สรุปสั้น
อาชญากรไซเบอร์กำลังใช้โครงสร้างพื้นฐานคลาวด์ที่เชื่อถือได้เป็นอาวุธมากขึ้นเรื่อย ๆ ทั้ง Amazon Web Services, Google Cloud, Microsoft Azure, Cloudflare และ GitHub เพื่อพรางทราฟฟิกอันตราย หลบการตรวจจับ และคงปฏิบัติการ Command and Control (C2) ให้อยู่รอดได้ยาวนาน โดยการสืบสวนข่าวกรองภัยคุกคามล่าสุดเผยให้เห็นว่าการใช้ในทางที่ผิดนี้ฝังลึกในห่วงโซ่การโจมตียุคใหม่
การสืบสวนโดยนักวิจัย Clandestine ใช้เครื่องมือ ANY.RUN Threat Intelligence Lookup ซึ่งทำดัชนี IOC, IOB และ IOA กว่า 50 ล้านรายการ พบรูปแบบซ้ำ ๆ ที่บริการถูกกฎหมายถูกเปลี่ยนเป็นเกราะกำบังกิจกรรมของผู้โจมตี โดยหนึ่งในผลที่น่าตกใจที่สุดมาจากการค้นด้วย JA3S TLS fingerprint แฮช 1af33e1657631357c73119488045302c ที่มักเชื่อมโยงกับ beacon ของ Cobalt Strike ซึ่งพบเหตุการณ์ระบบกว่า 1,000 รายการ ส่วนใหญ่วิ่งผ่านพอร์ต 443
ที่สำคัญ โครงสร้าง C2 ที่ผูกกับ fingerprint นี้ถูกโฮสต์กระจายบน Microsoft, GitHub, Google, Amazon และ Cloudflare ทำให้การบล็อกตามชื่อเสียง (reputation-based blocking) แบบดั้งเดิมใช้ไม่ได้ผล นอกจากนี้ยังพบแคมเปญฟิชชิงและ Business Email Compromise (BEC) ที่โฮสต์ไฟล์ใบแจ้งหนี้ปลอมบน Amazon S3 รวมถึงโดเมน .top จำนวนมากที่ถูกจัดว่าอันตราย
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 2 มิถุนายน 2569 ว่ามีการเปิดเผยผลการสืบสวนภัยคุกคามที่แสดงให้เห็นว่าอาชญากรไซเบอร์ใช้โครงสร้างคลาวด์ที่เชื่อถือได้เพื่อซ่อนทราฟฟิกอันตรายมากขึ้น โดยการสืบสวนใช้เครื่องมือ ANY.RUN Threat Intelligence Lookup ครอบคลุม 5 คำค้น OSINT แบบเจาะจง บนฐานข้อมูลที่รวบรวมจากการวิเคราะห์แซนด์บ็อกซ์แบบเรียลไทม์ของนักวิเคราะห์กว่า 500,000 คนทั่วโลก
หนึ่งในผลที่น่าตกใจที่สุดมาจากการค้นด้วย JA3S TLS fingerprint แฮช 1af33e1657631357c73119488045302c ซึ่งเป็นลายเซ็นที่มักเชื่อมโยงกับ beacon ของ Cobalt Strike นักวิเคราะห์พบเหตุการณ์ระบบกว่า 1,000 รายการ ส่วนใหญ่เกี่ยวข้องกับ process ของ Windows อย่าง slui.exe, svchost.exe และการใช้ PowerShell แบบ Living-off-the-Land (LOLBin) โดยการสื่อสารเกือบทั้งหมดวิ่งผ่านพอร์ต 443 (HTTPS) เพื่อกลมกลืนกับทราฟฟิกองค์กรปกติ
ที่สำคัญกว่านั้น โครงสร้าง C2 ที่ผูกกับ JA3S fingerprint นี้ถูกพบว่าโฮสต์กระจายอยู่บน Microsoft, GitHub, Google, Amazon และ Cloudflare ซึ่งเป็นการจงใจใช้แพลตฟอร์มที่มีชื่อเสียงเพื่อทำให้การบล็อกตาม reputation ไร้ผล โดยเทคนิค JA3S fingerprinting เป็นจุดยึดเชิงพฤติกรรมที่ยังติดตามได้แม้ผู้โจมตีจะหมุนเปลี่ยนโดเมนและ IP
การสืบสวนยังพบแคมเปญฟิชชิงที่มุ่งเป้าองค์กรในบราซิล โดยใช้ subdomain ของบริการระดับโลกควบคู่กับโดเมนอันตราย และพบแคมเปญ BEC ที่ใช้ไฟล์ PDF ใบแจ้งหนี้ปลอมชื่อ invoice.pdf และ pagamento.pdf (ภาษาโปรตุเกสแปลว่า “การชำระเงิน”) โฮสต์บน Amazon S3 bucket ซึ่งตอกย้ำว่าคลาวด์สตอเรจที่ถูกกฎหมายกลายเป็นพื้นที่เตรียมการส่ง payload ที่ผู้โจมตีนิยม

วิธีการโจมตี
แกนหลักของเทคนิคนี้คือ “Living off Trusted Sites” คือการอาศัยบริการคลาวด์ที่องค์กรไว้ใจเป็นที่ตั้งของ C2, payload และหน้าฟิชชิง เพื่อให้ทราฟฟิกอันตรายปะปนกับทราฟฟิกปกติจนแยกไม่ออก และทำให้การ takedown โดเมนทำได้ยากเพราะอยู่บนแพลตฟอร์มใหญ่
