Tropic Trooper ใช้ SumatraPDF ปลอมและ GitHub ส่ง AdaptixC2 ลงเป้าหมาย

นักวิจัยด้านความปลอดภัยจาก Zscaler ThreatLabz ได้เปิดเผยถึงแคมเปญโจมตีทางไซเบอร์ล่าสุดที่พุ่งเป้าไปยังกลุ่มผู้ใช้ที่พูดภาษาจีน โดยแฮกเกอร์ใช้โปรแกรม SumatraPDF ที่ถูกดัดแปลงให้เป็นมัลแวร์เป็นเครื่องมือในการส่งเพย์โหลด AdaptixC2 ซึ่งเป็นเครื่องมือหลังการบุกรุกที่สามารถควบคุมระบบจากระยะไกลได้อย่างมีประสิทธิภาพ

ทีมวิจัยระบุว่ากลุ่มแฮกเกอร์ที่อยู่เบื้องหลังคือ Tropic Trooper ซึ่งเป็นกลุ่มที่มีชื่อเสียงในวงการอาชญากรรมไซเบอร์ และมีความเชี่ยวชาญในการโจมตีแบบเจาะจงเป้าหมาย โดยแคมเปญนี้ยังใช้ GitHub เป็นช่องทางในการส่งไฟล์อันตรายไปยังเหยื่ออีกด้วย

การทำงานของมัลแวร์ในแคมเปญนี้

มัลแวร์ที่ใช้ในแคมเปญนี้เริ่มต้นจากการที่เหยื่อดาวน์โหลด SumatraPDF เวอร์ชันปลอม ซึ่งเมื่อเปิดใช้งานจะทำการดึงเพย์โหลด AdaptixC2 มาจากเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี หลังจากนั้น AdaptixC2 จะเชื่อมต่อกับระบบของผู้โจมตีเพื่อรับคำสั่งและขโมยข้อมูลสำคัญ

การใช้ GitHub เป็นช่องทางกระจายมัลแวร์

หนึ่งในเทคนิคที่น่าสนใจคือการใช้ GitHub ซึ่งเป็นแพลตฟอร์มที่นักพัฒนาและผู้ใช้ทั่วไปไว้วางใจ เป็นแหล่งเก็บไฟล์มัลแวร์ชั่วคราว ผู้โจมตีสามารถอัปโหลดและแชร์ลิงก์ดาวน์โหลดได้โดยไม่ถูกตรวจสอบง่ายๆ ทำให้การโจมตีมีความแยบยลและยากต่อการตรวจจับ

การใช้ VS Code Tunnels เพื่อเข้าถึงระบบระยะไกล

หลังจากที่ AdaptixC2 ทำงานสำเร็จ ผู้โจมตียังใช้ประโยชน์จากฟีเจอร์ VS Code Tunnels ของ Microsoft Visual Studio Code ซึ่งเป็นเครื่องมือที่ช่วยให้นักพัฒนาสามารถเชื่อมต่อกับเครื่องระยะไกลได้อย่างสะดวก แต่แฮกเกอร์กลับใช้ช่องทางนี้ในการเข้าถึงระบบของเหยื่ออย่างผิดกฎหมาย ทำให้สามารถควบคุมเครื่องคอมพิวเตอร์ได้จากทุกที่

การป้องกันและคำแนะนำสำหรับองค์กร

องค์กรควรให้ความสำคัญกับการฝึกอบรมพนักงานให้รู้จักสังเกตไฟล์ที่น่าสงสัยและไม่ดาวน์โหลดโปรแกรมจากแหล่งที่ไม่น่าเชื่อถือ รวมถึงใช้โซลูชันความปลอดภัยที่สามารถตรวจจับและปิดกั้นมัลแวร์ประเภทนี้ได้ เช่น ระบบป้องกันปลายทางและระบบตรวจจับการบุกรุก นอกจากนี้ ควรตรวจสอบและจำกัดการใช้งาน VS Code Tunnels เฉพาะผู้ที่ได้รับอนุญาตเท่านั้น

Reference

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th