COMpfun Trojan เวอร์ชันใหม่ มุ่งโจมตีองค์กรภาครัฐ

Kaspersky รายงานว่าพบ COMpfun Trojan เวอร์ชันใหม่ที่แพร่กระจายผ่าน USB ต่อไปยังเครื่องในเครือข่ายเดียวกันมุ่งเป้าโจมตีองค์กรภาครัฐ ซึ่ง COMpfun เป็น remote access trojan (RAT) ถูกใช้เพื่อขโมยข้อมูล เป็นมัลแวร์ที่มาจากการสอดแนมกิจกรรมบนเบราว์เซอร์ หรือแบบ man-in-the-middle (MitM) ที่มักมีกลุ่มเป้าหมายเป็นหน่วยงานภาครัฐไม่ว่าจะเป็น รัฐบาล สถานฑูต กองทัพ สถาบันการศึกษา กลุ่มวิจัย รวมถึงบริษัทยา จากรายงานแฮกเกอร์กลุ่มนี้มักจะใช้การทำ remote access trojan (RAT) เพื่อ screenshots ข้อมูลที่สำคัญแล้วส่งกลับไปยัง C&C server มาตั้งแต่ปี 2014

จากการสังเกตพฤติกรรม Kaspersky พบว่ามีการใช้งาน HTTP status code (422-429) ที่ไม่ได้พบบ่อยนัก เข้าควบคุมเครื่องที่ถูก compromised โดยให้ Trojan ที่ติดตั้งทำงานตามคำสั่งของ C&C server ยกตัวอย่างเช่น เมื่อ C&C server ส่ง status ‘Payment Required’ (402) เครื่องที่ได้รับจะ run คำสั่ง execute โดยล่าสุดพบการโจมตีในหน่วยงานที่ทำข้อมูลเกี่ยวกับการขอวีซ่าในยุโรป ดังนั้น ผู้ดูแลระบบในหน่วยงานทั้งภาครัฐและเอกชน ควรจับตามอง HTTP status code ดังกล่าว หากมีการใช้งานแบบผิดปกติ และควรเพิ่มข้อมูลการตรวจจับลงไปในระบบ Security monitoring ที่กำลังใช้งานด้วย

ที่มา: https://thehackernews.com/2020/05/malware-http-codes.html