Scattered Spider เป็นกลุ่มแฮกเกอร์ที่เริ่มปรากฏตัวตั้งแต่ปี 2022 โดยใช้วิธี SIM-swapping และ ransomware โจมตีบริษัทโทรคมนาคมและบันเทิง เช่น MGM Resorts และ Caesars Entertainment แต่ในปี 2025 พวกเขาขยายเป้าหมายไปยังอุตสาหกรรมค้าปลีก (Marks & Spencer, Harrods) และสายการบิน (Hawaiian, Qantas) สร้างความเสียหายหลายล้านดอลลาร์
เทคนิคที่ใช้ล่าสุดคือการหลอกพนักงาน help desk ด้วยข้อมูลส่วนตัวของผู้บริหาร เช่น วันเกิดและเลขประกันสังคม เพื่อรีเซ็ตอุปกรณ์และเข้าถึงบัญชีระดับสูง จากนั้นใช้สิทธิ์นั้นเจาะระบบ Entra ID (Azure AD), SharePoint, Horizon VDI และ VPN เพื่อควบคุมระบบทั้งหมด
เมื่อถูกตรวจจับ กลุ่มนี้ไม่หนี แต่กลับโจมตีระบบอย่างเปิดเผย เช่น ลบกฎไฟร์วอลล์ของ Azure และปิด domain controller เพื่อขัดขวางการกู้คืนระบบ
นักวิจัยจาก Rapid7 และ ReliaQuest พบว่า Scattered Spider:
- ใช้เครื่องมือเช่น ngrok และ Teleport เพื่อสร้างช่องทางลับ
- ใช้ IAM role enumeration และ EC2 Serial Console เพื่อเจาะระบบ AWS
- ใช้บัญชีผู้ดูแลระบบที่ถูกแฮกเพื่อดึงข้อมูลจาก CyberArk password vault กว่า 1,400 รายการ
แม้ Microsoft จะเข้ามาช่วยกู้คืนระบบได้ในที่สุด แต่เหตุการณ์นี้แสดงให้เห็นถึงความสามารถของกลุ่มแฮกเกอร์ที่ผสมผสาน “การหลอกมนุษย์” กับ “การเจาะระบบเทคนิค” ได้อย่างมีประสิทธิภาพ
ข้อมูลจากข่าว
- Scattered Spider เริ่มโจมตีตั้งแต่ปี 2022 โดยใช้ SIM-swapping และ ransomware
- ขยายเป้าหมายไปยังอุตสาหกรรมค้าปลีกและสายการบินในปี 2025
- ใช้ข้อมูลส่วนตัวของผู้บริหารเพื่อหลอก help desk และเข้าถึงบัญชีระดับสูง
- เจาะระบบ Entra ID, SharePoint, Horizon VDI, VPN และ CyberArk
- ใช้เครื่องมือเช่น ngrok, Teleport, EC2 Serial Console และ IAM role enumeration
- ลบกฎไฟร์วอลล์ Azure และปิด domain controller เพื่อขัดขวางการกู้คืน
- Microsoft ต้องเข้ามาช่วยกู้คืนระบบ
- Rapid7 และ ReliaQuest แนะนำให้ใช้ MFA แบบต้าน phishing และจำกัดสิทธิ์ผู้ใช้งาน
คำเตือนและข้อควรระวัง
- การหลอก help desk ด้วยข้อมูลส่วนตัวยังคงเป็นช่องโหว่ใหญ่ขององค์กร
- บัญชีผู้บริหารมักมีสิทธิ์มากเกินไป ทำให้แฮกเกอร์เข้าถึงระบบได้ง่าย
- การใช้เครื่องมือ legitimate เช่น Teleport อาจหลบการตรวจจับได้
- หากไม่มีการตรวจสอบสิทธิ์และพฤติกรรมผู้ใช้อย่างสม่ำเสมอ องค์กรอาจไม่รู้ตัวว่าถูกแฮก
- การพึ่งพา endpoint detection เพียงอย่างเดียวไม่สามารถป้องกันการเจาะระบบแบบนี้ได้
- องค์กรควรฝึกอบรมพนักงานเรื่อง social engineering และมีระบบตรวจสอบการรีเซ็ตบัญชีที่เข้มงวด
