Kali ini ditemukan varian baru dari malware remote access trojan (RAT) COMpfun yang dikendalikan menggunakan kode status HTTP untuk mengontrol sistem yang disusupinya dalam serangan yang menargetkan entitas diplomatik Eropa.
Menurut temuan tim riset dan analisis global di Kaspersky, spionase siber, yang dikaitkan ke Turla APT berdasarkan riwayat korban yang disusupi, menyebar melalui vektor infeksi awal yang menyembunyikan dirinya dibalik aplikasi visa.
Pertama kali didokumentasikan oleh G-Data pada tahun 2014, COMpfun menerima pembaharuan signifikan tahun lalu (disebut “Reduktor”) setelah Kaspersky menemukan bahwa malware tersebut digunakan untuk memata-matai aktivitas browser korban dengan melakukan serangan man-in-the-middle (MitM) pada lalu lintas web terenkripsi melalui tweak dalam penghasil angka acak browser (PRNG).
Malware COMpfun yang sudah di-upgrade
Varian baru malware COMpfun ditemukan oleh Kaspersky pada bulan November 2019 dan ia hadir dengan semua kemampuan semua fitur malware RAT pada umumnya.
Setelah menginfeksi sistem target, ia mulai mengumpulkan informasi sensitif dari korban untuk dikirim ke penyerang dengan mengemas semuanya dan mengirimkannya ke server command-and-control (C2).
Selain berfungsi sebagai RAT berfitur lengkap yang mampu menangkap keystroke, tangkapan layar, dan eksfiltrasi data sensitif, varian baru COMpfun ini juga memonitor semua perangkat USB yang terhubung ke sistem yang terinfeksi untuk menyebar lebih jauh lagi dan menerima perintah dari server yang dikontrol penyerang dalam bentuk kode status HTTP.
Malware dikendalikan menggunakan kode status HTTP
Tambahan paling menarik untuk versi baru dari COMpfun ini adalah modul komunikasi berbasis status HTTP yang memungkinkan operator malware untuk menghindari deteksi dengan penggunaan pola lalu lintas berbahaya yang diketahui.
“Kami mengamati protokol komunikasi C2 yang menarik yang menggunakan kode status HTTP/HTTPS yang langka (periksa IETF RFC 7231, 6585, 4918),” kata Kaspersky.
Baca Juga: “Operasi Spionase Siber Wilayah Asia Pasifik Ini Tidak Terdeteksi Selama 5 Tahun“
Daftar lengkap kode yang digunakan untuk mengontrol sistem yang disusupi, makna status RFC-nya, dan fungsionalitas perintahnya bisa kalian lihat dalam tabel di bawah ini:
“Operator malware mempertahankan fokus mereka pada entitas diplomatik dan pilihan aplikasi terkait visa, disimpan pada direktori yang dibagikan dalam jaringan lokal, saat vektor infeksi awal bekerja sesuai keinginan mereka,” Kaspersky menyimpulkan.
Rincian dan informasi lebih lanjut tentang cara kerja RAT COMpfun, serta indicators of compromise (IOCs), tersedia dalam laporan lengkap Kaspersky tentang varian yang baru ditemukan ini.
