1. รายละเอียดลักษณะการทำงานของมัลแวร์ [2]
   1.1 ขโมยข้อมูลผ่าน Infostealer มัลแวร์ "Lumma Stealer" แอบดึงข้อมูลประจำตัว (Credentials) และ Session Cookies จากเครื่องคอมพิวเตอร์ของพนักงานที่ใช้งานเครื่องมือ AI ของบุคคลที่สาม
   1.2 ยึดสิทธิ์บัญชีองค์กร ผู้โจมตีนำข้อมูลที่ได้ไปเข้ายึดบัญชี Google Workspace ของพนักงาน เพื่อใช้เป็นฐานเจาะเข้าระบบอื่นภายในองค์กร
   1.3 เจาะระบบและดึงข้อมูล อาศัยสิทธิ์บัญชีที่ยึดมาได้ เข้าถึงระบบภายในและรวบรวมตัวแปรสภาพแวดล้อมที่ตั้งค่าไว้ว่า "ไม่ละเอียดอ่อน" รวมถึงพยายามเข้าถึงฐานข้อมูลและซอร์สโค้ด

2. กลุ่มเป้าหมายและระบบที่ได้รับผลกระทบ
   2.1 อุปกรณ์พนักงานที่ติดตั้งซอฟต์แวร์หรือเครื่องมือบุคคลที่สามที่ขาดมาตรการรักษาความปลอดภัย
   2.2 บัญชีลูกค้าผู้ใช้งานแพลตฟอร์มบางส่วน โดยผู้ที่ได้รับผลกระทบจะได้รับการติดต่อให้รีเซ็ตรหัสผ่านโดยตรง
   2.3 ระบบแอปพลิเคชันที่ตั้งค่าแบบไม่เข้ารหัส หรือไม่ได้ระบุว่าเป็นข้อมูลละเอียดอ่อน

3. รูปแบบการแพร่กระจายและการโจมตี
   เป็นการโจมตีแบบห่วงโซ่อุปทาน (Supply Chain Attack) โดยพุ่งเป้าไปที่จุดอ่อนของซอฟต์แวร์บุคคลที่สาม (Context.ai) ผู้โจมตีใช้มัลแวร์ Lumma Stealer ซึ่งมักแฝงมากับซอฟต์แวร์เถื่อนหรือไฟล์หลอกดาวน์โหลดออนไลน์ เพื่อขโมยสิทธิ์การเข้าถึงจากเครื่องพนักงาน

4. แนวทางการป้องกัน
   4.1 จำกัดสิทธิ์ ตรวจสอบและจำกัดสิทธิ์ของแอปพลิเคชันบุคคลที่สามที่เชื่อมต่อกับบัญชีองค์กรอย่างเคร่งครัด
   4.2 บังคับใช้ MFA ใช้การยืนยันตัวตนหลายปัจจัย โดยเน้น Hardware Security Key เพื่อป้องกันการถูกขโมย Session Cookies
   4.3 เข้ารหัสข้อมูลสำคัญ จัดเก็บความลับ เช่น API Keys หรือรหัสผ่าน ไว้ในรูปแบบ "Sensitive/Secret Environment Variables" เพื่อให้ระบบเข้ารหัสข้อมูลขั้นสูง
   4.4 รักษาความปลอดภัยอุปกรณ์ (Endpoint) ติดตั้งและอัปเดตระบบป้องกัน (EDR/Antivirus) บนเครื่องพนักงาน และหลีกเลี่ยงการใช้งานซอฟต์แวร์เถื่อน
   
   #CyberSecurity #ThaiCERT #LummaStealer #DataBreach #SupplyChainAttack #Infosec #ITAdmin

แหล่งอ้างอิง
[1] https://dg.th/ncl46w2kqz
[2] https://dg.th/det6hsmwyb