341/68 (IT) ประจำวันจันทร์ที่ 15 กันยายน 2568
สำนักงานสอบสวนกลางสหรัฐฯ (FBI) ออกประกาศ Flash Alert แจ้งเตือนการโจมตีไซเบอร์จากสองกลุ่มคือ UNC6040 และ UNC6395 ที่กำลังมุ่งเป้าโจมตีแพลตฟอร์ม Salesforce อย่างต่อเนื่อง โดยมีวัตถุประสงค์หลักเพื่อขโมยข้อมูลสำคัญขององค์กรและเรียกค่าไถ่ พร้อมทั้งได้เผยแพร่ Indicators of Compromise (IoCs) เพื่อให้องค์กรต่าง ๆ สามารถนำไปใช้ตรวจสอบและป้องกันได้
ตั้งแต่ต้นปี 2025 กลุ่ม UNC6040 ถูกพบว่าได้ใช้เทคนิค Vishing และ Social Engineering ที่ทำการปลอมตัวเป็นเจ้าหน้าที่ IT Support หลอกให้พนักงาน โดยเฉพาะฝ่าย Call Center อนุมัติการเชื่อมต่อแอปพลิเคชันอันตราย เช่น Salesforce Data Loader ที่ถูกเปลี่ยนแปลง จากนั้นผู้โจมตีใช้ OAuth Tokens เพื่อเลี่ยงการยืนยันตัวตนแบบหลายขั้นตอน (MFA) และดึงข้อมูลปริมาณมากผ่าน API ก่อนส่งอีเมลเรียกค่าไถ่ ในชื่อของกลุ่ม ShinyHunters หรือพันธมิตร เช่น Scattered Spider ส่วนกลุ่ม UNC6395 ใช้วิธีที่แตกต่าง โดยอาศัย OAuth Tokens ของ Salesloft Drift Application ที่ถูกขโมยเพื่อเข้าถึง Salesforce Instance ของเหยื่อและดำเนินการ Data Exfiltration เหตุการณ์นี้บังคับให้บริษัท Salesloft ต้องเพิกถอน Token ทั้งหมดเมื่อวันที่ 20 สิงหาคม 2025 เพื่อหยุดการเข้าถึงของผู้โจมตี
FBI แนะนำให้องค์กรที่ใช้ Salesforce และระบบที่เกี่ยวข้องเร่งดำเนินการเพิ่มมาตรการป้องกัน ได้แก่ การฝึกอบรมพนักงาน Call Center ให้ตระหนักถึงความเสี่ยงจาก Phishing/Vishing, บังคับใช้ MFA, ใช้หลักการ Least Privilege กับระบบ AAA, จำกัดการเข้าถึงตาม IP Address, เฝ้าระวัง API Usage, ตรวจสอบ Logs และ Browser Sessions, รวมถึงหมุนเวียน API Keys, Credentials และ Authentication Tokens อย่างสม่ำเสมอ
