สรุปสั้น
นักวิจัยด้านความปลอดภัยได้ค้นพบชุดฟิชชิ่ง (phishing kit) ตัวใหม่ที่พุ่งเป้าโจมตีผู้ใช้ Amazon Web Services ด้วยการขโมย login credential และโค้ด multi-factor authentication (MFA) อย่างเงียบ ๆ ในทันทีที่เหยื่อพิมพ์ลงไป จุดที่แตกต่างจากเครื่องมือรุ่นเก่าที่เก็บรหัสผ่านไว้ใช้ภายหลังคือ ชุดนี้ทำงานแบบเรียลไทม์ หมายความว่าผู้โจมตีสามารถเข้าถึง AWS console ของเหยื่อได้ก่อนที่เหยื่อจะรู้ตัวว่ามีอะไรผิดปกติ แคมเปญนี้ทำงานระหว่างวันที่ 19 ถึง 23 มิถุนายน 2026 และถือเป็นการเปลี่ยนแปลงครั้งสำคัญในวิธีที่บัญชีคลาวด์ถูกโจมตี
ชุดฟิชชิ่งนี้อาศัยเทคนิคที่เรียกว่า adversary-in-the-middle หรือ AiTM ซึ่งวางตัวรีเลย์ที่ซ่อนอยู่ไว้ระหว่างเหยื่อกับหน้า login จริงของ AWS เมื่อเหยื่อกรอก credential และโค้ด MFA ทุกอย่างจะถูกส่งต่อไปยังเซิร์ฟเวอร์ของผู้โจมตีอย่างเงียบ ๆ ซึ่งจะส่งต่อไปยังเว็บไซต์ AWS ตัวจริง การรีเลย์แบบสด ๆ นี้ทำให้ผู้โจมตีมีช่วงเวลาสั้น ๆ ในการล็อกอินด้วย session ที่ขโมยมาก่อนที่มันจะหมดอายุ ทำให้การป้องกันด้วย MFA แทบไร้ผล โดยนักวิเคราะห์จากบริษัท Datadog Security Labs เป็นผู้ระบุแคมเปญนี้และจัดทำรายงานเผยแพร่ พบโดเมนฟิชชิ่งสามตัวที่จดทะเบียนภายในช่วง 24 ชั่วโมงเดียวกันผ่านผู้รับจดทะเบียนชื่อ NICENIC INTERNATIONAL GROUP และโฮสต์บน Cloudflare แต่ละโดเมนแสดงหน้า sign-in ของ AWS console ที่เลียนแบบเกือบสมบูรณ์แบบ
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 25 มิถุนายน พ.ศ. 2569 ว่า มีการค้นพบชุดฟิชชิ่งแบบ AiTM ตัวใหม่ที่พุ่งเป้าผู้ใช้ AWS ด้วยการขโมย credential และโค้ด MFA แบบเรียลไทม์ในขณะที่เหยื่อกรอกข้อมูล ทำให้ผู้โจมตีสามารถเข้าถึง AWS console ของเหยื่อได้ทันที โดยแคมเปญนี้ทำงานระหว่างวันที่ 19-23 มิถุนายน 2026 และถูกระบุและบันทึกรายละเอียดโดยนักวิเคราะห์จากบริษัท Datadog Security Labs ที่เผยแพร่รายงานแบ่งปันกับ Cyber Security News
นักวิจัยพบโดเมนฟิชชิ่งสามตัวที่จดทะเบียนภายในช่วง 24 ชั่วโมงเดียวกันผ่านผู้รับจดทะเบียนชื่อ NICENIC INTERNATIONAL GROUP CO., LIMITED และโฮสต์อยู่บน Cloudflare แต่ละโดเมนแสดงหน้า sign-in ของ AWS console ที่เลียนแบบเกือบสมบูรณ์แบบ ทำให้ผู้ใช้ส่วนใหญ่แทบไม่สามารถสังเกตเห็นความผิดปกติได้ ส่วนอีเมลที่ใช้โจมตีถูกส่งผ่านแพลตฟอร์มที่น่าเชื่อถืออย่าง SendGrid และ Nimbu ซึ่งช่วยให้ผ่านการตรวจสอบ email authentication และเข้าถึงกล่องจดหมายได้โดยตรง อีเมลฟิชชิ่งปลอมตัวเป็น AWS Support และอ้างปัญหาปลอมเรื่องการจำกัด bandwidth (bandwidth throttling) เพื่อสร้างความเร่งด่วน ผลักดันให้ผู้รับรีบคลิกโดยไม่ทันได้คิดตรวจสอบ
