สรุปสั้น
นักวิจัยด้านความปลอดภัยกำลังเตือนภาคธุรกิจถึงกลุ่มภัยคุกคามใหม่ชื่อ Pink ที่ใช้ voice phishing (vishing) เพื่อหลบเลี่ยง multi-factor authentication และขโมยไฟล์จากสภาพแวดล้อมคลาวด์ กลุ่มนี้มุ่งเป้าข้อมูลขององค์กรเพื่อการรีดทรัพย์ทางการเงิน
ทีม Unit 42 ของ Palo Alto Networks เป็นผู้เปิดโปงภัยคุกคามนี้เป็นรายแรก โดยเชื่อว่าเชื่อมโยงกับเครือข่าย Com ที่กว้างกว่า นักวิจัยติดตามกลุ่มนี้ภายใต้รหัสคลัสเตอร์ CL-CRI-1147 และรายงานว่า Pink เปิด data leak site เฉพาะเมื่อวันที่ 31 พฤษภาคม 2026 พร้อมลิสต์เหยื่อรายแรกๆ หลายราย
ต่อมาบริษัทวิเคราะห์ความปลอดภัย Gurucul ได้เผยแพร่การวิเคราะห์ติดตามผลเมื่อวันที่ 4 มิถุนายน 2026 เพื่อช่วยให้บริษัทต่างๆ ตรวจจับร่องรอยของกลุ่มนี้ภายในเครือข่าย จุดเด่นของ Pink คือหลีกเลี่ยง payload มัลแวร์แบบดั้งเดิม แต่อาศัยการหลอกลวงทางโทรศัพท์และเครื่องมือคลาวด์ที่ถูกต้องตามกฎหมายแทน ทำให้ตรวจจับได้ยาก
รายละเอียดข่าว
เว็บไซต์ HackRead รายงานเมื่อวันที่ 6 มิถุนายน พ.ศ. 2569 ว่า งานวิจัยของ Unit 42 เผยให้เห็นว่า Pink หลีกเลี่ยงการใช้ payload มัลแวร์แบบเดิม แต่พึ่งพา voice phishing เพื่อมุ่งเป้าผู้ใช้ในองค์กร ด้วยการแอบอ้างเป็นเจ้าหน้าที่ IT ภายในผ่านโทรศัพท์ แล้วชักจูงให้พนักงานเข้าไปยังโดเมนขโมย credential เช่น passkeyadd.com หรือ passkeydeploy.com
เมื่อพนักงานหลงกลและกรอกข้อมูล แฮ็กเกอร์จะขโมย session การล็อกอินที่กำลังใช้งานอยู่ ทำให้สามารถข้ามการป้องกัน MFA ได้ จากนั้นเข้าถึงระบบ Microsoft 365 ขององค์กร และใช้เครื่องมืออัตโนมัติของ Microsoft เองในการกวาดข้อมูลจาก cloud storage ดึงไฟล์อ่อนไหวจากโฟลเดอร์ OneDrive และ SharePoint ออกมาในเวลาเพียงไม่กี่นาที
เมื่อได้ข้อมูลแล้ว การรีดทรัพย์ก็เริ่มขึ้น Pink ใช้บัญชีพนักงานที่ถูกเจาะส่งอีเมลถึงเพื่อนร่วมงานและส่งข้อความผ่าน Microsoft Teams ภายในเพื่อเรียกค่าไถ่ โดยให้เส้นตายแก่ผู้บริหาร 72 ชั่วโมงในการตอบสนอง หลังการเปิดเผยของ Unit 42 ทาง Gurucul ได้วิเคราะห์วิธีที่ Pink ทำงานบนเครื่อง workstation หลังเข้าถึงในขั้นต้น และพบว่ากลุ่มนี้ใช้วิธี fileless เพื่อซ่อนตัว แทนที่จะดาวน์โหลดไวรัสขนาดใหญ่ลงฮาร์ดดิสก์ แฮ็กเกอร์กลับวางคำสั่งโค้ดขนาดเล็กที่ซ่อนใน path ระบบที่ถูกต้องตามกฎหมาย
