สรุปสั้น

อาชญากรไซเบอร์กำลังใช้โครงสร้างพื้นฐานคลาวด์ที่เชื่อถือได้เป็นอาวุธมากขึ้นเรื่อย ๆ ทั้ง Amazon Web Services, Google Cloud, Microsoft Azure, Cloudflare และ GitHub เพื่อพรางทราฟฟิกอันตราย หลบการตรวจจับ และคงปฏิบัติการ Command and Control (C2) ให้อยู่รอดได้ยาวนาน โดยการสืบสวนข่าวกรองภัยคุกคามล่าสุดเผยให้เห็นว่าการใช้ในทางที่ผิดนี้ฝังลึกในห่วงโซ่การโจมตียุคใหม่

การสืบสวนโดยนักวิจัย Clandestine ใช้เครื่องมือ ANY.RUN Threat Intelligence Lookup ซึ่งทำดัชนี IOC, IOB และ IOA กว่า 50 ล้านรายการ พบรูปแบบซ้ำ ๆ ที่บริการถูกกฎหมายถูกเปลี่ยนเป็นเกราะกำบังกิจกรรมของผู้โจมตี โดยหนึ่งในผลที่น่าตกใจที่สุดมาจากการค้นด้วย JA3S TLS fingerprint แฮช 1af33e1657631357c73119488045302c ที่มักเชื่อมโยงกับ beacon ของ Cobalt Strike ซึ่งพบเหตุการณ์ระบบกว่า 1,000 รายการ ส่วนใหญ่วิ่งผ่านพอร์ต 443

ที่สำคัญ โครงสร้าง C2 ที่ผูกกับ fingerprint นี้ถูกโฮสต์กระจายบน Microsoft, GitHub, Google, Amazon และ Cloudflare ทำให้การบล็อกตามชื่อเสียง (reputation-based blocking) แบบดั้งเดิมใช้ไม่ได้ผล นอกจากนี้ยังพบแคมเปญฟิชชิงและ Business Email Compromise (BEC) ที่โฮสต์ไฟล์ใบแจ้งหนี้ปลอมบน Amazon S3 รวมถึงโดเมน .top จำนวนมากที่ถูกจัดว่าอันตราย

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 2 มิถุนายน 2569 ว่ามีการเปิดเผยผลการสืบสวนภัยคุกคามที่แสดงให้เห็นว่าอาชญากรไซเบอร์ใช้โครงสร้างคลาวด์ที่เชื่อถือได้เพื่อซ่อนทราฟฟิกอันตรายมากขึ้น โดยการสืบสวนใช้เครื่องมือ ANY.RUN Threat Intelligence Lookup ครอบคลุม 5 คำค้น OSINT แบบเจาะจง บนฐานข้อมูลที่รวบรวมจากการวิเคราะห์แซนด์บ็อกซ์แบบเรียลไทม์ของนักวิเคราะห์กว่า 500,000 คนทั่วโลก

หนึ่งในผลที่น่าตกใจที่สุดมาจากการค้นด้วย JA3S TLS fingerprint แฮช 1af33e1657631357c73119488045302c ซึ่งเป็นลายเซ็นที่มักเชื่อมโยงกับ beacon ของ Cobalt Strike นักวิเคราะห์พบเหตุการณ์ระบบกว่า 1,000 รายการ ส่วนใหญ่เกี่ยวข้องกับ process ของ Windows อย่าง slui.exe, svchost.exe และการใช้ PowerShell แบบ Living-off-the-Land (LOLBin) โดยการสื่อสารเกือบทั้งหมดวิ่งผ่านพอร์ต 443 (HTTPS) เพื่อกลมกลืนกับทราฟฟิกองค์กรปกติ

ที่สำคัญกว่านั้น โครงสร้าง C2 ที่ผูกกับ JA3S fingerprint นี้ถูกพบว่าโฮสต์กระจายอยู่บน Microsoft, GitHub, Google, Amazon และ Cloudflare ซึ่งเป็นการจงใจใช้แพลตฟอร์มที่มีชื่อเสียงเพื่อทำให้การบล็อกตาม reputation ไร้ผล โดยเทคนิค JA3S fingerprinting เป็นจุดยึดเชิงพฤติกรรมที่ยังติดตามได้แม้ผู้โจมตีจะหมุนเปลี่ยนโดเมนและ IP

การสืบสวนยังพบแคมเปญฟิชชิงที่มุ่งเป้าองค์กรในบราซิล โดยใช้ subdomain ของบริการระดับโลกควบคู่กับโดเมนอันตราย และพบแคมเปญ BEC ที่ใช้ไฟล์ PDF ใบแจ้งหนี้ปลอมชื่อ invoice.pdf และ pagamento.pdf (ภาษาโปรตุเกสแปลว่า “การชำระเงิน”) โฮสต์บน Amazon S3 bucket ซึ่งตอกย้ำว่าคลาวด์สตอเรจที่ถูกกฎหมายกลายเป็นพื้นที่เตรียมการส่ง payload ที่ผู้โจมตีนิยม

Attackers abuse AWS Google Cloud Cloudflare and Microsoft services to hide malicious traffic

วิธีการโจมตี

แกนหลักของเทคนิคนี้คือ “Living off Trusted Sites” คือการอาศัยบริการคลาวด์ที่องค์กรไว้ใจเป็นที่ตั้งของ C2, payload และหน้าฟิชชิง เพื่อให้ทราฟฟิกอันตรายปะปนกับทราฟฟิกปกติจนแยกไม่ออก และทำให้การ takedown โดเมนทำได้ยากเพราะอยู่บนแพลตฟอร์มใหญ่

beacon ของ Cobalt Strike ในแคมเปญนี้สื่อสารผ่านพอร์ต 443 แบบ HTTPS และใช้ process ของ Windows ที่ถูกต้อง (LOLBin) อย่าง slui.exe และ svchost.exe เพื่อกลบเกลื่อนกิจกรรม โดยมี JA3S fingerprint เป็นลายเซ็นที่คงอยู่แม้เปลี่ยน IP/โดเมน ซึ่งกลับกลายเป็นจุดที่ฝ่ายป้องกันใช้ติดตามได้

