FBI เตือนภัยการขยายเป้าหมายการโจมตีของ Scattered Spider ต่อสายการบินโดยใช้ Social Engineering

สำนักงานสอบสวนกลางสหรัฐฯ (FBI) เปิดเผยว่า กลุ่มอาชญากรรมไซเบอร์ชื่อดังอย่าง Scattered Spider กำลังขยายเป้าหมายการโจมตีไปยังภาคการบิน

FBI แถลงผ่านโพสต์บน X ว่า กลุ่มผู้กระทำผิดใช้เทคนิค social engineering โดยแอบอ้างเป็นพนักงาน หรือบริษัทผู้รับจ้าง เพื่อหลอกให้ IT Helpdesk อนุญาตให้เข้าถึงระบบ โดยเทคนิคนี้มักใช้เพื่อหลีกเลี่ยงการยืนยันตัวตนหลายขั้นตอน (MFA) โดย FBI ระบุว่า ขณะนี้กำลังร่วมมือกับพันธมิตรในอุตสาหกรรมการบิน และภาคธุรกิจอื่น ๆ เพื่อรับมือกับการโจมตี และให้ความช่วยเหลือองค์กรที่ได้รับผลกระทบ

ผู้เชี่ยวชาญจาก Unit 42 และ Mandiant เตือนว่า Scattered Spider กำลังขยายการโจมตีไปยังภาคการบิน และขนส่ง ด้วยวิธี social engineering และการรีเซ็ตรหัส MFA ซึ่งคล้ายกับกรณีในอุตสาหกรรมประกันภัยของสหรัฐฯ พร้อมแนะนำให้องค์กรเพิ่มความเข้มงวดในการยืนยันตัวตน โดยเฉพาะก่อนเพิ่มหมายเลขโทรศัพท์ หรืออุปกรณ์ MFA ให้บัญชีพนักงาน หรือบริษัทผู้รับจ้าง เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต

หนึ่งในสาเหตุที่ทำให้กลุ่ม Scattered Spider ประสบความสำเร็จอย่างต่อเนื่องคือความเข้าใจเชิงลึกเกี่ยวกับพฤติกรรมมนุษย์ แม้จะมีมาตรการป้องกันทางเทคนิค เช่น MFA กลุ่มนี้จะเล็งเป้าไปที่บุคลากรเบื้องหลังระบบ โดยเฉพาะพนักงาน IT Helpdesk ซึ่งสามารถตกเป็นเหยื่อของเรื่องราวที่น่าเชื่อถือได้เหมือนกับบุคคลทั่วไป

การโจมตีนี้ไม่ใช่การโจมตีแบบ brute-force แต่เป็นการสร้างความไว้วางใจในระยะเวลาอันสั้นเพื่อแทรกซึมเข้าสู่ระบบ และเมื่อเผชิญกับข้อจำกัดด้านเวลา หรือความกดดันสูง การโจมตีที่เริ่มต้นจากการแอบอ้างเป็นพนักงานก็สามารถเล็ดลอดผ่านไปได้ ด้วยเหตุนี้ องค์กรจึงควรพิจารณามากกว่าการป้องกัน endpoint แบบดั้งเดิม และทบทวนกระบวนการยืนยันตัวตนแบบเรียลไทม์อย่างละเอียดรอบคอบ

เดิมที Scattered Spider ใช้การโจมตีแบบ SIM swapping แต่ปัจจุบันกลุ่มนี้ได้ขยายการโจมตีโดยใช้เทคนิคที่หลากหลายขึ้น เช่น social engineering, helpdesk phishing และการเข้าถึงจากภายใน ซึ่งทั้งหมดนี้เป็นกลยุทธ์เบื้องต้นในการแทรกซึมเข้าสู่ระบบแบบไฮบริด

Halcyon ระบุว่า Scattered Spider เป็นการพัฒนาครั้งสำคัญในความเสี่ยงของแรนซัมแวร์ โดยการผสมผสานเทคนิค social engineering ขั้นสูง, เทคนิคที่มีความซับซ้อนหลายระดับ และความสามารถในการขู่กรรโชก กลุ่มนี้สามารถเจาะระบบ สร้างการเข้าถึงอย่างต่อเนื่อง ขโมยข้อมูลที่มีความสำคัญ ปิดการทำงานของระบบ recovery และใช้แรนซัมแวร์ในทั้งระบบที่อยู่ on-premises และคลาวด์ได้ภายในเวลาไม่กี่ชั่วโมง

