NCSA Webboard
    • ล่าสุด
    • แท็ก
    • ฮิต
      • ติดต่อสำนักงาน
    • ลงทะเบียน
    • เข้าสู่ระบบ

    แคมเปญต่อเนื่องโดยกลุ่ม SCATTERED SPIDER

    Cyber Security News
    1
    1
    77
    โหลดโพสเพิ่มเติม
    • เก่าสุดไปยังใหม่สุด
    • ใหม่สุดไปยังเก่าสุด
    • Most Votes
    ตอบ
    • ตอบโดยตั้งกระทู้ใหม่
    เข้าสู่ระบบเพื่อตอบกลับ
    Topic นี้ถูกลบไปแล้ว เฉพาะผู้ใช้งานที่มีสิทธิ์ในการจัดการ Topic เท่านั้นที่จะมีสิทธิ์ในการเข้าชม
    • NCSA_THAICERTN
      NCSA_THAICERT
      แก้ไขล่าสุดโดย

      เมื่อวันที่ 4 กรกฎาคม 2568 Cyber Security Agency of Singapore (CSA) ได้เผยแพร่เกี่ยวกับ กลุ่ม SCATTERED SPIDER เป็นกลุ่มอาชญากรไซเบอร์ที่มีแรงจูงใจทางการเงิน มุ่งเป้าโจมตีอุตสาหกรรมประกันภัยและการค้าปลีก โดยนับตั้งแต่เดือนมิถุนายน พ.ศ. 2568 กลุ่มดังกล่าวได้ขยายขอบเขตการปฏิบัติการไปยังอุตสาหกรรมการบิน
      มีรายงานว่ากลุ่ม SCATTERED SPIDER ซึ่งเป็นกลุ่มอาชญากรไซเบอร์ที่มีเป้าหมายเพื่อผลประโยชน์ทางการเงิน ได้ดำเนินการโจมตีต่ออุตสาหกรรมประกันภัยและการค้าปลีก โดยตั้งแต่เดือนมิถุนายน พ.ศ. 2568 กลุ่มนี้ได้ขยายการโจมตีไปยังภาคการบิน โดยทั่วไป กลุ่มนี้มักเลือกโจมตีองค์กรหลายแห่งภายในอุตสาหกรรมเดียวกันในช่วงเวลาสั้น ๆ แม้ว่ารูปแบบดังกล่าวจะมิได้ปฏิบัติตามอย่างเคร่งครัด
      กลยุทธ์ เทคนิค และขั้นตอนการปฏิบัติ
      กลุ่ม SCATTERED SPIDER ใช้เทคนิคการหลอกลวงทางโทรศัพท์ โดยปลอมตัวเป็นพนักงานเพื่อติดต่อฝ่ายสนับสนุนด้านเทคโนโลยีสารสนเทศ ในเกือบทุกเหตุการณ์ที่พบในปี พ.ศ. 2568 กลุ่มนี้ใช้กลวิธีดังกล่าวเพื่อบุกรุกบัญชี Microsoft Entra ID, ระบบการยืนยันตัวตนแบบครั้งเดียว (SSO) และโครงสร้างพื้นฐานเดสก์ท็อปเสมือน (VDI) โดยตอบคำถามยืนยันตัวตนได้อย่างถูกต้องเมื่อร้องขอการรีเซ็ตรหัสผ่านหรือการยืนยันตัวตนแบบหลายขั้นตอน
      การโจมตีบัญชีและซอฟต์แวร์ในรูปแบบบริการ
      หลังจากบุกรุกบัญชี Entra ID, SSO และ VDI ได้สำเร็จ กลุ่มนี้จะเข้าถึงแพลตฟอร์มซอฟต์แวร์ในรูปแบบบริการที่เชื่อมต่อกัน โดยมีวัตถุประสงค์เพื่อค้นหาข้อมูลที่เอื้อต่อการเคลื่อนย้ายภายในระบบ เช่น แผนผังเครือข่าย คำแนะนำการใช้งาน VPN หรือข้อมูลประจำตัวที่จัดเก็บไว้ เพื่อสนับสนุนการข่มขู่หรือแสวงหาผลประโยชน์ทางการเงิน
      การใช้ประโยชน์จากเครื่องมือภายในระบบ
      กลุ่มนี้ใช้เครื่องมือที่ถูกต้องตามกฎหมายภายในระบบเพื่อดำเนินกิจกรรมที่เป็นอันตราย ตัวอย่างเช่น

