สรุปสั้น

คลื่นการแฮ็กล่าสุดที่ถูกระบุว่าเป็นฝีมือของกลุ่มอาชญากรไซเบอร์ ShinyHunters — เช่น University of Nottingham, DentaQuest, 7-Eleven, Medtronic และ Wynn Resorts — ตอกย้ำความจริงที่ผู้นำด้านความปลอดภัยไม่อาจมองข้าม นั่นคือผู้โจมตีเลี่ยงการป้องกันขอบเขตเครือข่ายแบบดั้งเดิมมากขึ้นเรื่อย ๆ และหันมาเล็ง identity เวิร์กโฟลว์การยืนยันตัวตน การเชื่อมต่อ SaaS และเส้นทางการเข้าถึงที่เชื่อถือได้ แทนที่จะใช้ประโยชน์จากช่องโหว่ซอฟต์แวร์โดยตรง ในช่วงหลายเดือนที่ผ่านมา ShinyHunters ถูกเชื่อมโยงกับการโจมตีที่เกี่ยวข้องกับสภาพแวดล้อม Salesforce ลูกค้า Snowflake การเชื่อม SaaS และแพลตฟอร์ม identity อย่าง Okta

นักวิจัยและทีมตอบสนองเหตุการณ์สังเกตเห็นรูปแบบเดียวกันซ้ำ ๆ คือการใช้ credential ที่ถูกขโมย OAuth token ที่ถูกยึด วิศวกรรมสังคม การโทรหลอก (vishing) และการใช้สิทธิ์การเข้าถึงที่ถูกต้องตามกฎหมายในทางมิชอบ นี่ไม่ใช่แค่เทรนด์การแฮ็กอีกครั้ง แต่เป็นหลักฐานว่า identity กลายเป็นสมรภูมิหลักของความปลอดภัยระดับองค์กร แทนที่จะ “เจาะเข้าไป” ผู้โจมตียุคใหม่เลือกที่จะ “ล็อกอินเข้าไป” โดยใช้ข้อมูลประจำตัวที่ถูกต้อง ทำให้ระบบความปลอดภัยแบบเดิมแยกแยะการบุกรุกจากกิจกรรมทางธุรกิจปกติได้ยากมาก

รายละเอียดข่าว

เว็บไซต์ SecurityWeek รายงานเมื่อวันที่ 22 มิถุนายน พ.ศ. 2569 ว่าการสืบสวนแคมเปญที่เกี่ยวข้องกับ ShinyHunters เผยให้เห็นการใช้เทคนิคซ้ำ ๆ ได้แก่ credential ที่เก็บเกี่ยวจาก infostealer การโจมตีแบบ MFA fatigue และ vishing การเชื่อม SaaS ที่ถูกยึด การใช้ OAuth token ในทางมิชอบ สิทธิ์ที่มากเกินไปในแอปพลิเคชันคลาวด์ การตั้งค่า identity และ guest-access ที่ผิดพลาด การใช้ประโยชน์จากความไว้วางใจของบุคคลที่สาม และการปลอมตัวเป็นฝ่าย help desk

ในแคมเปญ Salesforce Experience Cloud ที่เปิดเผยเมื่อต้นปีนี้ ผู้โจมตีใช้ประโยชน์จากการตั้งค่า guest-user ที่อนุญาตมากเกินไปเพื่อดึงข้อมูล CRM จากพอร์ทัลสาธารณะ โดยบริษัท Salesforce เน้นว่าปัญหามาจากการตั้งค่า identity และการเข้าถึงที่ผิดพลาด ไม่ใช่ช่องโหว่ของแพลตฟอร์ม เช่นเดียวกับการโจมตีที่เกี่ยวกับ Snowflake ซึ่งใช้ credential ที่ถูกขโมยและการเชื่อมต่อกับบุคคลที่สาม มากกว่าจุดอ่อนในโครงสร้างพื้นฐานของ Snowflake เอง ผู้สืบสวนตั้งข้อสังเกตว่าหลายองค์กรที่ได้รับผลกระทบขาดการบังคับใช้ MFA ที่เข้มงวดและการมองเห็นพฤติกรรมการยืนยันตัวตนที่ผิดปกติ เมื่อผู้โจมตีได้ identity หรือ session token ที่ถูกต้องแล้ว มักเคลื่อนที่ในแนวขวาง (lateral movement) และเข้าถึงข้อมูลสำคัญได้โดยไม่กระตุ้นการควบคุมความปลอดภัยแบบเดิม

