63/69 (IT) ประจำวันจันทร์ที่ 2 กุมภาพันธ์ 2569
Mandiant ตรวจพบการเคลื่อนไหวที่เพิ่มขึ้นของกลุ่มอาชญากรรมไซเบอร์ที่มีแรงจูงใจทางการเงิน ซึ่งใช้เทคนิคคล้ายคลึงกับกลุ่ม ShinyHunters การหลอกลวงผ่านโทรศัพท์ Vishing (Voice Phishing) โทรหาเหยื่อโดยแอบอ้างเป็นเจ้าหน้าที่ฝ่ายไอที เพื่อหลอกให้พนักงานเข้าไปยังเว็บไซต์ปลอมและทำการอัปเดตการตั้งค่า MFA ส่งผลให้ผู้โจมตีสามารถขโมยข้อมูลเข้าสู่ระบบแบบ Single Sign-On (SSO) และรหัสยืนยันตัวตน (MFA) โดยมีเป้าหมายหลักคือการเข้าสู่แพลตฟอร์ม SaaS บนคลาวด์เพื่อขโมยข้อมูลสำคัญและนำไปสู่การกรรโชกทรัพย์
เมื่อผู้โจมตีเข้าสู่ระบบได้จะทำการลงทะเบียนอุปกรณ์ของตนเองเข้ากับระบบ MFA ของเหยื่อเพื่อยึดครองบัญชี โดยกลุ่ม UNC6671 ถูกพบว่ามีการเข้าถึงบัญชีลูกค้า Okta และใช้ PowerShell เพื่อดาวน์โหลดข้อมูลจาก SharePoint และ OneDrive ส่วนกลุ่ม UNC6661 มีพฤติกรรมการใช้อีเมลที่ถูกยึดครองส่งข้อความฟิชชิงต่อไปยังบริษัทในกลุ่ม Cryptocurrency ก่อนลบข้อความเพื่อปกปิดร่องรอย นอกจากนี้ ยังพบการยกระดับการกรรโชกทรัพย์ด้วยการคุกคาม บุคลากรขององค์กรเหยื่อโดยตรง สะท้อนแนวโน้มการปรับเปลี่ยนยุทธวิธีอย่างต่อเนื่อง
Google ระบุว่าการโจมตีเกิดจากเทคนิควิศวกรรมสังคม (Social Engineering) ไม่ใช่ช่องโหว่ของผลิตภัณฑ์ แนะนำให้องค์กรยกระดับกระบวนการยืนยันตัวตนของฝ่าย Help Desk เช่น กำหนดให้มีการยืนยันตัวตนผ่านวิดีโอคอล และปรับใช้การยืนยันตัวตนที่ทนทานต่อการฟิชชิง (Phishing-resistant MFA) เช่น FIDO2 Security Keys หรือ Passkeys แทนการใช้ SMS, โทรศัพท์ หรือ การยืนยันแบบกดอนุมัติ (Push Notification) ซึ่งยังมีความเสี่ยงต่อการถูกหลอกลวง
แหล่งข่าว https://thehackernews.com/2026/01/mandiant-finds-shinyhunters-using.html