สิ่งที่ทำให้ Scattered Spider เป็นอันตรายคือการผสมผสานระหว่างการวางแผนที่รอบคอบ และการขยายตัวอย่างรวดเร็ว กลุ่มนี้ไม่เพียงแค่ขโมยข้อมูลจากบัญชีผู้ใช้ แต่ยังใช้เวลาในการรวบรวมข้อมูลจากสื่อสังคมออนไลน์ และข้อมูลรั่วไหลต่าง ๆ เพื่อแอบอ้างเป็นบุคคลได้อย่างแม่นยำ การโจมตีที่ผสมผสานเทคนิค Social engineering กับ cloud infrastructure sabotage ทำให้สามารถหลุดรอดจากการตรวจจับจนกระทั่งมันสายเกินไป

ในรายงานที่เผยแพร่เมื่อวันศุกร์ที่ผ่านมา ReliaQuest เปิดเผยว่า Scattered Spider ได้เจาะระบบองค์กรหนึ่งเมื่อปลายเดือนที่แล้ว โดยมุ่งเป้าหมายไปที่ประธานเจ้าหน้าที่ฝ่ายการเงิน (CFO) เป็นหลัก ซึ่งกลุ่มผู้โจมตีได้ใช้การเข้าถึงระดับสูงเพื่อดำเนินการโจมตีอย่างแม่นยำ และมีการวางแผนมาอย่างดี

ผู้โจมตีได้ทำการศึกษาข้อมูลอย่างละเอียดเพื่อเลือกเป้าหมายที่มีมูลค่าสูง โดยเฉพาะอย่างยิ่งการแอบอ้างเป็น CFO เพื่อโทรศัพท์ติดต่อ IT Helpdesk ของบริษัท และหลอกให้รีเซ็ตรหัส MFA และข้อมูลการเข้าสู่ระบบที่เชื่อมโยงกับบัญชีของ CFO

นอกจากนี้ กลุ่มผู้โจมตียังใช้ข้อมูลที่ได้จากการสอดแนม เช่น วันเกิดของ CFO และหมายเลขสี่หลักสุดท้ายของหมายเลขประกันสังคม (SSN) เพื่อกรอกลงในพอร์ทัลการเข้าสู่ระบบของบริษัท ซึ่งเป็นส่วนหนึ่งของกระบวนการเข้าสู่ระบบ และยืนยันรหัสพนักงานพร้อมกับข้อมูลที่ได้มา

Scattered Spider พุ่งเป้าโจมตีบัญชีระดับ C-Suite ด้วยเหตุผลสองประการหลัก ประการแรก บัญชีเหล่านี้มักมีสิทธิ์การเข้าถึงระบบที่กว้างขวาง และประการที่สอง คำขอที่มาจากบัญชีเหล่านี้ไปยัง IT Helpdesk มักได้รับการดำเนินการอย่างเร่งด่วน ซึ่งเพิ่มโอกาสที่การโจมตีทาง social engineering จะประสบความสำเร็จ

หลังจากเข้าถึงบัญชี CFO กลุ่ม Scattered Spider ได้แสดงให้เห็นถึงความสามารถในการปรับตัว และขยายการโจมตีอย่างรวดเร็วในสภาพแวดล้อมเป้าหมาย โดยดำเนินการดังนี้:

