หมวดหมู่

  • พูดคุยข่าวสารเกี่ยวกับภัยคุกคามทางไซเบอร์ทั่วประเทศ และข่าวประกาศเกี่ยวกับความปลอดภัยทางไซเบอร์ทั่วไป
    1.9k
    กระทู้
    1.9k
    กระทู้

    NCSA_THAICERTN

    เมื่อวันที่ 4 กรกฎาคม 2568 Cyber Security Agency of Singapore (CSA) ได้เผยแพร่เกี่ยวกับ กลุ่ม SCATTERED SPIDER เป็นกลุ่มอาชญากรไซเบอร์ที่มีแรงจูงใจทางการเงิน มุ่งเป้าโจมตีอุตสาหกรรมประกันภัยและการค้าปลีก โดยนับตั้งแต่เดือนมิถุนายน พ.ศ. 2568 กลุ่มดังกล่าวได้ขยายขอบเขตการปฏิบัติการไปยังอุตสาหกรรมการบิน
    มีรายงานว่ากลุ่ม SCATTERED SPIDER ซึ่งเป็นกลุ่มอาชญากรไซเบอร์ที่มีเป้าหมายเพื่อผลประโยชน์ทางการเงิน ได้ดำเนินการโจมตีต่ออุตสาหกรรมประกันภัยและการค้าปลีก โดยตั้งแต่เดือนมิถุนายน พ.ศ. 2568 กลุ่มนี้ได้ขยายการโจมตีไปยังภาคการบิน โดยทั่วไป กลุ่มนี้มักเลือกโจมตีองค์กรหลายแห่งภายในอุตสาหกรรมเดียวกันในช่วงเวลาสั้น ๆ แม้ว่ารูปแบบดังกล่าวจะมิได้ปฏิบัติตามอย่างเคร่งครัด
    กลยุทธ์ เทคนิค และขั้นตอนการปฏิบัติ
    กลุ่ม SCATTERED SPIDER ใช้เทคนิคการหลอกลวงทางโทรศัพท์ โดยปลอมตัวเป็นพนักงานเพื่อติดต่อฝ่ายสนับสนุนด้านเทคโนโลยีสารสนเทศ ในเกือบทุกเหตุการณ์ที่พบในปี พ.ศ. 2568 กลุ่มนี้ใช้กลวิธีดังกล่าวเพื่อบุกรุกบัญชี Microsoft Entra ID, ระบบการยืนยันตัวตนแบบครั้งเดียว (SSO) และโครงสร้างพื้นฐานเดสก์ท็อปเสมือน (VDI) โดยตอบคำถามยืนยันตัวตนได้อย่างถูกต้องเมื่อร้องขอการรีเซ็ตรหัสผ่านหรือการยืนยันตัวตนแบบหลายขั้นตอน
    การโจมตีบัญชีและซอฟต์แวร์ในรูปแบบบริการ
    หลังจากบุกรุกบัญชี Entra ID, SSO และ VDI ได้สำเร็จ กลุ่มนี้จะเข้าถึงแพลตฟอร์มซอฟต์แวร์ในรูปแบบบริการที่เชื่อมต่อกัน โดยมีวัตถุประสงค์เพื่อค้นหาข้อมูลที่เอื้อต่อการเคลื่อนย้ายภายในระบบ เช่น แผนผังเครือข่าย คำแนะนำการใช้งาน VPN หรือข้อมูลประจำตัวที่จัดเก็บไว้ เพื่อสนับสนุนการข่มขู่หรือแสวงหาผลประโยชน์ทางการเงิน
    การใช้ประโยชน์จากเครื่องมือภายในระบบ
    กลุ่มนี้ใช้เครื่องมือที่ถูกต้องตามกฎหมายภายในระบบเพื่อดำเนินกิจกรรมที่เป็นอันตราย ตัวอย่างเช่น

    การสำรวจ Active Directory โดยใช้เครื่องมือ เช่น ADExplorer, ADRecon.ps1 และคำสั่ง PowerShell Get-ADUser การเข้าถึง VMware vCenter เพื่อสร้างเครื่องเสมือนที่ไม่มีการจัดการและดึงฐานข้อมูล Active Directory (ntds.dit) จากดิสก์ของตัวควบคุมโดเมน การติดตั้งเครื่องมือสร้างอุโมงค์หรือพร็อกซี เช่น Chisel (เชื่อมต่อกับ trycloudflare[.]com), MobaXterm, ngrok, Pinggy, Rsocx และ Teleport การใช้คำสั่ง PowerShell เช่น HardDelete, SoftDelete, MoveToDeletedItems และกฎการขนส่งอีเมล (Set-TransportRule) เพื่อป้องกันการแจ้งเตือนกิจกรรมของบัญชี ในกรณีหนึ่ง อีเมลที่ส่งถึงผู้ใช้ที่ถูกบุกรุกถูกเปลี่ยนเส้นทางไปยังที่อยู่อีเมล googlemail[.]com ซึ่งควบคุมโดยผู้โจมตี การใช้ S3 Browser เพื่อตรวจสอบและเข้าถึง AWS S3 buckets ผ่านเหตุการณ์ CloudTrail (ListBuckets, ListObjects) และถ่ายโอนข้อมูลไปยัง buckets ที่ควบคุมโดยผู้โจมตี

    แนวทางการป้องกัน
    เพื่อเสริมสร้างความมั่นคงปลอดภัยทางไซเบอร์และปกป้องข้อมูลขององค์กร ขอแนะนำให้องค์กรดำเนินการตามมาตรการต่อไปนี้