beacon ของ Cobalt Strike ในแคมเปญนี้สื่อสารผ่านพอร์ต 443 แบบ HTTPS และใช้ process ของ Windows ที่ถูกต้อง (LOLBin) อย่าง slui.exe และ svchost.exe เพื่อกลบเกลื่อนกิจกรรม โดยมี JA3S fingerprint เป็นลายเซ็นที่คงอยู่แม้เปลี่ยน IP/โดเมน ซึ่งกลับกลายเป็นจุดที่ฝ่ายป้องกันใช้ติดตามได้
อีกแง่หนึ่ง การค้นแบบพฤติกรรมที่รวม geolocation IP รัสเซีย, การจัดประเภท trojan ของ Suricata และพอร์ต 443 เผยให้เห็นระบบนิเวศทราฟฟิกอันตรายที่ปลอมเป็นการเข้ารหัสเว็บทั่วไป โดยพบว่า TLD .top เป็นพื้นที่อันตรายเป็นพิเศษ มีโดเมนที่สร้างด้วย Domain Generation Algorithm (DGA) จำนวนมาก ซึ่งมักใช้ไฟล์ WinRAR ส่ง payload และใช้ Cloudflare ซ่อนตำแหน่งเซิร์ฟเวอร์จริง จนหลายองค์กรเริ่มบล็อก TLD .top ทั้งหมดที่ขอบเครือข่าย
ผลกระทบต่อไทย
องค์กรไทยส่วนใหญ่ใช้บริการคลาวด์อย่าง AWS, Google Cloud, Azure และ Cloudflare เป็นโครงสร้างพื้นฐานหลัก และมักตั้งค่า firewall ให้ไว้ใจทราฟฟิกที่วิ่งไปยังบริการเหล่านี้ ทำให้เทคนิคซ่อน C2 ในคลาวด์ที่เชื่อถือได้สามารถเล็ดลอดการตรวจจับขององค์กรไทยได้ง่าย
การที่ผู้โจมตีใช้พอร์ต 443 และโฮสต์บนแพลตฟอร์มชื่อดัง หมายความว่าการป้องกันแบบบล็อกตามชื่อเสียงหรือ IP/โดเมนไม่เพียงพออีกต่อไป องค์กรไทยจำเป็นต้องหันมาใช้การตรวจจับเชิงพฤติกรรมและ JA3S fingerprint แทน
นอกจากนี้ แคมเปญ BEC ที่ใช้ใบแจ้งหนี้ปลอมโฮสต์บนคลาวด์ที่ถูกกฎหมายเป็นภัยโดยตรงต่อฝ่ายการเงินและบัญชีของบริษัทไทย เพราะลิงก์ดูน่าเชื่อถือ และโดเมนความเสี่ยงสูงอย่าง .top, .shop, .cc ก็พบในแคมเปญที่มุ่งเป้าผู้ใช้ในหลายภูมิภาค
คำแนะนำ
- ใช้การตรวจจับเชิงพฤติกรรม — Deploy กฎตรวจจับที่อิง JA3S fingerprint, พฤติกรรม C2 ผ่าน HTTPS และการใช้ LOLBin แทนการพึ่ง reputation อย่างเดียว
- เฝ้าระวัง JA3S hash ที่พบ — ตรวจ telemetry เครือข่ายหาแฮช 1af33e1657631357c73119488045302c ซึ่งบ่งชี้การติด Cobalt Strike
- บล็อก TLD ความเสี่ยงสูง — พิจารณาบล็อก .top, .shop, .cc ที่ขอบเครือข่ายหากไม่จำเป็นต่อธุรกิจ
- ตรวจสอบทราฟฟิกไปคลาวด์ที่ไว้ใจ — แม้ปลายทางเป็น AWS/Google/Cloudflare ก็ควรตรวจรูปแบบการเชื่อมต่อที่ผิดปกติ
- อบรมฝ่ายการเงินเรื่อง BEC — ระวังไฟล์ใบแจ้งหนี้/เอกสารชำระเงินที่โฮสต์บนคลาวด์ และยืนยันผ่านช่องทางอื่นก่อนโอนเงิน
- ใช้แนวทาง Zero Trust — ไม่ไว้ใจทราฟฟิกเพียงเพราะปลายทางเป็นแบรนด์ใหญ่ พร้อมลงทุนใน sandbox-based detection
Indicators of Compromise (IoCs)
| ประเภท | ตัวบ่งชี้ | คำอธิบาย |
|---|---|---|
| JA3S Hash | 1af33e1657631357c73119488045302c | ลายเซ็น TLS ที่เชื่อมโยงกับ beacon ของ Cobalt Strike |
| Port | 443 (HTTPS) | ช่องทางสื่อสาร C2 หลัก ปลอมเป็นทราฟฟิกเว็บปกติ |
| Process (LOLBin) | slui.exe, svchost.exe, powershell | process Windows ที่ถูกใช้กลบเกลื่อนกิจกรรม C2 |
| File Name | invoice.pdf, pagamento.pdf | ไฟล์ใบแจ้งหนี้ปลอมในแคมเปญ BEC (โฮสต์บน Amazon S3) |
| TLD | .top, .shop, .cc | โดเมนความเสี่ยงสูง มักใช้ DGA + ส่ง payload ผ่าน WinRAR |
| Cloud Platform | AWS, Google Cloud, Azure, Cloudflare, GitHub | บริการที่ถูกใช้โฮสต์ C2/payload/ฟิชชิง เพื่อหลบการบล็อกตาม reputation |
หมายเหตุ: ใช้การตรวจจับเชิงพฤติกรรมร่วมกับตัวบ่งชี้ข้างต้น เนื่องจากผู้โจมตีหมุนเปลี่ยนโดเมน/IP บ่อย แต่ JA3S fingerprint และพฤติกรรมยังคงติดตามได้