ค้นหาข้อมูลบัญชี และกลุ่มที่มีสิทธิ์พิเศษใน Entra ID รวมถึง service principals เพื่อใช้ในการยกระดับสิทธิ์ และแฝงตัวอยู่ในระบบอย่างต่อเนื่อง
ตรวจสอบไฟล์สำคัญ และทรัพยากรที่ใช้ร่วมกันใน SharePoint เพื่อทำความเข้าใจกระบวนการทำงาน, ระบบ IT และ cloud architectures ขององค์กร เพื่อปรับแผนการโจมตีให้เหมาะสม
เข้าถึงแพลตฟอร์ม Horizon Virtual Desktop Infrastructure (VDI) โดยใช้ข้อมูล CFO ที่ได้มา จากนั้นจึงขโมยข้อมูลสำคัญเพิ่มเติมจากอีกสองบัญชีโดยเทคนิค social engineering ซึ่งเป็นการสร้างช่องทางเข้าถึงถาวร เพื่อให้สามารถกลับเข้ามาในระบบได้ซ้ำ ๆ
เจาะระบบ VPN ขององค์กรเพื่อให้สามารถเข้าถึงทรัพยากรภายในได้อย่างต่อเนื่อง
กู้คืนเครื่อง Virtual machines (VMs) ที่ถูกยกเลิก จากนั้นสร้างเครื่องใหม่เพื่อเข้าถึงโครงสร้าง VMware vCenter เพื่อปิดการทำงานของ virtualized production domain controller และดึงข้อมูลจากไฟล์ฐานข้อมูล NTDS.dit
ใช้สิทธิ์ที่เพิ่มขึ้นในการเจาะเข้า CyberArk password vault และขโมยข้อมูลสำคัญมากกว่า 1,400 รายการ
ขยายการโจมตีอย่างต่อเนื่อง โดยใช้บัญชีที่มีสิทธิ์พิเศษ ซึ่งรวมถึงการให้สิทธิ์ผู้ดูแลระบบแก่บัญชีผู้ใช้ที่ถูกบุกรุก
ใช้เครื่องมือที่ถูกต้อง เช่น ngrok เพื่อการควบคุมเครื่อง VMs ของเหยื่ออย่างต่อเนื่อง
หลังจากทีมรักษาความปลอดภัยขององค์กรตรวจพบการโจมตี กลุ่ม Scattered Spider ได้ใช้กลยุทธ์ทำลายทุกอย่าง โดยให้ความสำคัญกับความเร็ว เพื่อลบ Azure Firewall policy rule และขัดขวางการดำเนินธุรกิจตามปกติ

ReliaQuest ได้บรรยายถึงการต่อสู้ที่ดุเดือดระหว่างทีมตอบสนองเหตุการณ์กับผู้โจมตี เพื่อแย่งชิงการควบคุม Global Administrator ภายใน Entra ID tenant โดยการต่อสู้ดังกล่าวได้สิ้นสุดลงเมื่อ Microsoft เข้ามาให้ความช่วยเหลือในการฟื้นฟูการควบคุม tenant นั้น

สรุปประเด็นสำคัญ การโจมตีแบบ social engineering ได้พัฒนาไปสู่การควบคุมทางอัตลักษณ์ที่มีความซับซ้อน โดยผู้โจมตีอย่าง Scattered Spider ใช้กลวิธีหลากหลาย เช่น การ SIM swapping, vishing และการยกระดับสิทธิ์ เพื่อเจาะระบบป้องกัน และโจมตีได้อย่างรวดเร็วเมื่อเข้าถึงช่องทางโจมตีได้

สำหรับองค์กรส่วนใหญ่ การรับมือไม่จำเป็นต้องลงทุนในเครื่องมือใหม่ แต่ควรมุ่งเน้นที่การปรับปรุงกระบวนการภายใน โดยเฉพาะอย่างยิ่งในเรื่องการอนุมัติของ help desk และการกู้คืนบัญชี การให้ความสำคัญกับการตัดสินใจของบุคลากรเกี่ยวกับข้อมูลอัตลักษณ์ ยิ่งทำให้การฝึกอบรมพนักงานด้วยสถานการณ์จริงมีความสำคัญมากขึ้น

Alexa Feminella และ James Xiang นักวิจัยด้านความปลอดภัย ระบุว่า Scattered Spider เปิดเผยจุดอ่อนสำคัญจากการพึ่งพากระบวนการตรวจสอบอัตลักษณ์ที่เน้นมนุษย์ ซึ่งผู้โจมตีใช้ความไว้วางใจนี้หลบเลี่ยงการป้องกันทางเทคนิค และบิดเบือนกระบวนการเดิมได้ง่าย ข้อเปราะบางนี้เน้นย้ำว่าธุรกิจต้องเร่งประเมิน และเสริมโปรโตคอลตรวจสอบอัตลักษณ์ เพื่อลดความเสี่ยงจากข้อผิดพลาดของมนุษย์ที่อาจเปิดช่องทางโจมตี