อีกแง่หนึ่ง การค้นแบบพฤติกรรมที่รวม geolocation IP รัสเซีย, การจัดประเภท trojan ของ Suricata และพอร์ต 443 เผยให้เห็นระบบนิเวศทราฟฟิกอันตรายที่ปลอมเป็นการเข้ารหัสเว็บทั่วไป โดยพบว่า TLD .top เป็นพื้นที่อันตรายเป็นพิเศษ มีโดเมนที่สร้างด้วย Domain Generation Algorithm (DGA) จำนวนมาก ซึ่งมักใช้ไฟล์ WinRAR ส่ง payload และใช้ Cloudflare ซ่อนตำแหน่งเซิร์ฟเวอร์จริง จนหลายองค์กรเริ่มบล็อก TLD .top ทั้งหมดที่ขอบเครือข่าย

ผลกระทบต่อไทย

องค์กรไทยส่วนใหญ่ใช้บริการคลาวด์อย่าง AWS, Google Cloud, Azure และ Cloudflare เป็นโครงสร้างพื้นฐานหลัก และมักตั้งค่า firewall ให้ไว้ใจทราฟฟิกที่วิ่งไปยังบริการเหล่านี้ ทำให้เทคนิคซ่อน C2 ในคลาวด์ที่เชื่อถือได้สามารถเล็ดลอดการตรวจจับขององค์กรไทยได้ง่าย

การที่ผู้โจมตีใช้พอร์ต 443 และโฮสต์บนแพลตฟอร์มชื่อดัง หมายความว่าการป้องกันแบบบล็อกตามชื่อเสียงหรือ IP/โดเมนไม่เพียงพออีกต่อไป องค์กรไทยจำเป็นต้องหันมาใช้การตรวจจับเชิงพฤติกรรมและ JA3S fingerprint แทน

นอกจากนี้ แคมเปญ BEC ที่ใช้ใบแจ้งหนี้ปลอมโฮสต์บนคลาวด์ที่ถูกกฎหมายเป็นภัยโดยตรงต่อฝ่ายการเงินและบัญชีของบริษัทไทย เพราะลิงก์ดูน่าเชื่อถือ และโดเมนความเสี่ยงสูงอย่าง .top, .shop, .cc ก็พบในแคมเปญที่มุ่งเป้าผู้ใช้ในหลายภูมิภาค

คำแนะนำ

  1. ใช้การตรวจจับเชิงพฤติกรรม — Deploy กฎตรวจจับที่อิง JA3S fingerprint, พฤติกรรม C2 ผ่าน HTTPS และการใช้ LOLBin แทนการพึ่ง reputation อย่างเดียว
  2. เฝ้าระวัง JA3S hash ที่พบ — ตรวจ telemetry เครือข่ายหาแฮช 1af33e1657631357c73119488045302c ซึ่งบ่งชี้การติด Cobalt Strike
  3. บล็อก TLD ความเสี่ยงสูง — พิจารณาบล็อก .top, .shop, .cc ที่ขอบเครือข่ายหากไม่จำเป็นต่อธุรกิจ
  4. ตรวจสอบทราฟฟิกไปคลาวด์ที่ไว้ใจ — แม้ปลายทางเป็น AWS/Google/Cloudflare ก็ควรตรวจรูปแบบการเชื่อมต่อที่ผิดปกติ
  5. อบรมฝ่ายการเงินเรื่อง BEC — ระวังไฟล์ใบแจ้งหนี้/เอกสารชำระเงินที่โฮสต์บนคลาวด์ และยืนยันผ่านช่องทางอื่นก่อนโอนเงิน
  6. ใช้แนวทาง Zero Trust — ไม่ไว้ใจทราฟฟิกเพียงเพราะปลายทางเป็นแบรนด์ใหญ่ พร้อมลงทุนใน sandbox-based detection

Indicators of Compromise (IoCs)

ประเภทตัวบ่งชี้คำอธิบาย
JA3S Hash1af33e1657631357c73119488045302cลายเซ็น TLS ที่เชื่อมโยงกับ beacon ของ Cobalt Strike
Port443 (HTTPS)ช่องทางสื่อสาร C2 หลัก ปลอมเป็นทราฟฟิกเว็บปกติ
Process (LOLBin)slui.exe, svchost.exe, powershellprocess Windows ที่ถูกใช้กลบเกลื่อนกิจกรรม C2
File Nameinvoice.pdf, pagamento.pdfไฟล์ใบแจ้งหนี้ปลอมในแคมเปญ BEC (โฮสต์บน Amazon S3)
TLD.top, .shop, .ccโดเมนความเสี่ยงสูง มักใช้ DGA + ส่ง payload ผ่าน WinRAR
Cloud PlatformAWS, Google Cloud, Azure, Cloudflare, GitHubบริการที่ถูกใช้โฮสต์ C2/payload/ฟิชชิง เพื่อหลบการบล็อกตาม reputation

หมายเหตุ: ใช้การตรวจจับเชิงพฤติกรรมร่วมกับตัวบ่งชี้ข้างต้น เนื่องจากผู้โจมตีหมุนเปลี่ยนโดเมน/IP บ่อย แต่ JA3S fingerprint และพฤติกรรมยังคงติดตามได้

แหล่งอ้างอิง