https://www.csoonline.com/article/4020567/anatomy-of-a-scattered-spider-attack-a-growing-ransomware-threat-evolves.html
เทคนิคที่ใช้ล่าสุดคือการหลอกพนักงาน help desk ด้วยข้อมูลส่วนตัวของผู้บริหาร เช่น วันเกิดและเลขประกันสังคม เพื่อรีเซ็ตอุปกรณ์และเข้าถึงบัญชีระดับสูง จากนั้นใช้สิทธิ์นั้นเจาะระบบ Entra ID (Azure AD), SharePoint, Horizon VDI และ VPN เพื่อควบคุมระบบทั้งหมด
เมื่อถูกตรวจจับ กลุ่มนี้ไม่หนี แต่กลับโจมตีระบบอย่างเปิดเผย เช่น ลบกฎไฟร์วอลล์ของ Azure และปิด domain controller เพื่อขัดขวางการกู้คืนระบบ
นักวิจัยจาก Rapid7 และ ReliaQuest พบว่า Scattered Spider:
- ใช้เครื่องมือเช่น ngrok และ Teleport เพื่อสร้างช่องทางลับ
- ใช้ IAM role enumeration และ EC2 Serial Console เพื่อเจาะระบบ AWS
- ใช้บัญชีผู้ดูแลระบบที่ถูกแฮกเพื่อดึงข้อมูลจาก CyberArk password vault กว่า 1,400 รายการ
แม้ Microsoft จะเข้ามาช่วยกู้คืนระบบได้ในที่สุด แต่เหตุการณ์นี้แสดงให้เห็นถึงความสามารถของกลุ่มแฮกเกอร์ที่ผสมผสาน “การหลอกมนุษย์” กับ “การเจาะระบบเทคนิค” ได้อย่างมีประสิทธิภาพ
ข้อมูลจากข่าว
- Scattered Spider เริ่มโจมตีตั้งแต่ปี 2022 โดยใช้ SIM-swapping และ ransomware
- ขยายเป้าหมายไปยังอุตสาหกรรมค้าปลีกและสายการบินในปี 2025
- ใช้ข้อมูลส่วนตัวของผู้บริหารเพื่อหลอก help desk และเข้าถึงบัญชีระดับสูง
- เจาะระบบ Entra ID, SharePoint, Horizon VDI, VPN และ CyberArk
- ใช้เครื่องมือเช่น ngrok, Teleport, EC2 Serial Console และ IAM role enumeration
- ลบกฎไฟร์วอลล์ Azure และปิด domain controller เพื่อขัดขวางการกู้คืน
- Microsoft ต้องเข้ามาช่วยกู้คืนระบบ
- Rapid7 และ ReliaQuest แนะนำให้ใช้ MFA แบบต้าน phishing และจำกัดสิทธิ์ผู้ใช้งาน
คำเตือนและข้อควรระวัง
- การหลอก help desk ด้วยข้อมูลส่วนตัวยังคงเป็นช่องโหว่ใหญ่ขององค์กร
- บัญชีผู้บริหารมักมีสิทธิ์มากเกินไป ทำให้แฮกเกอร์เข้าถึงระบบได้ง่าย
- การใช้เครื่องมือ legitimate เช่น Teleport อาจหลบการตรวจจับได้
- หากไม่มีการตรวจสอบสิทธิ์และพฤติกรรมผู้ใช้อย่างสม่ำเสมอ องค์กรอาจไม่รู้ตัวว่าถูกแฮก
- การพึ่งพา endpoint detection เพียงอย่างเดียวไม่สามารถป้องกันการเจาะระบบแบบนี้ได้
- องค์กรควรฝึกอบรมพนักงานเรื่อง social engineering และมีระบบตรวจสอบการรีเซ็ตบัญชีที่เข้มงวด
https://www.csoonline.com/article/4020567/anatomy-of-a-scattered-spider-attack-a-growing-ransomware-threat-evolves.html