ที่มา : thehackernews

MOVEit Transfer เผชิญความเสี่ยงสูงขึ้นจากการสแกน และโจมตีผ่านช่องโหว่

GreyNoise บริษัทข่าวกรองด้านภัยคุกคามทางไซเบอร์ ได้ตรวจพบการสแกนระบบ Progress MOVEit Transfer ที่เพิ่มขึ้นอย่างมีนัยสำคัญ ตั้งแต่วันที่ 27 พฤษภาคม 2025 โดยคาดว่าแฮ็กเกอร์อาจกำลังเตรียมการโจมตีครั้งใหญ่ หรือกำลังตรวจสอบระบบที่ยังไม่ได้อัปเดตแพตช์ (more…)

ช่องโหว่ Bluetooth อาจทำให้แฮ็กเกอร์ดักฟังผ่านไมโครโฟนได้

ช่องโหว่ที่ส่งผลกระทบต่อชิปเซ็ต Bluetooth ซึ่งถูกใช้งานในอุปกรณ์เสียงมากกว่า 20 ชนิดจากผู้ผลิต 10 ราย โดยช่องโหว่นี้สามารถถูกใช้ประโยชน์เพื่อดักฟัง หรือขโมยข้อมูลที่มีความสำคัญได้ (more…)

Cloudflare เปิดตัว open-sources Orange Meets พร้อมรองรับการเข้ารหัส End-to-End

Cloudflare ได้นำการเข้ารหัสแบบ End-to-End (E2EE) มาใช้กับแอปประชุมผ่านวิดีโอ Orange Meets และเปิดโอเพ่นซอร์สโซลูชันนี้เพื่อความโปร่งใส

แอปพลิเคชันนี้เปิดให้ใช้งานมาตั้งแต่ปีที่แล้ว โดยเปิดตัวในฐานะ demo สำหรับ Cloudflare Calls (ปัจจุบันคือ Realtime)

ด้วยการเพิ่ม E2EE และการแก้ไขปัญหาเกี่ยวกับความเชื่อมั่น และการตรวจสอบต่าง ๆ ผู้ใช้งานที่สนใจในการเข้ารหัสที่แข็งแกร่งสามารถใช้ Orange Meets สำหรับวิดีโอคอลที่ปลอดภัยทั้งในบริบทด้านการวิจัย หรือสร้างต้นแบบ

การออกแบบการเข้ารหัสแบบ E2EE

Orange Meets นำการเข้ารหัสแบบ End-to-End มาใช้งานโดยใช้ Messaging Layer Security (MLS) ซึ่งเป็นโปรโตคอลแลกเปลี่ยน group key ที่ได้รับมาตรฐาน IETF

การใช้งาน MLS บน Orange Meets พัฒนาโดยใช้ภาษา Rust ทำให้สามารถดำเนินการแลกเปลี่ยน group key ได้อย่างต่อเนื่อง ซึ่งรองรับการแลกเปลี่ยน group key อย่างปลอดภัย, การรักษาความลับในการ forward secrecy, ความปลอดภัยหลังถูกโจมตี และการรองรับการขยายตัวของกลุ่มผู้ใช้

การเข้ารหัสทั้งหมดดำเนินการบนฝั่งไคลเอนต์โดยใช้ WebRTC ดังนั้น Cloudflare หรือ Selective Forwarding Unit (SFU) จึงทำหน้าที่เป็นตัวกลางในการส่งต่อที่ไม่มีสิทธิ์เข้าถึงข้อมูลการสื่อสารที่มีความสำคัญ

Cloudflare ยังได้แนะนำ "Designated Committer Algorithm" ซึ่งเป็นอัลกอริทึมที่ช่วยจัดการการเปลี่ยนแปลงสมาชิกในกลุ่ม (ผู้ใช้เข้าร่วม/ออกจากการสนทนาวิดีโอคอล) อย่างปลอดภัย