      • การสำรวจ Active Directory โดยใช้เครื่องมือ เช่น ADExplorer, ADRecon.ps1 และคำสั่ง PowerShell Get-ADUser
      • การเข้าถึง VMware vCenter เพื่อสร้างเครื่องเสมือนที่ไม่มีการจัดการและดึงฐานข้อมูล Active Directory (ntds.dit) จากดิสก์ของตัวควบคุมโดเมน
      • การติดตั้งเครื่องมือสร้างอุโมงค์หรือพร็อกซี เช่น Chisel (เชื่อมต่อกับ trycloudflare[.]com), MobaXterm, ngrok, Pinggy, Rsocx และ Teleport
      • การใช้คำสั่ง PowerShell เช่น HardDelete, SoftDelete, MoveToDeletedItems และกฎการขนส่งอีเมล (Set-TransportRule) เพื่อป้องกันการแจ้งเตือนกิจกรรมของบัญชี ในกรณีหนึ่ง อีเมลที่ส่งถึงผู้ใช้ที่ถูกบุกรุกถูกเปลี่ยนเส้นทางไปยังที่อยู่อีเมล googlemail[.]com ซึ่งควบคุมโดยผู้โจมตี
      • การใช้ S3 Browser เพื่อตรวจสอบและเข้าถึง AWS S3 buckets ผ่านเหตุการณ์ CloudTrail (ListBuckets, ListObjects) และถ่ายโอนข้อมูลไปยัง buckets ที่ควบคุมโดยผู้โจมตี

      แนวทางการป้องกัน
      เพื่อเสริมสร้างความมั่นคงปลอดภัยทางไซเบอร์และปกป้องข้อมูลขององค์กร ขอแนะนำให้องค์กรดำเนินการตามมาตรการต่อไปนี้

      • กำหนดให้ผู้ใช้ทุกคน โดยเฉพาะผู้ที่มีสิทธิ์เข้าถึงข้อมูลที่ละเอียดอ หรือมีบทบาทผู้ดูแลระบบ ต้องใช้การยืนยันตัวตนแบบหลายขั้นตอน
      • ใช้ระบบการจัดการข้อมูลประจำตัวและการเข้าถึงที่เข้มงวด เพื่อบังคับใช้การควบคุมการเข้าถึงตามบทบาทและหลักการให้สิทธิ์ขั้นต่ำ
      • เปิดใช้งานการบันทึกข้อมูลอย่างครอบคลุมและการวิเคราะห์พฤติกรรม
      • ตรวจสอบการใช้งานแอปพลิเคชันที่ผิดปกติ คำค้นหาที่น่าสงสัย และรูปแบบการเข้าถึงข้อมูลที่ผิดปกติ
      • ดำเนินการตรวจสอบบัญชีผู้ใช้ สิทธิ์ และแอปพลิเคชันที่เชื่อมต่ออย่างสม่ำเสมอ เพื่อระบุและกำจัดสิทธิ์ที่ไม่จำเป็นหรือมีความเสี่ยง
      • จัดให้มีการสำรองข้อมูลที่แยกออกจากระบบและพัฒนาแผนรับมือเหตุการณ์
      • จัดการฝึกอบรมพนักงานอย่างสม่ำเสมอเกี่ยวกับภัยคุกคาม เช่น การหลอกลวงทางสังคม ผ่านโปรแกรมสร้างความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์

      ด้วยการปฏิบัติตามแนวทางเหล่านี้ องค์กรจะสามารถยกระดับการป้องกันและลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ได้อย่างมีประสิทธิภาพ

      อ้างอิง
      https://www.csa.gov.sg/alerts-and-advisories/alerts/al-2025-066

      สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand 21f199fe-4fba-47cc-92d1-3dc1722e6071-image.png

      1 การตอบกลับ คำตอบล่าสุด ตอบ คำอ้างอิง 0
      • First post
        Last post