302/69 (IT) ประจำวันศุกร์ที่ 5 มิถุนายน 2569
นักวิจัยจากทีม Threat Hunting ของ Broadcom Symantec และ Carbon Black รายงานการตรวจพบแคมเปญจารกรรมไซเบอร์ที่มุ่งเป้าไปที่บัญชี Outlook ของผู้บริหารระดับสูงในตลาดหลักทรัพย์ขนาดใหญ่แห่งหนึ่งของโลก โดยผู้โจมตีสามารถแฝงตัวอยู่ในบัญชีอีเมลดังกล่าวเป็นเวลาประมาณ 150 วัน ตั้งแต่เดือนตุลาคม 2568 ถึงเดือนมีนาคม 2569 ทั้งนี้ นักวิจัยไม่ได้เปิดเผยชื่อของตลาดหลักทรัพย์ที่ได้รับผลกระทบ และยังไม่ได้ระบุว่าการโจมตีดังกล่าวเชื่อมโยงกับกลุ่มภัยคุกคามใดโดยเฉพาะ อย่างไรก็ตาม ลักษณะการโจมตีแสดงถึงปฏิบัติการจารกรรมที่มีการกำหนดเป้าหมายอย่างชัดเจน มากกว่าการโจมตีเพื่อผลประโยชน์ทางการเงินโดยตรง
จากการวิเคราะห์พบว่าผู้โจมตีมุ่งเน้นการขโมยข้อมูลจากกล่องจดหมายของผู้บริหารอย่างต่อเนื่อง โดยข้อมูลในบัญชี Outlook อาจเปิดเผยรายละเอียดสำคัญ เช่น การเจรจาทางธุรกิจ การหารือภายในองค์กร ปฏิทินนัดหมาย รายชื่อผู้ติดต่อ แผนการเดินทาง รวมถึงข้อมูลที่อาจมีผลต่อความเคลื่อนไหวของตลาด นักวิจัยระบุว่า การเข้าถึงบัญชีอีเมลของผู้บริหารเพียงบัญชีเดียวอาจทำให้ผู้โจมตีมองเห็นภาพรวมของกิจกรรมและทิศทางขององค์กรได้อย่างละเอียด โดยไม่จำเป็นต้องเคลื่อนย้ายไปยังระบบอื่นภายในเครือข่าย ทั้งนี้ กิจกรรมต้องสงสัยเริ่มปรากฏเมื่อวันที่ 10 ตุลาคม 2568 โดยพบไฟล์อันตราย 2 รายการทำงานด้วยสิทธิ์ระดับ SYSTEM และปลอมตัวเป็นกระบวนการของ Adobe Acrobat และ OneDrive
การโจมตีเริ่มมีการเคลื่อนไหวชัดเจนเมื่อวันที่ 12 พฤศจิกายน 2568 หลังช่องทาง Command-and-Control เริ่มทำงานและมีการส่งข้อมูลออกจากระบบ โดยผู้โจมตีใช้เครื่องมือที่หุ้มไลบรารี .NET เชิงพาณิชย์ชื่อ Aspose ซึ่งสามารถอ่านไฟล์กล่องจดหมาย Outlook ได้ เพื่อนำไฟล์ OST ของผู้บริหารมาแปลงเป็นไฟล์ PST และส่งออกเป็นชุดข้อมูลขนาดเล็กผ่าน Dropbox และ OneDrive Personal เพื่อลดโอกาสถูกตรวจจับ นอกจากนี้ ผู้โจมตียังใช้ Scheduled Task ที่ปลอมชื่อเป็นบริการของ Adobe, Lenovo และ OneDrive เพื่อคงการเข้าถึงระบบอย่างต่อเนื่องเป็นระยะเวลาหลายเดือน นักวิจัยประเมินว่าแคมเปญนี้มีความรอบคอบสูงและอาจเกี่ยวข้องกับปฏิบัติการระดับรัฐ พร้อมเผยแพร่ Indicators of Compromise เช่น Hash ของไฟล์ที่เกี่ยวข้อง เพื่อให้องค์กร โดยเฉพาะสถาบันการเงิน หน่วยงานกำกับดูแล และองค์กรที่ถือครองข้อมูลอ่อนไหวต่อการเคลื่อนไหวของตลาด ใช้ตรวจสอบและยกระดับการเฝ้าระวังต่อไป