Scattered Spider เป็นกลุ่มแฮกเกอร์ที่เริ่มปรากฏตัวตั้งแต่ปี 2022 โดยใช้วิธี SIM-swapping และ ransomware โจมตีบริษัทโทรคมนาคมและบันเทิง เช่น MGM Resorts และ Caesars Entertainment แต่ในปี 2025 พวกเขาขยายเป้าหมายไปยังอุตสาหกรรมค้าปลีก (Marks & Spencer, Harrods) และสายการบิน (Hawaiian, Qantas) สร้างความเสียหายหลายล้านดอลลาร์
เทคนิคที่ใช้ล่าสุดคือการหลอกพนักงาน help desk ด้วยข้อมูลส่วนตัวของผู้บริหาร เช่น วันเกิดและเลขประกันสังคม เพื่อรีเซ็ตอุปกรณ์และเข้าถึงบัญชีระดับสูง จากนั้นใช้สิทธิ์นั้นเจาะระบบ Entra ID (Azure AD), SharePoint, Horizon VDI และ VPN เพื่อควบคุมระบบทั้งหมด
เมื่อถูกตรวจจับ กลุ่มนี้ไม่หนี แต่กลับโจมตีระบบอย่างเปิดเผย เช่น ลบกฎไฟร์วอลล์ของ Azure และปิด domain controller เพื่อขัดขวางการกู้คืนระบบ
นักวิจัยจาก Rapid7 และ ReliaQuest พบว่า Scattered Spider:
- ใช้เครื่องมือเช่น ngrok และ Teleport เพื่อสร้างช่องทางลับ
- ใช้ IAM role enumeration และ EC2 Serial Console เพื่อเจาะระบบ AWS
- ใช้บัญชีผู้ดูแลระบบที่ถูกแฮกเพื่อดึงข้อมูลจาก CyberArk password vault กว่า 1,400 รายการ
แม้ Microsoft จะเข้ามาช่วยกู้คืนระบบได้ในที่สุด แต่เหตุการณ์นี้แสดงให้เห็นถึงความสามารถของกลุ่มแฮกเกอร์ที่ผสมผสาน “การหลอกมนุษย์” กับ “การเจาะระบบเทคนิค” ได้อย่างมีประสิทธิภาพ
✅ ข้อมูลจากข่าว
- Scattered Spider เริ่มโจมตีตั้งแต่ปี 2022 โดยใช้ SIM-swapping และ ransomware
- ขยายเป้าหมายไปยังอุตสาหกรรมค้าปลีกและสายการบินในปี 2025
- ใช้ข้อมูลส่วนตัวของผู้บริหารเพื่อหลอก help desk และเข้าถึงบัญชีระดับสูง
- เจาะระบบ Entra ID, SharePoint, Horizon VDI, VPN และ CyberArk
- ใช้เครื่องมือเช่น ngrok, Teleport, EC2 Serial Console และ IAM role enumeration
- ลบกฎไฟร์วอลล์ Azure และปิด domain controller เพื่อขัดขวางการกู้คืน
- Microsoft ต้องเข้ามาช่วยกู้คืนระบบ
- Rapid7 และ ReliaQuest แนะนำให้ใช้ MFA แบบต้าน phishing และจำกัดสิทธิ์ผู้ใช้งาน
‼️ คำเตือนและข้อควรระวัง
- การหลอก help desk ด้วยข้อมูลส่วนตัวยังคงเป็นช่องโหว่ใหญ่ขององค์กร
- บัญชีผู้บริหารมักมีสิทธิ์มากเกินไป ทำให้แฮกเกอร์เข้าถึงระบบได้ง่าย
- การใช้เครื่องมือ legitimate เช่น Teleport อาจหลบการตรวจจับได้
- หากไม่มีการตรวจสอบสิทธิ์และพฤติกรรมผู้ใช้อย่างสม่ำเสมอ องค์กรอาจไม่รู้ตัวว่าถูกแฮก
- การพึ่งพา endpoint detection เพียงอย่างเดียวไม่สามารถป้องกันการเจาะระบบแบบนี้ได้
- องค์กรควรฝึกอบรมพนักงานเรื่อง social engineering และมีระบบตรวจสอบการรีเซ็ตบัญชีที่เข้มงวด
https://www.csoonline.com/article/4020567/anatomy-of-a-scattered-spider-attack-a-growing-ransomware-threat-evolves.html
0 Comments
0 Shares
83 Views
0 Reviews
Thai