กลุ่มแฮกเกอร์ ShinyHunters อ้างความรับผิดชอบต่อการโจมตีแบบ Vishing (Voice Phishing) อย่างต่อเนื่อง ซึ่งมุ่งเป้าไปที่บัญชี Single Sign-On (SSO) ของ Okta, Microsoft และ Google การโจมตีนี้ช่วยให้ผู้คุกคามสามารถเข้าถึงแพลตฟอร์ม SaaS ขององค์กร และขโมยข้อมูลบริษัทเพื่อเรียกค่าไถ่ได้ โดย ShinyHunters ยืนยันว่าการโจมตีนี้เกิดขึ้นจริง และ Salesforce เป็นเป้าหมายหลัก แต่แพลตฟอร์มอื่น ๆ ก็ได้รับผลกระทบด้วย นอกจากนี้ กลุ่มยังได้เปิดเผยข้อมูลที่ถูกขโมยจาก SoundCloud, Betterment และ Crunchbase บนเว็บไซต์ Tor data leak ของพวกเขาอีกครั้ง
Severity: สูง
System Impact:
- Okta Single Sign-On (SSO)
- Microsoft Entra (เดิมคือ Azure AD) SSO
- Google SSO
- แพลตฟอร์ม SaaS ขององค์กรที่เชื่อมต่อกับ SSO (เช่น Salesforce, Microsoft 365, Google Workspace, Dropbox, Adobe, SAP, Slack, Zendesk, Atlassian)
- SoundCloud (ถูกโจมตีข้อมูล)
- Betterment (ถูกโจมตีข้อมูล)
- Crunchbase (ถูกโจมตีข้อมูลเครือข่ายองค์กร)
Technical Attack Steps:
- ผู้โจมตีปลอมตัวเป็นเจ้าหน้าที่ IT Support โทรศัพท์หาพนักงานเป้าหมาย (Vishing)
- พนักงานถูกหลอกให้กรอกข้อมูลประจำตัวและรหัส Multi-Factor Authentication (MFA) ลงในเว็บไซต์ฟิชชิ่งที่ปลอมแปลงขึ้นมา
- ชุดเครื่องมือฟิชชิ่ง (Phishing Kits) ถูกใช้เพื่อแสดงหน้าจอปลอมและควบคุมสิ่งที่เหยื่อเห็นแบบเรียลไทม์ เพื่อให้เหยื่อผ่านขั้นตอนการเข้าสู่ระบบและ MFA
- เมื่อเข้าถึงบัญชี SSO ของเหยื่อได้สำเร็จ ผู้โจมตีจะตรวจสอบรายการแอปพลิเคชันที่เชื่อมต่ออยู่ผ่านแดชบอร์ด SSO
- ผู้โจมตีทำการขโมยข้อมูลจากแพลตฟอร์มต่างๆ ที่ผู้ใช้รายนั้นมีสิทธิ์เข้าถึง
- กลุ่ม ShinyHunters ส่งข้อเรียกร้องการเรียกค่าไถ่ไปยังบริษัทที่ตกเป็นเหยื่อ โดยอ้างว่าข้อมูลถูกขโมยไป
- กลุ่มใช้ข้อมูลที่ถูกขโมยไปก่อนหน้านี้ (เช่น จากการโจมตี Salesforce) เพื่อระบุและติดต่อพนักงาน ทำให้การโจมตีแบบ Social Engineering น่าเชื่อถือยิ่งขึ้น
Recommendations:
Short Term:
- แจ้งเตือนพนักงานเกี่ยวกับภัยคุกคาม Vishing และ Phishing โดยเฉพาะที่เกี่ยวข้องกับการหลอกลวงว่าเป็น IT Support
- ตรวจสอบและยืนยันตัวตนของผู้โทรหากมีการร้องขอข้อมูลเข้าสู่ระบบหรือ MFA
- ส่งเสริมให้พนักงานรายงานสายโทรศัพท์หรือข้อความที่น่าสงสัยทันที
- ตรวจสอบบันทึกการเข้าสู่ระบบ SSO สำหรับกิจกรรมที่ผิดปกติ
Long Term:
- พิจารณาใช้งาน Multi-Factor Authentication (MFA) ที่แข็งแกร่งขึ้น เช่น FIDO2 หรือ Hardware Security Keys แทนการแจ้งเตือนแบบ Push หรือ TOTP ที่อาจถูกหลอกได้ง่ายกว่า
- ฝึกอบรมพนักงานอย่างต่อเนื่องเกี่ยวกับการรับรู้อาชญากรรมไซเบอร์ โดยเน้นเรื่อง Social Engineering และ Vishing
- ประเมินและปรับปรุงนโยบายการเข้าถึงและสิทธิ์บนแพลตฟอร์ม SaaS ที่เชื่อมต่อกับ SSO เพื่อจำกัดความเสียหายหากมีการเข้าถึงโดยไม่ได้รับอนุญาต
- ตรวจสอบการเปิดเผยข้อมูลขององค์กรที่อาจรั่วไหลบน Dark Web หรือเว็บบอร์ดของแฮกเกอร์ เพื่อป้องกันการนำข้อมูลนั้นมาใช้ในการโจมตีแบบ Social Engineering ในอนาคต
- ใช้ระบบตรวจสอบการเข้าถึงที่ครอบคลุม (Access Monitoring) และระบบตรวจจับพฤติกรรมที่ผิดปกติ (User Behavior Analytics) เพื่อตรวจจับการเข้าถึง SSO ที่น่าสงสัย
Share this content: