Versi baru dari beberapa file lebih menular remote access trojan (RAT) telah ditemukan di alam liar yang menggunakan kode status HTTP untuk mengendalikan sistem dan sistem yang ditargetkan dalam kampanye terakhir melawan diplomatik entitas di Eropa.

Yang cyberespionage malware—ditelusuri ke Turla APT dengan “menengah-ke-rendah tingkat kepercayaan” berdasarkan sejarah dikompromikan korban—menyebar melalui awal dropper bahwa topeng itu sendiri sebagai sebuah aplikasi visa, Global Research and Analysis Team Kaspersky ditemukan.

Yang Turla APT, rusia berbasis ancaman kelompok, memiliki sejarah panjang melakukan spionase dan watering hole serangan yang mencakup berbagai sektor, termasuk pemerintah, kedutaan besar, militer, pendidikan, penelitian, dan perusahaan farmasi.

Pertama kali didokumentasikan oleh G-Data di 2014, beberapa file lebih menular dan menerima upgrade yang signifikan tahun lalu (disebut “Reductor”) setelah Kaspersky menemukan bahwa malware itu digunakan untuk memata-matai korban browser aktivitas dengan pementasan man-in-the-middle (MitM) serangan pada dienkripsi lalu lintas web melalui tweak di browser nomor acak generator (PRNG).

Selain berfungsi sebagai sepenuhnya fitur TIKUS mampu menangkap penekanan tombol, screenshot, dan exfiltrating data sensitif, ini varian baru dari beberapa file lebih menular monitor untuk setiap removable perangkat USB terpasang ke sistem yang terinfeksi untuk menyebar lebih lanjut dan menerima perintah dari penyerang yang dikendalikan server dalam bentuk kode status HTTP.

“Kami mengamati menarik C2 protokol komunikasi memanfaatkan langka HTTP/HTTPS kode status (check IETF RFC 7231, 6585, 4918),” kata para peneliti. “Beberapa kode status HTTP (422-429) dari Kesalahan Klien kelas biarkan Trojan tahu apa operator ingin melakukan. Setelah kontrol server mengirimkan status ‘Pembayaran’ (402), semua ini sebelumnya menerima perintah yang dieksekusi.”

Kode status HTTP yang terstandarisasi tanggapan yang dikeluarkan oleh server dalam menanggapi permintaan klien dibuat untuk server. Dengan mengeluarkan perintah remote dalam bentuk kode status, idenya adalah untuk mengaburkan apapun deteksi aktivitas berbahaya saat memindai lalu lintas internet.

“Para penulis menjaga RSA kunci publik dan unik HTTP ETag di dienkripsi data konfigurasi. Dibuat untuk konten web caching alasan, penanda ini juga bisa digunakan untuk filter yang tidak diinginkan, permintaan untuk C2, misalnya, mereka yang berasal dari jaringan scanner daripada target.”

“Untuk membawa target data untuk C2 melalui HTTP/HTTPS, malware menggunakan enkripsi RSA. Untuk menyembunyikan data secara lokal, Trojan mengimplementasikan LZNT1 kompresi dan satu-byte enkripsi XOR.”

Saat yang tepat modus operandi belakang bagaimana berbahaya aplikasi visa disampaikan ke target masih belum jelas, awal dropper, setelah download, berjalan tahap berikutnya dari malware, yang berkomunikasi dengan command-and-control (C2) server menggunakan HTTP status berbasis modul.

“Malware operator mempertahankan fokus mereka pada diplomatik badan, dan pilihan visa-aplikasi terkait yang disimpan pada direktori yang dibagi dalam jaringan lokal — sebagai infeksi awal vektor bekerja dalam mendukung mereka,” Kaspersky para peneliti menyimpulkan.

“Kombinasi dari pendekatan yang disesuaikan dengan target mereka dan kemampuan untuk menghasilkan dan melaksanakan ide-ide mereka tentu membuat para pengembang di balik beberapa file lebih menular yang kuat ofensif tim.