ทำไมการป้องกันแบบเดิมจึงล้มเหลว

การโจมตีเหล่านี้เผยช่องว่างที่ขยายตัวในสถาปัตยกรรมความปลอดภัยขององค์กรจำนวนมาก เครื่องมือแบบดั้งเดิมอย่างไฟร์วอลล์ การป้องกันปลายทาง และการตรวจจับแบบ signature ถูกออกแบบมาเพื่อระบุโค้ดอันตรายหรือกิจกรรมเครือข่ายที่ผิดปกติ แต่การโจมตีที่อิง identity มักดูถูกต้องตามกฎหมายเพราะผู้โจมตีใช้ credential ที่ถูกต้อง API ที่ได้รับอนุมัติ และแอปพลิเคชันที่ได้รับอนุญาต สำหรับระบบความปลอดภัยจำนวนมาก บัญชีพนักงานที่ถูกยึดและเข้าถึง Salesforce ผ่านเซสชันเบราว์เซอร์ ดูแทบไม่ต่างจากกิจกรรมทางธุรกิจปกติ นั่นคือเหตุผลที่ identity กลายเป็นช่องทางโจมตีที่ผู้โจมตีชื่นชอบ

สิ่งที่น่ากังวลที่สุดอย่างหนึ่งของปฏิบัติการ ShinyHunters ล่าสุดคือการใช้ความสัมพันธ์ที่เชื่อถือได้ในทางมิชอบ (trust exploitation) ผู้โจมตีเล็งผู้จำหน่าย การเชื่อมต่อ เวิร์กโฟลว์สนับสนุน และผู้ให้บริการ identity มากขึ้น เพราะการเจาะที่จุดเดียวสามารถลุกลามข้ามหลายองค์กรได้ identity ที่ถูกยึดเพียงรายเดียว บัญชีผู้รับเหมา หรือการเชื่อม OAuth เพียงจุดเดียว สามารถให้ผู้โจมตีเข้าถึงระบบที่เชื่อมต่อกันได้นับร้อย องค์กรจึงต้องมีการมองเห็นไม่เพียงแต่ identity ของพนักงาน แต่รวมถึง non-human identity การเชื่อมต่อ API บัญชีบริการ และความสัมพันธ์การเข้าถึงแบบ federated ทั่วทั้งระบบนิเวศ

ผลกระทบต่อไทย

แม้เหยื่อที่ระบุชื่อจะเป็นองค์กรในต่างประเทศ แต่กลยุทธ์ที่ ShinyHunters ใช้กระทบองค์กรไทยได้โดยตรง เพราะธุรกิจไทยจำนวนมากใช้แพลตฟอร์ม SaaS อย่าง Salesforce, Snowflake, Okta และ Microsoft 365 ในการดำเนินงานประจำวัน การโจมตีที่อาศัย credential ที่ถูกขโมย OAuth token และการตั้งค่าผิดพลาด ไม่ต้องพึ่ง zero-day จึงทำได้ง่ายและตรวจจับยาก โดยเฉพาะองค์กรไทยที่ยังไม่บังคับใช้ MFA แบบ phishing-resistant อย่างทั่วถึง หรือขาดการมองเห็นพฤติกรรมการยืนยันตัวตนที่ผิดปกติ ความเสี่ยงนี้ครอบคลุมทั้งภาคการเงิน สุขภาพ ค้าปลีก และการศึกษา ซึ่งเป็นอุตสาหกรรมเดียวกับเหยื่อในข่าว และการที่ผู้โจมตีใช้ vishing และปลอมตัวเป็น help desk ก็เป็นเทคนิคที่ใช้กับพนักงานไทยได้เช่นกัน

คำแนะนำ

องค์กรควรเปลี่ยนกลยุทธ์การป้องกันให้สอดคล้องกับการโจมตีที่ขับเคลื่อนด้วย identity โดยนำ identity threat detection มาใช้ ซึ่งวิเคราะห์รูปแบบการโต้ตอบทั้งหมดที่เกี่ยวข้องกับ credential และเฝ้าระวังระบบ identity การยืนยันตัวตน การยกระดับสิทธิ์ และพฤติกรรมการเข้าถึงอย่างต่อเนื่อง เพื่อตรวจจับสัญญาณอย่าง impossible travel การพยายามจัดการ MFA การใช้ OAuth token ในทางมิชอบ การยกระดับสิทธิ์ และบัญชีที่ถูกทิ้งร้างถูกเปิดใช้งานใหม่ องค์กรควรให้ความสำคัญกับการเฝ้าระวัง identity อย่างต่อเนื่อง การยืนยันตัวตนแบบอิงความเสี่ยง การใช้ MFA แบบ phishing-resistant การบังคับใช้สิทธิ์ขั้นต่ำ (least-privilege) การกำกับดูแล OAuth และ token และการตรวจจับพฤติกรรม identity ที่ผิดปกติ บทเรียนสำคัญคือต้องเลิกสมมติว่าผู้ใช้ที่ยืนยันตัวตนแล้วน่าเชื่อถือโดยอัตโนมัติ

แหล่งอ้างอิง