สรุปสั้น
นักวิจัยจากบริษัท Cyfirma เปิดเผยแคมเปญฟิชชิงรูปแบบใหม่ที่อาศัยความไว้วางใจที่ผู้คนมีต่อเครื่องมือทำงานในชีวิตประจำวันอย่าง Microsoft Teams โดยส่งการแจ้งเตือนปลอมหลอกพนักงานให้ดาวน์โหลดเครื่องมือ remote access ที่เปิดทางให้ผู้โจมตีควบคุมเครื่องได้เต็มรูปแบบ ปฏิบัติการนี้ถูกออกแบบมาให้ดูน่าเชื่อถือในทุกขั้นตอน จึงอันตรายเป็นพิเศษสำหรับองค์กรที่พึ่งพา Teams ในการสื่อสารประจำวัน จุดเริ่มต้นคือข้อความที่แอบอ้างว่ามาจาก Microsoft Teams แจ้งว่ามีบันทึกการประชุมหรือ transcript พร้อมให้ดาวน์โหลด ความเร่งด่วนและความคุ้นเคยในข้อความเพียงพอที่จะผลักให้ผู้ใช้จำนวนมากคลิกโดยไม่ทันคิด เมื่อคลิกแล้วก็จะไปยังหน้าปลอมที่ทำเลียนแบบหน้าตา Microsoft Teams ของจริงทุกประการ
สิ่งที่ทำให้แคมเปญนี้โดดเด่นไม่ใช่แค่เหยื่อล่อที่น่าเชื่อถือ แต่เป็นโครงสร้างพื้นฐานเบื้องหลัง ซึ่งผสมระหว่างเว็บไซต์ของธุรกิจจริงที่ถูกเจาะกับโฮสติงบนคลาวด์ที่ผู้โจมตีควบคุมเอง ทำให้กิจกรรมยังคงอยู่ใต้เรดาร์ เว็บไซต์ที่ถูกเจาะเป็นของธุรกิจจริง เช่น คาเฟ่ สำนักงานกฎหมาย คลินิกแพทย์ และโรงเรียน กระจายในหลายประเทศ ทั้งสหรัฐฯ อังกฤษ บราซิล อินเดีย และรัสเซีย การใช้โดเมนที่น่าเชื่อถือช่วยให้ผู้โจมตีเลี่ยงตัวกรองอีเมลและคำเตือนของเบราว์เซอร์ที่ปกติจะแจ้งเตือนลิงก์ต้องสงสัย พวกเขายังใช้โฮสติงผ่าน Cloudflare Workers และ Pages ควบคู่กับนามสกุลโดเมนราคาถูกอย่าง .icu, .sbs และ .online เพื่อปรับใช้อย่างรวดเร็วและต้นทุนต่ำ การวิเคราะห์อายุของโครงสร้างพื้นฐานพบว่าราว 56 เปอร์เซ็นต์อยู่ในช่วงสามถึงหกเดือน บ่งชี้ว่าการขยายตัวครั้งใหญ่เริ่มขึ้นราวเดือนมีนาคม 2026 และแคมเปญยังถูกดูแลและปรับใช้ใหม่อย่างต่อเนื่อง
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 24 มิถุนายน พ.ศ. 2569 ว่าทีมนักวิเคราะห์จากบริษัท Cyfirma ตรวจพบและเผยแพร่รายงานฉบับละเอียดเกี่ยวกับแคมเปญปลอมเป็น Microsoft Teams ที่หลอกพนักงานให้ติดตั้งเครื่องมือ remote monitoring and management (RMM) เพื่อเปิดทางให้ผู้โจมตีเข้าควบคุมระบบ แคมเปญเริ่มจากอีเมลหรือข้อความที่ดูเหมือนมาจาก Microsoft Teams แจ้งว่ามี transcript หรือไฟล์บันทึกการประชุมพร้อมดาวน์โหลด เมื่อเหยื่อคลิกก็จะถูกพาไปยังหน้าปลอมที่ออกแบบให้เหมือนหน้า Teams จริง
เมื่อเหยื่อคลิกลิงก์ดาวน์โหลดบนหน้า Teams ปลอม ระบบจะส่งไฟล์ตัวติดตั้ง Windows ที่ถูกเซ็นด้วยใบรับรองดิจิทัล (signed installer) เพราะไฟล์ถูกเซ็นโดยผู้ผลิตซอฟต์แวร์ที่ถูกต้องตามกฎหมาย เครื่องมือรักษาความปลอดภัยจึงมีโอกาสตรวจจับน้อยลงมาก ไฟล์ดังกล่าวติดตั้งเครื่องมือ RMM ของจริง แต่ถูกตั้งค่าล่วงหน้าให้เชื่อมต่อกลับไปยังเซิร์ฟเวอร์รีเลย์ของผู้โจมตีแทนที่จะเป็นเซิร์ฟเวอร์ที่ถูกต้อง ตัวติดตั้งทำงานแบบเงียบ ๆ วางไฟล์ลงในไดเรกทอรี temp ของผู้ใช้ และเรียกใช้ DLL ที่กำหนดเองผ่านยูทิลิตี Windows มาตรฐาน
มัลแวร์ยังมีกลเม็ดหลบนักวิจัยด้านความปลอดภัย เช่น การตรวจหาอุปกรณ์ USB การตรวจจับ debugger และการตั้งเวลาหน่วง (sleep delay) ที่ยาวกว่าระยะเวลาที่สภาพแวดล้อมวิเคราะห์อัตโนมัติจะทำงาน เพื่อให้รอดพ้นการวิเคราะห์ในแซนด์บ็อกซ์ กว่าจะมีสัญญาณผิดปกติถูกตรวจพบ ผู้โจมตีก็อาจมีช่องทางเชื่อมต่อเข้าระบบเหยื่อเรียบร้อยแล้ว
วิธีการโจมตี
สิ่งที่เกิดขึ้นหลังการติดตั้งคือจุดที่ความเสียหายแท้จริงเริ่มก่อตัว ผู้โจมตีสร้างกลไกฝังตัว (persistence) หลายชั้นเพื่อรักษาการเข้าถึงไว้แม้ผู้ใช้จะรีสตาร์ตเครื่องหรือพยายามถอนเครื่องมือออก โดยมีการสร้าง Windows service ที่ตั้งค่าให้เริ่มอัตโนมัติ และเพิ่ม registry entry ที่ทำให้บริการนี้ทำงานต่อแม้ระบบจะบูตเข้าสู่ Safe Mode with Networking
นอกเหนือจากการคงการเข้าถึง ผู้โจมตียังลงทะเบียน credential provider DLL เข้าไปในระบบยืนยันตัวตนของ Windows ทำให้สามารถดักจับรหัสผ่านที่ผู้ใช้กรอกตรงหน้าจอล็อกอินได้ และยังลงทะเบียนตัวเองเป็น LSA authentication package เพื่อให้เข้าถึงระบบย่อยด้านความปลอดภัยได้ลึกสำหรับเก็บเกี่ยว credential เหล่านี้ไม่ใช่พฤติกรรมของผู้โจมตีฉวยโอกาสทั่วไป แต่เป็นกลุ่มที่มีทรัพยากรพร้อมและมีเป้าหมายระยะยาวชัดเจน
ผลกระทบต่อไทย
Microsoft Teams เป็นแพลตฟอร์มสื่อสารหลักขององค์กรไทยจำนวนมาก ทั้งภาครัฐ การศึกษา และเอกชน ทำให้เหยื่อล่อที่อ้างว่ามี transcript หรือบันทึกการประชุม Teams รอดาวน์โหลดมีโอกาสสูงที่จะหลอกพนักงานไทยได้ ความอันตรายอยู่ที่ตัวติดตั้งถูกเซ็นอย่างถูกต้องและติดตั้งเครื่องมือ RMM ที่ถูกต้อง ทำให้ระบบ AV และ EDR ที่อาศัยการตรวจ signature เพียงอย่างเดียวอาจไม่แจ้งเตือน อีกทั้งการใช้เว็บไซต์ธุรกิจที่ถูกเจาะและโดเมนผ่าน Cloudflare ช่วยให้ลิงก์ผ่าน secure email gateway ขององค์กรไทยได้ง่ายขึ้น เมื่อเครื่องถูกฝังตัวพร้อม credential provider DLL ที่ดักรหัสผ่านระดับล็อกอิน ผู้โจมตีก็สามารถยึดบัญชีพนักงานและเคลื่อนตัวเข้าสู่เครือข่ายภายในองค์กรไทยได้
คำแนะนำ
องค์กรควรเน้นการตรวจจับแบบอิงพฤติกรรม (behavior-based detection) มากกว่าการตรวจ signature เพียงอย่างเดียว เพราะตัวติดตั้งถูกเซ็นและใช้เครื่องมือ RMM ที่ถูกต้อง ควรจัดอบรมความตระหนักด้านฟิชชิงให้พนักงาน โดยเฉพาะเหยื่อล่อที่อ้างถึงแพลตฟอร์มทำงานร่วมกันอย่าง Teams ควบคุมและจัดทำบัญชีรายชื่อ (allowlist) เครื่องมือ RMM ที่อนุญาตให้ใช้ในองค์กร และแจ้งเตือนเมื่อมีการติดตั้ง RMM นอกรายการ ตรวจสอบการสร้าง Windows service และ registry ที่ตั้ง auto-start ผิดปกติ เฝ้าระวังการลงทะเบียน credential provider DLL และ LSA authentication package ที่ไม่รู้จัก รวมถึงบล็อกการเชื่อมต่อออกไปยังเซิร์ฟเวอร์รีเลย์และโดเมนนามสกุล .icu, .sbs, .online ที่ไม่จำเป็นต่อการทำงาน
