Kaspersky รายงานว่าพบ COMpfun Trojan เวอร์ชันใหม่ที่แพร่กระจายผ่าน USB ต่อไปยังเครื่องในเครือข่ายเดียวกันมุ่งเป้าโจมตีองค์กรภาครัฐ ซึ่ง COMpfun เป็น remote access trojan (RAT) ถูกใช้เพื่อขโมยข้อมูล เป็นมัลแวร์ที่มาจากการสอดแนมกิจกรรมบนเบราว์เซอร์ หรือแบบ man-in-the-middle (MitM) ที่มักมีกลุ่มเป้าหมายเป็นหน่วยงานภาครัฐไม่ว่าจะเป็น รัฐบาล สถานฑูต กองทัพ สถาบันการศึกษา กลุ่มวิจัย รวมถึงบริษัทยา จากรายงานแฮกเกอร์กลุ่มนี้มักจะใช้การทำ remote access trojan (RAT) เพื่อ screenshots ข้อมูลที่สำคัญแล้วส่งกลับไปยัง C&C server มาตั้งแต่ปี 2014

จากการสังเกตพฤติกรรม Kaspersky พบว่ามีการใช้งาน HTTP status code (422-429) ที่ไม่ได้พบบ่อยนัก เข้าควบคุมเครื่องที่ถูก compromised โดยให้ Trojan ที่ติดตั้งทำงานตามคำสั่งของ C&C server ยกตัวอย่างเช่น เมื่อ C&C server ส่ง status ‘Payment Required’ (402) เครื่องที่ได้รับจะ run คำสั่ง execute โดยล่าสุดพบการโจมตีในหน่วยงานที่ทำข้อมูลเกี่ยวกับการขอวีซ่าในยุโรป ดังนั้น ผู้ดูแลระบบในหน่วยงานทั้งภาครัฐและเอกชน ควรจับตามอง HTTP status code ดังกล่าว หากมีการใช้งานแบบผิดปกติ และควรเพิ่มข้อมูลการตรวจจับลงไปในระบบ Security monitoring ที่กำลังใช้งานด้วย

ที่มา: https://thehackernews.com/2020/05/malware-http-codes.html



เนื้อหาที่เกี่ยวข้อง

1. พบช่องโหว่ BootHole อาจกระทบต่อ Windows macOs และ Linux

2. 2 ปีที่ผ่านมา พบกว่า 15,000 ล้านบัญชี ถูกขายบน Dark Web

3. โดนทุกวงการ ล่าสุดธุรกิจกลุ่มเครื่องดื่มตกเป็นเหยื่อ Maze ransomware

4. แอปฯ Polar Fitness เผยตำแหน่งของผู้ใช้ กระทบข้อมูลทางการทหาร

5. ทำไม Ransomware แค่จ่ายแต่ไม่จบ ต้องเสียอะไรอีกบ้าง