16/69 (IT) ประจำวันจันทร์ที่ 12 มกราคม 2569
พบความเคลื่อนไหวของกลุ่มแฮกเกอร์ที่ชื่อ APT28 (หรือ BlueDelta) ได้ปฏิบัติการโจมตีเพื่อขโมยข้อมูลประจำตัวที่สำคัญ (Credential) โดยในครั้งนี้เป้าหมายหลักพุ่งเป้าไปที่บุคลากรในหน่วยงานวิจัยด้านพลังงานและนิวเคลียร์ของตุรกี รวมถึงเจ้าหน้าที่ในองค์กรของยุโรป และหน่วยงานในประเทศมาซิโดเนียและอุซเบกิสถาน ซึ่งสอดคล้องกับความต้องการข้อมูลข่าวกรองตามยุทธศาสตร์ของรัสเซีย
รูปแบบการโจมตีมีความซับซ้อนและแนบเนียน โดยเริ่มจากการส่ง Phishing Email ที่แนบลิงก์ย่อ เพื่อหลอกให้เหยื่อคลิก ระบบจะทำการ Redirect ผ่านบริการที่ถูกกฎหมายอย่าง Webhook[.]site เพื่อแสดงเอกสาร PDF ที่มีเนื้อหาเกี่ยวกับสถานการณ์โลก เช่น สงครามอิหร่าน-อิสราเอล หรือนโยบายสิ่งแวดล้อม เพื่อสร้างความน่าเชื่อถือเพียงชั่วครู่ ก่อนจะส่งเหยื่อไปยัง “หน้าล็อกอินปลอม” ที่ถูกออกแบบให้เหมือนกับหน้าเว็บ Microsoft Outlook Web Access (OWA), Google หรือ Sophos VPN อย่างแยกไม่ออก
สิ่งที่น่ากังวลในแคมเปญนี้คือ เทคนิคการหลบเลี่ยงการจับกุม โดยหลังจากที่เหยื่อเผลอกรอกรหัสผ่านลงไป สคริปต์เบื้องหลังจะทำการส่งข้อมูลกลับไปยังแฮกเกอร์ พร้อมกับ Redirect พาเหยื่อกลับไปยังหน้าเว็บไซต์เอกสารฉบับจริงทันที ทำให้เหยื่อไม่ทันรู้ตัวว่าตนเองได้ถูกขโมยข้อมูลไปแล้ว นอกจากนี้ APT28 ยังอาศัยโครงสร้างพื้นฐานทางอินเทอร์เน็ตฟรีต่าง ๆ (เช่น InfinityFree หรือ ngrok) เป็นฐานปฏิบัติการ ซึ่งสะท้อนให้เห็นถึงความพยายามในการรวบรวมข่าวกรองด้วยต้นทุนต่ำแต่ให้ผลลัพธ์ที่สร้างความเสียหายในวงกว้าง
แหล่งข่าว https://thehackernews.com/2026/01/russian-apt28-runs-credential-stealing.html
