กลุ่ม APT28 (หรือที่รู้จักในชื่อ BlueDelta) ซึ่งเป็นกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซียและเชื่อมโยงกับ GRU ได้ถูกระบุว่าอยู่เบื้องหลังการโจมตีขโมยข้อมูลรับรองครั้งใหม่ แคมเปญนี้มีเป้าหมายไปยังบุคคลที่เกี่ยวข้องกับหน่วยงานวิจัยพลังงานและนิวเคลียร์ของตุรกี รวมถึงเจ้าหน้าที่ของสถาบันคลังสมองในยุโรป และองค์กรในมาซิโดเนียเหนือและอุซเบกิสถาน การโจมตีเกิดขึ้นในช่วงเดือนกุมภาพันธ์และกันยายน 2025 โดยใช้หน้าเข้าสู่ระบบปลอมที่เลียนแบบบริการยอดนิยม เช่น Microsoft Outlook Web Access (OWA), Google และพอร์ทัล Sophos VPN เพื่อหลอกให้เหยื่อกรอกข้อมูลรับรอง.
Severity: สูง
System Impact:
- Microsoft Outlook Web Access (OWA)
- Google login pages
- Sophos VPN portals
- Webhook.site (ใช้สำหรับการเปลี่ยนเส้นทางและการดึงข้อมูล)
- InfinityFree (ใช้โฮสต์หน้าฟิชชิ่ง)
- Byet Internet Services (ใช้โฮสต์หน้าฟิชชิ่ง)
- ngrok (ใช้สำหรับการส่งออกข้อมูลที่ถูกขโมย)
Technical Attack Steps:
- ผู้โจมตีส่งอีเมลฟิชชิ่งที่มีลิงก์ย่อไปยังเป้าหมาย
- เมื่อคลิกลิงก์ย่อ เหยื่อจะถูกเปลี่ยนเส้นทางไปยัง URL ของ webhook.site
- Webhook.site จะแสดงเอกสาร PDF ลวงที่ดูน่าเชื่อถือ (เช่น เกี่ยวกับสงครามอิหร่าน-อิสราเอล หรือนโยบายสภาพภูมิอากาศ) ชั่วครู่ประมาณสองวินาที
- หลังจากแสดงผลสั้นๆ เหยื่อจะถูกเปลี่ยนเส้นทางไปยัง webhook.site แห่งที่สอง ซึ่งโฮสต์หน้าเข้าสู่ระบบปลอม (เช่น Microsoft OWA, Google, Sophos VPN)
- เมื่อเหยื่อกรอกข้อมูลรับรองบนหน้าเข้าสู่ระบบปลอม องค์ประกอบฟอร์ม HTML ที่ซ่อนอยู่พร้อม JavaScript จะทำงานดังนี้:
- – ส่งสัญญาณ ‘page opened’ (หน้าเปิดแล้ว)
- – ส่งข้อมูลรับรองที่ส่งไปยังปลายทาง webhook
- – เปลี่ยนเส้นทางเหยื่อกลับไปยังเว็บไซต์จริงของเอกสาร PDF ลวง เพื่อลดความสงสัย
- แคมเปญอื่นๆ ยังมีการใช้ InfinityFree และ Byet Internet Services ในการโฮสต์หน้าขโมยข้อมูลรับรอง และใช้ ngrok สำหรับส่งข้อมูลที่ถูกขโมยออกไป
Recommendations:
Short Term:
- เพิ่มความระมัดระวังในการเปิดอีเมลและคลิกลิงก์ที่ไม่รู้จัก โดยเฉพาะลิงก์ที่ถูกย่อและดูน่าสงสัย
- ตรวจสอบ URL ของหน้าล็อกอินอย่างละเอียดก่อนกรอกข้อมูลประจำตัวเสมอ เพื่อให้แน่ใจว่าเป็นโดเมนที่ถูกต้องและไม่ใช่หน้าปลอม
- เปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับบัญชีทั้งหมดที่มี เพื่อเพิ่มชั้นความปลอดภัยหากข้อมูลรับรองถูกขโมยไป
- ตรวจสอบและรักษาความปลอดภัยการเข้าถึง VPN และบริการคลาวด์ที่ใช้งานอย่างสม่ำเสมอ
Long Term:
- ลงทุนในโซลูชันความปลอดภัยทางอีเมลขั้นสูงที่มีความสามารถในการตรวจจับและป้องกันฟิชชิ่งแบบสปา
- จัดอบรมพนักงานอย่างต่อเนื่องเกี่ยวกับการรับรู้ภัยคุกคามทางไซเบอร์ เทคนิคฟิชชิ่ง และวิธีการระบุหน้าเข้าสู่ระบบปลอม
- ใช้โซลูชัน Identity and Access Management (IAM) ที่แข็งแกร่งเพื่อจัดการ ตรวจสอบ และควบคุมสิทธิ์การเข้าถึงของผู้ใช้
- ติดตามข่าวสารภัยคุกคามทางไซเบอร์และข้อมูลภัยคุกคาม (Threat Intelligence) อย่างสม่ำเสมอเพื่อรับมือกับเทคนิคและเป้าหมายใหม่ๆ ของกลุ่ม APT28
- พิจารณาการใช้บริการ VPN ที่มีความปลอดภัยสูงและมีการอัปเดตอย่างสม่ำเสมอ รวมถึงการตรวจสอบบันทึกการเข้าถึง VPN อย่างใกล้ชิด
Source: The Hacker News (https://thehackernews.com/2026/01/russian-apt28-runs-credential-stealing.html)
Share this content: