snapchat, WhatsApp và X (trước đây là Twitter).
09:00 | 03/05/2024
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
Theo báo cáo mới nhất được Viettel công bố ngày 26/8 vừa qua, cho thấy tình hình an ninh mạng đáng báo động với sự xuất hiện của 17.000 lỗ hổng mới chỉ trong 6 tháng đầu năm, đặt ra thách thức lớn cho các doanh nghiệp Việt.
11:00 | 03/09/2024