สรุปสั้น
เกิดคลื่นการโจมตีแบบ vishing (voice phishing) ที่ผู้โจมตีใช้ฟีเจอร์ collaboration ข้ามองค์กรของ Microsoft Teams ปลอมเป็นทีม IT helpdesk
ผู้โจมตีใช้บัญชี Teams จากภายนอกหรือข้าม tenant โทรหรือส่งข้อความหาพนักงานเป้าหมายโดยไม่ได้นัดหมาย แล้วอ้างว่าเป็นฝ่ายสนับสนุน IT ภายใน
ด้วยวิศวกรรมสังคม ผู้โจมตีหลอกให้เหยื่อรันคำสั่ง อนุมัติเซสชัน remote access หรือติดตั้งเครื่องมือ RMM เช่น Quick Assist
เพราะการสนทนาเกิดในแพลตฟอร์มที่ดูน่าเชื่อถือ ไม่ใช่อีเมล ระบบป้องกันฟิชชิงแบบเดิมจึงมักตรวจไม่เจอ
ทีมตอบสนองเหตุการณ์หันมาใช้ Microsoft 365 Unified Audit Log (UAL) โดยเฉพาะ event CallParticipantDetail เป็นหลักฐานสำคัญ
เทคนิคนี้ถูกบันทึกว่าใช้ตั้งแต่พฤศจิกายน 2568 และกลุ่มแรกๆ ที่ใช้คือเครือข่าย Black Basta ransomware
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 29 พฤษภาคม 2569 ว่า กำลังเกิดคลื่นการโจมตี vishing ที่ผู้ก่อการใช้ฟีเจอร์ collaboration ข้ามองค์กรของ Microsoft Teams เพื่อปลอมเป็นเจ้าหน้าที่ IT helpdesk และผู้สืบสวน ห่วงโซ่การโจมตีเริ่มเมื่อผู้โจมตีที่ใช้บัญชี Teams จากภายนอกหรือข้าม tenant ริเริ่มโทรหรือส่งข้อความหาพนักงานเป้าหมายโดยไม่ได้นัดหมาย โดยแสดงตัวเป็นฝ่ายสนับสนุน IT ภายในองค์กร จากนั้นใช้วิศวกรรมสังคมหลอกให้เหยื่อรันคำสั่งที่ผู้โจมตีเตรียมไว้ อนุมัติเซสชันการเข้าถึงระยะไกล หรือติดตั้งเครื่องมือ Remote Monitoring and Management (RMM) เช่น Quick Assist เนื่องจากการโต้ตอบเกิดขึ้นภายในแพลตฟอร์ม collaboration ที่ดูน่าเชื่อถือแทนที่จะเป็นอีเมล ระบบป้องกันฟิชชิงแบบดั้งเดิมจึงมักไม่สามารถสกัดการบุกรุกได้ ทีม Detection and Response Team (DART) ของไมโครซอฟท์ได้บันทึกแคมเปญ vishing ผ่าน Teams แบบต่อเนื่องไว้ตั้งแต่เดือนพฤศจิกายน 2568 และพบว่าเส้นทางโจมตีนี้ปรากฏในหลายสภาพแวดล้อมองค์กร เครือข่าย Black Basta ransomware เป็นกลุ่มแรกๆ ที่นำเทคนิคนี้มาใช้ในวงกว้างเมื่อปี 2567 โดยผสมการปลอมตัวบน Teams เข้ากับการขโมย credential ผ่าน EvilProxy และเครื่องมือฝังตัว SystemBC
วิธีการโจมตีและการสืบสวน
นักวิจัยด้านความปลอดภัย Maurice Fielenbach ซึ่งกำลังสืบสวนหลายเหตุการณ์ ชี้ว่า event CallParticipantDetail ที่บันทึกภายใต้ workload MicrosoftTeams ใน UAL เป็นหลักฐานชิ้นสำคัญ
