สรุปสั้น
แฮ็กเกอร์เข้าถึงบัญชีอีเมลของผู้บริหารระดับสูงในตลาดหลักทรัพย์ระดับโลกแห่งหนึ่ง และขโมยข้อมูลต่อเนื่องนานหลายเดือน โดยการโจมตีนี้ถูกสอบสวนโดยทีม threat hunting ของบริษัท Broadcom ภายใต้ Symantec และ Carbon Black ซึ่งพบว่าเริ่มตั้งแต่เดือนตุลาคม 2568 และผู้โจมตียังคงเข้าถึงกล่องเมล Outlook ที่ถูกเจาะได้จนถึงเดือนมีนาคม 2569 รวมระยะเวลาฝังตัว (dwell time) ราว 150 วัน
เป้าหมายของปฏิบัติการน่าจะเป็นการจารกรรม แต่ Symantec และ Carbon Black ไม่ได้เปิดเผยว่าใครอยู่เบื้องหลังหรือตลาดหลักทรัพย์ใดถูกโจมตี โดยนักวิจัยอธิบายว่ากล่องเมลของผู้บริหารระดับสูงเป็นเป้าหมายข่าวกรองมูลค่าสูง เพราะอาจเผยรายละเอียดการเจรจาภายนอก การหารือภายใน ปฏิทิน รูปแบบการเดินทาง และรายชื่อผู้ติดต่อ
ที่สำคัญ องค์กรอย่างตลาดหลักทรัพย์และหน่วยกำกับดูแลอาจถือข้อมูลที่ไม่เปิดเผยต่อสาธารณะเกี่ยวกับการจดทะเบียน การบังคับใช้กฎหมาย และเหตุการณ์ที่ส่งผลต่อตลาด การเข้าถึงกล่องเมลนานหลายเดือนจึงทำให้ผู้โจมตีสร้างภาพรวมการทำงานของเป้าหมายและทิศทางขององค์กรได้เกือบสมบูรณ์ โดยไม่ต้องเคลื่อนตัวด้านข้างไปยังส่วนอื่นของเครือข่าย
รายละเอียดข่าว
เว็บไซต์ SecurityWeek รายงานเมื่อวันที่ 3 มิถุนายน 2569 ว่าแฮ็กเกอร์เข้าถึงบัญชีอีเมลของผู้บริหารระดับสูงในตลาดหลักทรัพย์ระดับโลก และขโมยข้อมูลต่อเนื่องนานหลายเดือน โดยการโจมตีถูกสอบสวนโดยทีมของบริษัท Broadcom ภายใต้แบรนด์ Symantec และ Carbon Black
ทีมวิจัยระบุว่าการโจมตีเริ่มในเดือนตุลาคม 2568 และผู้โจมตีคงการเข้าถึงกล่องเมล Outlook ที่ถูกเจาะจนถึงเดือนมีนาคม 2569 ประเมิน dwell time ราว 150 วัน โดยสัญญาณกิจกรรมอันตรายแรกพบเมื่อวันที่ 10 ตุลาคม 2568 ซึ่งขณะนั้นมีมัลแวร์ทำงานอยู่บนเครื่องที่ถูกเจาะแล้ว ปลอมตัวเป็นแอปพลิเคชัน Adobe และ OneDrive
ช่องทาง C2 ถูกตั้งขึ้นเมื่อวันที่ 12 พฤศจิกายน ซึ่งเป็นช่วงที่ผู้โจมตีเริ่มเก็บและขโมยข้อมูลออกไปด้วย เพื่อเลี่ยงไม่ให้เกิดความสงสัย ผู้โจมตีใช้ Dropbox และ OneDrive ในการส่งไฟล์ออก โดยโอนเพียงครั้งละชุดเล็ก ๆ นักวิจัยอธิบายว่าผลสะสมตลอด 5 เดือนคือการขโมยกล่องเมล Outlook ของเหยื่อแบบเกือบต่อเนื่อง โดยแบ่งเป็น archive ย่อยขนาดเล็กพอที่จะไม่กระตุ้นซอฟต์แวร์ความปลอดภัย
ผู้โจมตียังทำงานเรื่อง persistence อย่างต่อเนื่อง โดยลงทะเบียน task ใหม่เป็นระยะ ปลอมเป็นบริการระบบของ Adobe, Lenovo และ OneDrive เพื่อรักษาการเข้าถึง ทั้งนี้ Symantec และ Carbon Black ได้เผยแพร่ตัวบ่งชี้การบุกรุก (IoC) เพื่อช่วยให้องค์กรอื่นตรวจจับการโจมตีลักษณะเดียวกันได้