    กำหนดให้ผู้ใช้ทุกคน โดยเฉพาะผู้ที่มีสิทธิ์เข้าถึงข้อมูลที่ละเอียดอ หรือมีบทบาทผู้ดูแลระบบ ต้องใช้การยืนยันตัวตนแบบหลายขั้นตอน ใช้ระบบการจัดการข้อมูลประจำตัวและการเข้าถึงที่เข้มงวด เพื่อบังคับใช้การควบคุมการเข้าถึงตามบทบาทและหลักการให้สิทธิ์ขั้นต่ำ เปิดใช้งานการบันทึกข้อมูลอย่างครอบคลุมและการวิเคราะห์พฤติกรรม ตรวจสอบการใช้งานแอปพลิเคชันที่ผิดปกติ คำค้นหาที่น่าสงสัย และรูปแบบการเข้าถึงข้อมูลที่ผิดปกติ ดำเนินการตรวจสอบบัญชีผู้ใช้ สิทธิ์ และแอปพลิเคชันที่เชื่อมต่ออย่างสม่ำเสมอ เพื่อระบุและกำจัดสิทธิ์ที่ไม่จำเป็นหรือมีความเสี่ยง จัดให้มีการสำรองข้อมูลที่แยกออกจากระบบและพัฒนาแผนรับมือเหตุการณ์ จัดการฝึกอบรมพนักงานอย่างสม่ำเสมอเกี่ยวกับภัยคุกคาม เช่น การหลอกลวงทางสังคม ผ่านโปรแกรมสร้างความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์

    ด้วยการปฏิบัติตามแนวทางเหล่านี้ องค์กรจะสามารถยกระดับการป้องกันและลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ได้อย่างมีประสิทธิภาพ

    อ้างอิง
    https://www.csa.gov.sg/alerts-and-advisories/alerts/al-2025-066

    สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand 21f199fe-4fba-47cc-92d1-3dc1722e6071-image.png

  • พูดคุยข่าวสารเกี่ยวกับภัยคุกคามทางไซเบอร์เกี่ยวกับอุตสาหกรรม
    180
    กระทู้
    180
    กระทู้

    NCSA_THAICERTN

    Cybersecurity and Infrastructure Security Agency (CISA) ได้เผยแพร่คำแนะนำเกี่ยวกับระบบควบคุมอุตสาหกรรม (ICS) 4 รายการ เมื่อวันที่ 3 กรกฎาคม 2568 ซึ่งคำแนะนำเหล่านี้ให้ข้อมูลที่ทันท่วงทีเกี่ยวกับปัญหาด้านความปลอดภัยช่องโหว่ และช่องโหว่ที่อยู่รอบ ๆ ICS ในปัจจุบัน มีดังต่อไปนี้

    ICSA-25-184-01 Hitachi Energy Relion 670/650 and SAM600-IO Series ICSA-25-184-02 Hitachi Energy MicroSCADA X SYS600 ICSA-25-184-03 Mitsubishi Electric MELSOFT Update Manager ICSA-25-184-04 Mitsubishi Electric MELSEC iQ-F Series

    ทั้งนี้ CISA สนับสนุนให้ผู้ใช้และผู้ดูแลระบบตรวจสอบคำแนะนำ ICS ที่เผยแพร่ใหม่สำหรับรายละเอียดทางเทคนิคและการบรรเทาผลกระทบ รายละเอียดเพิ่มเติมที่ https://www.cisa.gov/news-events/alerts/2025/07/03/cisa-releases-four-industrial-control-systems-advisories

    อ้างอิง
    https://www.cisa.gov/news-events/alerts/2025/07/03/cisa-releases-four-industrial-control-systems-advisories
    สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand ac4c0e83-460f-4788-91c7-c779e41341e2-image.png

  • แลกเปลี่ยนความรู้ ปัญหา หรือความสนใจในหัวข้อเกี่ยวกับภัยคุกคามทางไซเบอร์ด้านต่างๆ

    4
    กระทู้
    6
    กระทู้

    C

    ทดสอบทดสอบทดสอบ

  • Announcements regarding our community

    0
    กระทู้
    0
    กระทู้
    ไม่มีกระทู้ใหม่

  • A place to talk about whatever you want

    1
    กระทู้
    1
    กระทู้
    ไม่มีกระทู้ใหม่

  • พูดคุยเกี่ยวกับงานสัมมนา การฝึกอบรม และ ตำแหน่งงานด้าน Network Security
    Jobs Opportunities Training
    31
    กระทู้
    31
    กระทู้

    NCSA_THAICERTN

    📢[ประชาสัมพันธ์] ‼️ สมัครด่วน ‼️ ไม่ต้องสอบผ่านภาค ก. ของสำนักงาน ก.พ. ⚡️
    สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.)
    🟢 เปิดรับสมัครสอบคัดเลือกบุคคลเพื่อบรรจุและแต่งตั้งเป็นพนักงาน จำนวน 43 อัตรา 🟢
    📍เปิดรับสมัครวันที่ 15 กุมภาพันธ์ - 20 มีนาคม 2567
    📌รายละเอียดและสมัครสอบ ได้ที่ https://ncsa.thaijobjob.com
    📲 สอบถามเพิ่มเติม
    ระบบสมัครสอบ : 0-2257-7159
    ฝ่ายทรัพยากรบุคคล : 0-2502-7813
    (วันจันทร์ - ศุกร์ เวลา 8.30 - 17.30 น.)

    92f40662-fcc2-4cc8-8e6b-a2c8e8f1a482-image.png