จุดที่ทำให้แคมเปญนี้โดดเด่นคือมันไม่ได้หว่านโจมตีในวงกว้าง ชุดฟิชชิ่งจะแสดงหน้า login ปลอมเฉพาะเมื่อมีอีเมลที่ถูกตรวจสอบล่วงหน้าและถูกต้องปรากฏในลิงก์เท่านั้น โดยนักวิจัยกู้คืนที่อยู่เป้าหมายได้ไม่ถึง 50 ราย ซึ่งส่วนใหญ่เป็นวิศวกรซอฟต์แวร์และผู้นำทีมวิศวกรรมในสหรัฐอเมริกา บ่งชี้ว่าเป็นปฏิบัติการแบบเจาะจง (targeted operation) ไม่ใช่ฟิชชิ่งแบบหว่านทั่วไป


วิธีการโจมตี
แกนหลักของชุดฟิชชิ่งนี้อยู่ในไฟล์ JavaScript เพียงไฟล์เดียวที่ฝังอยู่ในหน้า login AWS ปลอม เมื่อเหยื่อเข้าเว็บไซต์ หน้าเพจจะอ่านค่าที่เข้ารหัสจาก URL ตรวจสอบกับเซิร์ฟเวอร์ของผู้โจมตี และจะแสดงฟอร์ม login ก็ต่อเมื่อผู้เข้าชมตรงกับเป้าหมายที่รู้จักเท่านั้น เทคนิคนี้ช่วยป้องกันไม่ให้ security sandbox และนักวิจัยตรวจสอบพฤติกรรมของหน้าเพจได้ เมื่อ credential ถูกส่งเข้ามา ชุดฟิชชิ่งจะส่งต่อไปยังเซิร์ฟเวอร์ฟิชชิ่งที่ทำงานโต้ตอบกับระบบ sign-in ของ AWS ตัวจริงในเบื้องหลัง
เซิร์ฟเวอร์สามารถระบุได้ว่าจะต้องแสดง MFA challenge แบบใดต่อไป ไม่ว่าจะเป็นอีเมล SMS หรือ time-based one-time password โดยการรีเลย์ข้อมูลไปยังเว็บไซต์ AWS ตัวจริงแบบสด ๆ การแลกเปลี่ยนข้อมูลแบบเรียลไทม์นี้คือสิ่งที่ทำให้ชุด AiTM แตกต่างจากหน้าฟิชชิ่งทั่วไปและอันตรายกว่ามาก นอกจากสามโดเมน AWS นักวิจัยยังพบอีกสามโดเมนที่ปลอมตัวเป็น SendGrid จดทะเบียนในช่วงเวลาเดียวกันผ่านผู้รับจดทะเบียนรายเดียวกัน โดยมีความคล้ายคลึงชัดเจน ทั้งโครงสร้างแอปแบบ React การ gate อีเมลด้วยค่าเข้ารหัสแบบเดียวกัน และการรองรับ MFA ทุกประเภทเหมือนกัน อีกทั้งนักวิจัยยังตามรอย URL parameter ชื่อ input_24 ซึ่งเป็นลายนิ้วมือของชุดนี้ไปยังแคมเปญอื่น ๆ ได้ด้วย
ผลกระทบต่อไทย
องค์กรไทยจำนวนมากย้ายโครงสร้างพื้นฐานขึ้น AWS และมีทีมวิศวกรที่เข้าถึง AWS console เป็นประจำ การโจมตีแบบ AiTM ที่เอาชนะ MFA ได้แบบเรียลไทม์ถือเป็นภัยร้ายแรงต่อทีม DevOps และวิศวกรคลาวด์ไทย เพราะแม้องค์กรจะเปิดใช้ MFA แล้วก็ยังถูกเจาะได้ หากวิศวกรหลงกรอกข้อมูลบนหน้า login ปลอม ผู้โจมตีที่เข้าถึง AWS console ได้อาจสร้างทรัพยากรเพื่อขุดคริปโต ขโมยข้อมูล หรือทำลายระบบ การที่แคมเปญนี้เจาะจงวิศวกรซอฟต์แวร์โดยตรงยังเตือนว่าบุคลากรสายเทคนิคในไทยก็เป็นเป้าหมายที่มีมูลค่าสูงเช่นกัน