ระบบนี้จะทำหน้าที่กำหนดสมาชิกคนหนึ่งในกลุ่ม ให้เป็นผู้ที่รับผิดชอบในการจัดการอัปเดต MLS ในฝั่งไคลเอนต์ทั้งหมด โดยจะเลือกผู้กำหนดใหม่โดยอัตโนมัติตามสถานะของกลุ่ม

สุดท้ายแล้ว ในแต่ละเซสชันวิดีโอคอลจะมีการแสดง "หมายเลขความปลอดภัย" ซึ่งแสดงถึงสถานะการเข้ารหัสของกลุ่ม ซึ่งผู้เข้าร่วมควรตรวจสอบภายนอกแพลตฟอร์ม

ซึ่งจะป้องกันการโจมตีแบบ "Monster-in-the-Middle" (MitM) ซึ่งเซิร์ฟเวอร์ที่เป็นอันตรายจะเข้ามาแทนที่ข้อมูลสำคัญ

Cloudflare ได้สร้างแบบจำลอง Designated Committer Algorithm อย่างเป็นทางการใน TLA+ ซึ่งเป็นภาษาเฉพาะที่ใช้สำหรับการตรวจสอบทางคณิตศาสตร์ว่าโปรโตคอลทำงานได้อย่างถูกต้องภายใต้เงื่อนไขที่เป็นไปได้ทั้งหมดหรือไม่ จึงสามารถตรวจจับข้อผิดพลาดได้ในระดับที่ละเอียดอ่อน

จากที่กล่าวมาทั้งหมดนี้ สิ่งสำคัญที่ต้องเน้นย้ำคือ Orange Meets เป็นเพียงตัวอย่างเชิงเทคนิค และต้นแบบแบบ open-source มากกว่าจะเป็นผลิตภัณฑ์สำหรับผู้บริโภคที่พัฒนาอย่างสมบูรณ์แบบ

Orange Meets ยังไม่ใช่แอปที่มีคุณสมบัติครบครัน หรือใช้งานง่ายเทียบเท่ากับ Zoom, Google Meet, Signal หรือ Microsoft Teams และยังไม่ได้ผ่านการตรวจสอบการใช้งานจริงอย่างละเอียดถี่ถ้วน

เครื่องมือของ Cloudflare มุ่งเน้นไปที่นักพัฒนาที่สนใจการรวม MLS และการเข้ารหัส รวมถึงผู้ที่ชื่นชอบความเป็นส่วนตัว ผู้ใช้งานที่อยากทดลองใช้ระบบวิดีโอคอลแบบเข้ารหัสจากต้นทางถึงปลายทาง (E2EE) ที่เป็น open-source เครื่องมือนี้ยังเหมาะสำหรับนักวิจัย หรือวิศวกรที่กำลังประเมินการใช้งาน MLS

Orange Meets ไม่จำเป็นต้องติดตั้งเพื่อทดสอบ หรือใช้งาน เพราะมีการสาธิตแบบ live demo ให้ใช้งานออนไลน์

อีกทางเลือกหนึ่งคือ ผู้ใช้สามารถตั้งค่าระบบใช้งานเองได้โดยใช้โค้ดต้นฉบับที่มีอยู่ใน GitHub repository

ที่มา : bleepingcomputer

นักวิจัยพบช่องโหว่ Citrix Bleed 2 ที่เชื่อว่ากำลังถูกนำไปใช้ในการโจมตี

ReliaQuest บริษัทด้านการรักษาความปลอดภัย คาดว่าช่องโหว่ใน NetScaler ADC และ Gateway ระดับ Critical ซึ่งมีชื่อว่า "Citrix Bleed 2" (CVE-2025-5777) อาจกำลังถูกนำไปใช้ในการโจมตี โดยพบว่ามีเซสชันที่น่าสงสัยเพิ่มขึ้นในอุปกรณ์ของ Citrix (more…)

Microsoft ไมโครซอฟท์ขยายการอัปเดตความปลอดภัย Windows 10 เพิ่มอีก 1 ปี พร้อมตัวเลือกการสมัครใหม่

Microsoft เปิดเผยว่า Windows 10 จะได้รับการขยายการอัปเดตความปลอดภัยเพิ่มเติม (ESU) ออกไปอีกหนึ่งปี โดยผู้ใช้สามารถเลือกจ่ายค่าธรรมเนียม 30 ดอลลาร์ หรือเลือก sync การตั้งค่าพีซีของตนขึ้นคลาวด์แทนก็ได้