วิธีการโจมตี
ซอฟต์แวร์ของ Pink สร้างโค้ดหลักขึ้นมาโดยตรงภายใน temporary memory cache ของเครื่อง ทำให้มองไม่เห็นโดยสิ้นเชิงสำหรับ antivirus ที่สแกนแบบ folder-based ตามปกติ นอกจากนี้ Gurucul ยังพบว่าโค้ดจะตรวจสอบสภาพแวดล้อมของเครื่องก่อน หากพบ sandbox หรือห้องปฏิบัติการวิเคราะห์ที่ทีมความปลอดภัยใช้งาน มันจะซ่อนพฤติกรรมของตัวเอง เนื่องจาก Pink ใช้เครื่องมือคลาวด์ที่ถูกต้องตามกฎหมายและการเข้าถึงบัญชีที่แท้จริง firewall มาตรฐานจึงตรวจจับได้ยาก หัวใจของการโจมตีอยู่ที่การหลอกคนผ่านโทรศัพท์ (social engineering) ไม่ใช่การเจาะช่องโหว่ทางเทคนิค การขโมย active session ทำให้ MFA ที่หลายองค์กรเชื่อมั่นกลายเป็นไร้ผล เพราะผู้โจมตีเข้าระบบในฐานะผู้ใช้ที่ผ่านการยืนยันตัวตนแล้ว
ผลกระทบต่อไทย
องค์กรไทยจำนวนมากใช้ Microsoft 365, OneDrive และ SharePoint เป็นระบบเก็บเอกสารและทำงานร่วมกันหลัก ทำให้เป็นเป้าหมายโดยตรงของกลยุทธ์แบบ Pink การโจมตีด้วย vishing ที่แอบอ้างเป็นฝ่าย IT เป็นภัยที่ตรงกับบริบทไทยมาก เนื่องจากพนักงานจำนวนมากคุ้นเคยกับการได้รับการติดต่อจาก helpdesk และมักไว้ใจสายที่อ้างว่ามาจากฝ่ายไอที ภาษาและน้ำเสียงที่น่าเชื่อถือทำให้หลอกได้ง่าย ยิ่งไปกว่านั้นการที่ผู้โจมตีใช้บัญชีพนักงานจริงส่งข้อความรีดทรัพย์ผ่าน Teams และอีเมลภายใน ทำให้ดูน่าเชื่อถือและสร้างแรงกดดันสูง องค์กรไทยที่ไม่มีกระบวนการยืนยันตัวตนของสายที่โทรเข้ามาจึงเสี่ยงเป็นพิเศษ
คำแนะนำ
ฝึกอบรมพนักงานให้ตรวจสอบสายโทรศัพท์จากฝ่าย IT ที่ไม่คาดคิดด้วยช่องทางอิสระเสมอ เช่น โทรกลับผ่านเบอร์ภายในที่เป็นทางการ ก่อนทำตามคำขอใดๆ หลีกเลี่ยงการกรอก credential บนหน้าเว็บที่มาจากลิงก์ที่ได้รับทางโทรศัพท์หรืออีเมล พิจารณาใช้ phishing-resistant MFA เช่น FIDO2/passkey ที่ผูกกับอุปกรณ์ เพื่อลดความเสี่ยงจากการขโมย session ทีมความปลอดภัยควรตรวจหาสคริปต์อัตโนมัติที่ผิดปกติใน log บล็อกโดเมนที่ทราบว่ากลุ่มนี้ใช้ และใช้ behavioral monitoring เพื่อตรวจจับการดาวน์โหลดไฟล์จำนวนมากอย่างฉับพลันก่อนข้อมูลจะหลุดออกจากองค์กร พร้อมตั้งค่า conditional access และ session policy ใน Microsoft 365 ให้เข้มงวด