คำแนะนำ
องค์กรควรพิจารณาเปลี่ยนไปใช้ MFA ที่ทนต่อ phishing เช่น FIDO2/WebAuthn หรือ passkey ซึ่งผูกกับโดเมนจริงและไม่สามารถถูกรีเลย์ผ่าน AiTM ได้ ควรอบรมวิศวกรและพนักงานให้ตรวจสอบ URL ของหน้า login AWS อย่างละเอียดก่อนกรอกข้อมูล ระวังอีเมลที่อ้างเป็น AWS Support และสร้างความเร่งด่วนเรื่องปัญหาบัญชีหรือ bandwidth เปิดใช้งานการแจ้งเตือนการล็อกอินที่ผิดปกติและตรวจสอบ CloudTrail เพื่อหากิจกรรมที่น่าสงสัย รวมถึงจำกัดสิทธิ์ IAM ตามหลัก least privilege และพิจารณาใช้ session policy ที่จำกัดระยะเวลาและแหล่งที่มาของการเข้าถึง เพื่อลดความเสียหายหาก session ถูกขโมย
Indicators of Compromise (IoCs)
| ประเภท | ตัวบ่งชี้ | คำอธิบาย |
|---|---|---|
| Domain | us-west-login[.]com | โดเมนฟิชชิ่ง AWS จดทะเบียนผ่าน NICENIC |
| Domain | aws.us-west-login[.]com | ซับโดเมนฟิชชิ่ง AWS |
| Domain | aws-central.us-west-login[.]com | ซับโดเมนฟิชชิ่ง AWS |
| Domain | us-east-prod[.]com | โดเมนฟิชชิ่ง AWS จดทะเบียนผ่าน NICENIC |
| Domain | aws.us-east-prod[.]com | ซับโดเมนฟิชชิ่ง AWS |
| Domain | loginportal-aws[.]com | โดเมนฟิชชิ่ง AWS (ไม่พบ parameter input_24) |
| Domain | switch-sglogin[.]com | โดเมนฟิชชิ่ง SendGrid จดทะเบียนผ่าน NICENIC |
| Domain | uslogin-prodsg[.]com | โดเมนฟิชชิ่ง SendGrid จดทะเบียนผ่าน NICENIC |
| Domain | sendgrid.uslogin-prodsg[.]com | ซับโดเมนฟิชชิ่ง SendGrid |
| Domain | us-west-prod[.]com | โดเมนฟิชชิ่ง SendGrid จดทะเบียนผ่าน NICENIC |
| Domain | sendgrid.us-west-prod[.]com | ซับโดเมนฟิชชิ่ง SendGrid |
| Domain | 15hourolddomain-bypass-ed-google-workspace-protection-fuckgoogle[.]com | โดเมนที่ไม่มีอยู่จริง ถูก ping โดยสคริปต์ตรวจสอบของผู้โจมตี (พบบน VirusTotal) |
หมายเหตุ: โดเมนทั้งหมดถูก defang (เช่น
[.]) เพื่อป้องกันการ resolve หรือคลิกโดยไม่ตั้งใจ ให้ re-fang เฉพาะภายในแพลตฟอร์ม threat intelligence ที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM ขององค์กรเท่านั้น