การพัฒนาครั้งนี้เกิดขึ้นก่อนเส้นตายวันที่ 14 ตุลาคม 2025 ซึ่ง Microsoft วางแผนจะยุติการสนับสนุน และหยุดอัปเดตความปลอดภัยสำหรับอุปกรณ์ที่ใช้ Windows 10 โดยระบบปฏิบัติการนี้เปิดตัวมาตั้งแต่เดือนกรกฎาคม 2015 (more…)

แฮ็กเกอร์ใช้ช่องโหว่บนเซิร์ฟเวอร์ Windows และ Linux เพื่อติดตั้ง Web Shell

มีการตรวจพบแคมเปญการโจมตีทางไซเบอร์ที่มีความซับซ้อน ซึ่งมุ่งเป้าไปยังเว็บเซิร์ฟเวอร์ของเกาหลีใต้ โดยผู้ไม่หวังดีได้ใช้มัลแวร์ MeshAgent และ SuperShell เพื่อโจมตีระบบปฏิบัติการ Windows และ Linux

การโจมตีแบบข้ามแพลตฟอร์มครั้งนี้ แสดงให้เห็นถึงความซับซ้อนที่เพิ่มขึ้นของการโจมตี โดยผู้ไม่หวังดีจะอาศัยช่องโหว่ในการอัปโหลดไฟล์เพื่อยึดครองเซิร์ฟเวอร์ในสภาพแวดล้อมต่าง ๆ อย่างถาวร (more…)

อุปกรณ์ SOHO มากกว่า 1,000 รายการ ถูก Hacked ในแคมเปญ LapDogs Cyber Espionage ที่เชื่อมโยงกับจีน

นักวิจัยด้านความปลอดภัยทางไซเบอร์ ได้ค้นพบเครือข่ายของอุปกรณ์สำหรับ small office และ home office (SOHO) ที่ถูกโจมตีมากกว่า 1,000 เครื่อง และถูกนำมาใช้เป็นโครงสร้างพื้นฐานเพื่อสนับสนุนปฏิบัติการจารกรรมทางไซเบอร์แบบระยะยาวให้กับกลุ่มแฮ็กเกอร์ที่มีความเชื่อมโยงกับจีน (more…)

พบ Bug ในเครื่องพิมพ์ Brother จำนวน 689 รุ่น ที่ทำให้รหัสผ่าน default ของผู้ดูแลระบบถูกเปิดเผย

เครื่องพิมพ์ Brother จำนวน 689 รุ่น และอีก 53 รุ่นจาก Fujifilm, Toshiba และ Konica Minolta ถูกพบว่ามีรหัสผ่าน default ของผู้ดูแลระบบ ที่ผู้โจมตีจากภายนอกสามารถสร้างขึ้นมาได้ ที่แย่ไปกว่านั้นคือ ช่องโหว่นี้ไม่สามารถแก้ไขได้ผ่านการอัปเดตเฟิร์มแวร์ในเครื่องพิมพ์ที่มีอยู่แล้ว

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2024-51978 และเป็นส่วนหนึ่งของช่องโหว่ใน 8 รายการ ที่ถูกค้นพบโดยนักวิจัยจาก Rapid7 ในระหว่างการตรวจสอบฮาร์ดแวร์ของ Brother อย่างละเอียด (more…)

ช่องโหว่ RCE ระดับ Critical ใน Cisco ISE และ ISE-PIC ทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถเข้าถึงสิทธิ์ Root ได้

Cisco ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับความรุนแรงสูงสุด 2 รายการใน Identity Services Engine (ISE) และ ISE Passive Identity Connector (ISE-PIC) ซึ่งอาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถเรียกใช้คำสั่งใด ๆ ด้วยสิทธิ์ Root ได้

ช่องโหว่เหล่านี้มีหมายเลข CVE-2025-20281 และ CVE-2025-20282 โดยแต่ละช่องโหว่มีคะแนน CVSS สูงสุดที่ 10.0 ซึ่งบ่งบอกถึงความรุนแรงระดับสูงสุด รายละเอียดของช่องโหว่มีดังนี้ (more…)