Обнаружена новая версия вредоноса COMpfun, использующего для контроля состояния зараженных компьютеров коды состояния HTTP. Вредоносная программа была впервые обнаружена в ноябре прошлого года и использовалась группировкой Turla для атак на дипломатические структуры по всей Европе с целью кибершпионажа.

COMpfun является трояном для удаленного доступа (RAT), который заражает устройства жертв, собирает системные данные, осуществляет запись нажатий кнопок клавиатуры и делает скриншоты рабочего стола пользователя. Все собранные данные отправляются на удаленный C&C-сервер. Новая версия трояна отличается от старых и, помимо классических функций сбора данных, также включает два новых дополнения.

Первым изменением оказалась способность отслеживать подключение съемных USB-устройств к зараженному хосту и затем распространяться на новое устройство. Как предполагают эксперты, данный механизм используется Turla для заражения физически изолированных систем.

Второе дополнение — новая система связи с C&C-сервером, не использующая классический шаблон, в котором команды отправляются непосредственно на зараженные хосты в виде HTTP- или HTTPS-запросов, несущих четко определенные команды.

С целью избежания обнаружения Turla разработала новый протокол сервер-клиент на базе кодов состояния HTTP. Коды состояния HTTP — стандартизированные на международном уровне ответы, которые сервер предоставляет подключающемуся клиенту. Коды состояния предоставляют состояние сервера и используются для сообщения дальнейших действий клиенту, например, сбросить соединение, предоставить учетные данные, обновить соединение и т.д.

Turla адаптировала базовый механизм сервер-клиент, существовавший на протяжении десятилетий, к протоколу C&C-сервера COMpfun, где трояны COMpfun на зараженных хостах играют роль клиентов.