วิธีการโจมตี
แม้ช่องทางการเข้าถึงเริ่มต้น (initial access vector) จะยังไม่ทราบแน่ชัด แต่เมื่อเข้าถึงได้แล้ว ผู้โจมตีติดตั้งมัลแวร์ที่ปลอมตัวเป็นแอปพลิเคชัน Adobe และ OneDrive เพื่อให้ดูเหมือนกระบวนการปกติของระบบ และหลีกเลี่ยงการถูกสังเกต
หัวใจของปฏิบัติการคือการขโมยข้อมูลแบบ “ทีละนิด” (low and slow) โดยตั้งช่องทาง C2 แล้วใช้บริการคลาวด์ที่ถูกกฎหมายอย่าง Dropbox และ OneDrive ส่งไฟล์ออก ครั้งละชุดเล็ก เพื่อให้ทราฟฟิกกลมกลืนกับการใช้งานปกติและไม่กระตุ้นการแจ้งเตือนจากเครื่องมือความปลอดภัย ทำให้สามารถดูดเมลทั้งกล่องออกไปได้ตลอด 5 เดือน
เพื่อรักษาการเข้าถึงระยะยาว ผู้โจมตี re-register scheduled task เป็นระยะ โดยปลอมเป็นบริการระบบของแบรนด์ที่น่าเชื่อถืออย่าง Adobe, Lenovo และ OneDrive ซึ่งเป็นเทคนิค persistence ที่ทำให้ผู้ดูแลระบบแยกแยะจากบริการจริงได้ยาก
ผลกระทบต่อไทย
ตลาดหลักทรัพย์ หน่วยกำกับดูแล และสถาบันการเงินของไทยถือเป็นเป้าหมายมูลค่าสูงในลักษณะเดียวกัน เพราะถือข้อมูลที่ไม่เปิดเผยต่อสาธารณะซึ่งอาจส่งผลต่อตลาด ทำให้กล่องเมลของผู้บริหารระดับสูงเป็นเป้าหมายข่าวกรองที่น่าสนใจสำหรับผู้โจมตีระดับรัฐ
เทคนิคการขโมยข้อมูลแบบทีละชุดเล็กผ่าน Dropbox และ OneDrive เป็นภัยที่องค์กรไทยจำนวนมากตรวจจับได้ยาก เพราะมักอนุญาตให้พนักงานใช้บริการคลาวด์เหล่านี้ และการโอนไฟล์ขนาดเล็กไม่กระตุ้นการแจ้งเตือน DLP ทั่วไป
นอกจากนี้ การที่ผู้โจมตีฝังตัวได้นานถึง 150 วันโดยไม่ถูกตรวจพบ สะท้อนถึงความสำคัญของการตรวจสอบพฤติกรรมบัญชีอีเมลและ persistence เชิงลึก ซึ่งองค์กรไทยควรนำมาปรับใช้กับผู้บริหารและบัญชีที่มีสิทธิ์เข้าถึงข้อมูลอ่อนไหว
คำแนะนำ
- เปิด MFA และตรวจสอบ session ผิดปกติ — โดยเฉพาะบัญชีอีเมลของผู้บริหารระดับสูง เพื่อลดความเสี่ยงการถูกเจาะกล่องเมล
- เฝ้าระวังการส่งข้อมูลออกผ่านคลาวด์ — ตั้งกฎ DLP/CASB ตรวจจับการอัปโหลดไป Dropbox/OneDrive ที่ผิดปกติ แม้เป็นไฟล์ขนาดเล็ก
- ตรวจ scheduled task ที่ปลอมเป็นบริการ — มองหา task ที่อ้างว่าเป็นของ Adobe, Lenovo, OneDrive แต่ตั้งค่าผิดปกติ
- ใช้ IoC ที่ Symantec/Carbon Black เผยแพร่ — นำมาตรวจสอบในระบบเพื่อหาร่องรอยการโจมตีลักษณะเดียวกัน
- ตรวจสอบมัลแวร์ที่ปลอมเป็นแอปยอดนิยม — เฝ้าระวัง process ที่อ้างเป็น Adobe/OneDrive แต่มีพฤติกรรมผิดปกติ
- ทำ threat hunting เชิงรุกกับบัญชีสำคัญ — เพราะการโจมตีแบบ low and slow มักหลบการแจ้งเตือนอัตโนมัติ