event นี้บันทึกตัวตนของผู้เข้าร่วม เวลาที่เข้า/ออกสาย ข้อมูล metadata ของการเชื่อมต่อ tenant ต้นทาง และตัวบ่งชี้ว่าเป็นผู้ใช้ federated หรือ external
อย่างไรก็ตาม schema ที่แท้จริงต่างกันตาม tenant และเส้นทางการเก็บข้อมูล นักวิเคราะห์จึงต้องตรวจสอบว่ามี field ใดบ้างก่อนสร้างการตรวจจับอัตโนมัติ
Fielenbach เตือนว่า ChatCreated ไม่ใช่สัญญาณที่เชื่อถือได้ การไม่มี event นี้ไม่ได้ยืนยันว่าไม่เคยมีแชตเกิดขึ้น และโดยทั่วไปบันทึกจะปรากฏใน UAL ภายใน 60–90 นาทีโดยไม่มี SLA รับประกัน ส่วนค่าเก็บข้อมูลปริยายคือ 180 วัน
เพื่อปะติดปะต่อไทม์ไลน์การโจมตีให้สมบูรณ์ ผู้สืบสวนต้องเชื่อมโยง CallParticipantDetail เข้ากับ event อื่น เช่น MessageSent, MessageCreatedHasLink และ telemetry จาก endpoint
หากต้องการเนื้อหาข้อความจริง การ query UAL แบบมาตรฐานไม่เพียงพอ ต้องใช้ Microsoft eDiscovery และ Content Search
ผลกระทบต่อไทย
Microsoft Teams เป็นแพลตฟอร์มสื่อสารหลักขององค์กรไทยจำนวนมาก ทั้งภาคเอกชน ราชการ และสถาบันการศึกษา โดยเฉพาะหลังยุค hybrid work ทำให้พื้นที่โจมตีนี้กว้างและมักถูกเฝ้าระวังน้อยกว่าอีเมล เทคนิคปลอมเป็น IT helpdesk ได้ผลดีในวัฒนธรรมองค์กรไทยที่พนักงานมักเกรงใจและทำตามคำขอของ “ฝ่าย IT” โดยไม่ตั้งคำถาม จึงเสี่ยงสูงเป็นพิเศษ การที่หลายองค์กรเปิด external federation ของ Teams ไว้แบบกว้างเพื่อความสะดวกในการติดต่อคู่ค้า ทำให้ผู้โจมตีจากภายนอกติดต่อพนักงานได้โดยตรง องค์กรไทยที่ใช้ Microsoft 365 ควรรู้ว่ามีหลักฐาน UAL ให้ใช้สืบสวนได้ แต่ต้องตั้งค่าและเข้าใจข้อจำกัดก่อน ไม่เช่นนั้นเมื่อเกิดเหตุจะปะติดปะต่อไทม์ไลน์ไม่ได้
คำแนะนำ
จำกัด external Teams federation ให้สื่อสารข้าม tenant ได้เฉพาะผู้ใช้หรือกลุ่มที่มีความจำเป็นทางธุรกิจชัดเจน
ถือว่าการติดต่อครั้งแรกจากภายนอกผ่าน Teams โดยเฉพาะเมื่อตามด้วยการแชร์ URL การเปิด Quick Assist หรือการสั่งรันสคริปต์ เป็นสัญญาณ vishing ที่ต้องตรวจสอบ
ใช้ Search-UnifiedAuditLog พร้อม -RecordType MicrosoftTeams ร่วมกับ telemetry ของ endpoint เพื่อมองเห็นห่วงโซ่การโจมตีทั้งหมด
ปิดหรือถอน Quick Assist และเครื่องมือ remote access รุ่นเก่าที่ไม่มีการยืนยันตัวตนสมัยใหม่หากไม่จำเป็น
บังคับใช้การยืนยันแบบ out-of-band ฝึกพนักงานให้ยืนยันคำขอจาก IT ผ่านช่องทางภายในที่รู้จักก่อนอนุมัติ remote access เสมอ
ตรวจสอบ event เสริม เช่น TeamsImpersonationDetected และ SecurityRiskInCallDetected เป็นตัวบ่งชี้ภัยเพิ่มเติม
