258/69 (IT) ประจำวันอังคารที่ 12 พฤษภาคม 2569
SOCRadar เปิดเผยแคมเปญฟิชชิ่งระยะยาวชื่อ Operation HookedWing ซึ่งดำเนินต่อการเนื่องมานานกว่า 4 ปี และส่งผลกระทบต่อองค์กรมากกว่า 500 แห่ง โดยมีข้อมูลรับรองผู้ใช้ที่ถูกขโมยมากกว่า 2,000 ชุด เหยื่อกระจายอยู่ในหลายภาคส่วนสำคัญ เช่น การบิน โครงสร้างพื้นฐานสำคัญ พลังงาน การเงิน ภาครัฐ โลจิสติกส์ การบริหารภาครัฐ และเทคโนโลยี สะท้อนว่าเป็นปฏิบัติการที่มีการคัดเลือกเป้าหมาย ไม่ใช่การโจมตีแบบสุ่มทั่วไป
แคมเปญดังกล่าวใช้อีเมลฟิชชิ่งปลอมเป็นฝ่ายทรัพยากรบุคคล เพื่อนร่วมงาน หรือข้อความแจ้งเตือนจากบริการยอดนิยม เพื่อหลอกให้เหยื่อกดลิงก์ไปยังหน้าเว็บปลอม ที่ส่วนใหญ่โฮสต์อยู่บน GitHub รวมถึงแพลตฟอร์มอื่น เช่น Vercel และเซิร์ฟเวอร์ขององค์กรที่ถูกเจาะระบบแล้ว หน้าเว็บเหล่านี้ถูกออกแบบให้เลียนแบบ Microsoft/Outlook และแสดงหน้าจอโหลดแบบเต็มจอพร้อม ข้อความที่ปรับให้สอดคล้องกับชื่อองค์กรเหยื่อ เพื่อเพิ่มความน่าเชื่อถือและหลอกให้เหยื่อกรอกข้อมูลลงในแบบฟอร์มปลอม
เมื่อเหยื่อกรอกข้อมูลเข้าสู่ระบบ ข้อมูลที่ผู้โจมตีได้รับอาจรวมถึง อีเมล รหัสผ่าน IP address ข้อมูลตำแหน่งทางภูมิศาสตร์ URL ต้นทาง และโดเมนขององค์กรเหยื่อ SOCRadar ระบุว่าตรวจพบโครงสร้างพื้นฐานที่เกี่ยวข้องมากกว่า 20 เซิร์ฟเวอร์ C2, โดเมนแจกจ่ายบน GitHub มากกว่า 100 รายการ รวมถึงโดเมนบนแพลตฟอร์มอื่นอีกมากกว่า 12 รายการรูปแบบการโจมตีต่อเนื่องยาวนานและการมุ่งเป้าไปยังองค์กรที่มีความสำคัญเชิงยุทธศาสตร์ ทำให้แคมเปญนี้ถูกประเมินว่าเป็นปฏิบัติการที่มีทรัพยากรและการวางแผนสูง
แหล่งข่าว https://www.securityweek.com/over-500-organizations-hit-in-years-long-phishing-campaign/