แคมเปญต่อเนื่องโดยกลุ่ม SCATTERED SPIDER
-
เมื่อวันที่ 4 กรกฎาคม 2568 Cyber Security Agency of Singapore (CSA) ได้เผยแพร่เกี่ยวกับ กลุ่ม SCATTERED SPIDER เป็นกลุ่มอาชญากรไซเบอร์ที่มีแรงจูงใจทางการเงิน มุ่งเป้าโจมตีอุตสาหกรรมประกันภัยและการค้าปลีก โดยนับตั้งแต่เดือนมิถุนายน พ.ศ. 2568 กลุ่มดังกล่าวได้ขยายขอบเขตการปฏิบัติการไปยังอุตสาหกรรมการบิน
มีรายงานว่ากลุ่ม SCATTERED SPIDER ซึ่งเป็นกลุ่มอาชญากรไซเบอร์ที่มีเป้าหมายเพื่อผลประโยชน์ทางการเงิน ได้ดำเนินการโจมตีต่ออุตสาหกรรมประกันภัยและการค้าปลีก โดยตั้งแต่เดือนมิถุนายน พ.ศ. 2568 กลุ่มนี้ได้ขยายการโจมตีไปยังภาคการบิน โดยทั่วไป กลุ่มนี้มักเลือกโจมตีองค์กรหลายแห่งภายในอุตสาหกรรมเดียวกันในช่วงเวลาสั้น ๆ แม้ว่ารูปแบบดังกล่าวจะมิได้ปฏิบัติตามอย่างเคร่งครัด
กลยุทธ์ เทคนิค และขั้นตอนการปฏิบัติ
กลุ่ม SCATTERED SPIDER ใช้เทคนิคการหลอกลวงทางโทรศัพท์ โดยปลอมตัวเป็นพนักงานเพื่อติดต่อฝ่ายสนับสนุนด้านเทคโนโลยีสารสนเทศ ในเกือบทุกเหตุการณ์ที่พบในปี พ.ศ. 2568 กลุ่มนี้ใช้กลวิธีดังกล่าวเพื่อบุกรุกบัญชี Microsoft Entra ID, ระบบการยืนยันตัวตนแบบครั้งเดียว (SSO) และโครงสร้างพื้นฐานเดสก์ท็อปเสมือน (VDI) โดยตอบคำถามยืนยันตัวตนได้อย่างถูกต้องเมื่อร้องขอการรีเซ็ตรหัสผ่านหรือการยืนยันตัวตนแบบหลายขั้นตอน
การโจมตีบัญชีและซอฟต์แวร์ในรูปแบบบริการ
หลังจากบุกรุกบัญชี Entra ID, SSO และ VDI ได้สำเร็จ กลุ่มนี้จะเข้าถึงแพลตฟอร์มซอฟต์แวร์ในรูปแบบบริการที่เชื่อมต่อกัน โดยมีวัตถุประสงค์เพื่อค้นหาข้อมูลที่เอื้อต่อการเคลื่อนย้ายภายในระบบ เช่น แผนผังเครือข่าย คำแนะนำการใช้งาน VPN หรือข้อมูลประจำตัวที่จัดเก็บไว้ เพื่อสนับสนุนการข่มขู่หรือแสวงหาผลประโยชน์ทางการเงิน
การใช้ประโยชน์จากเครื่องมือภายในระบบ
กลุ่มนี้ใช้เครื่องมือที่ถูกต้องตามกฎหมายภายในระบบเพื่อดำเนินกิจกรรมที่เป็นอันตราย ตัวอย่างเช่น- การสำรวจ Active Directory โดยใช้เครื่องมือ เช่น ADExplorer, ADRecon.ps1 และคำสั่ง PowerShell Get-ADUser
- การเข้าถึง VMware vCenter เพื่อสร้างเครื่องเสมือนที่ไม่มีการจัดการและดึงฐานข้อมูล Active Directory (ntds.dit) จากดิสก์ของตัวควบคุมโดเมน
- การติดตั้งเครื่องมือสร้างอุโมงค์หรือพร็อกซี เช่น Chisel (เชื่อมต่อกับ trycloudflare[.]com), MobaXterm, ngrok, Pinggy, Rsocx และ Teleport
- การใช้คำสั่ง PowerShell เช่น HardDelete, SoftDelete, MoveToDeletedItems และกฎการขนส่งอีเมล (Set-TransportRule) เพื่อป้องกันการแจ้งเตือนกิจกรรมของบัญชี ในกรณีหนึ่ง อีเมลที่ส่งถึงผู้ใช้ที่ถูกบุกรุกถูกเปลี่ยนเส้นทางไปยังที่อยู่อีเมล googlemail[.]com ซึ่งควบคุมโดยผู้โจมตี
- การใช้ S3 Browser เพื่อตรวจสอบและเข้าถึง AWS S3 buckets ผ่านเหตุการณ์ CloudTrail (ListBuckets, ListObjects) และถ่ายโอนข้อมูลไปยัง buckets ที่ควบคุมโดยผู้โจมตี
แนวทางการป้องกัน
เพื่อเสริมสร้างความมั่นคงปลอดภัยทางไซเบอร์และปกป้องข้อมูลขององค์กร ขอแนะนำให้องค์กรดำเนินการตามมาตรการต่อไปนี้- กำหนดให้ผู้ใช้ทุกคน โดยเฉพาะผู้ที่มีสิทธิ์เข้าถึงข้อมูลที่ละเอียดอ หรือมีบทบาทผู้ดูแลระบบ ต้องใช้การยืนยันตัวตนแบบหลายขั้นตอน
- ใช้ระบบการจัดการข้อมูลประจำตัวและการเข้าถึงที่เข้มงวด เพื่อบังคับใช้การควบคุมการเข้าถึงตามบทบาทและหลักการให้สิทธิ์ขั้นต่ำ
- เปิดใช้งานการบันทึกข้อมูลอย่างครอบคลุมและการวิเคราะห์พฤติกรรม
- ตรวจสอบการใช้งานแอปพลิเคชันที่ผิดปกติ คำค้นหาที่น่าสงสัย และรูปแบบการเข้าถึงข้อมูลที่ผิดปกติ
- ดำเนินการตรวจสอบบัญชีผู้ใช้ สิทธิ์ และแอปพลิเคชันที่เชื่อมต่ออย่างสม่ำเสมอ เพื่อระบุและกำจัดสิทธิ์ที่ไม่จำเป็นหรือมีความเสี่ยง
- จัดให้มีการสำรองข้อมูลที่แยกออกจากระบบและพัฒนาแผนรับมือเหตุการณ์
- จัดการฝึกอบรมพนักงานอย่างสม่ำเสมอเกี่ยวกับภัยคุกคาม เช่น การหลอกลวงทางสังคม ผ่านโปรแกรมสร้างความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์
ด้วยการปฏิบัติตามแนวทางเหล่านี้ องค์กรจะสามารถยกระดับการป้องกันและลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ได้อย่างมีประสิทธิภาพ
อ้างอิง
https://www.csa.gov.sg/alerts-and-advisories/alerts/al-2025-066สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand
