สรุปสั้น

นักวิจัยด้านความปลอดภัยได้ค้นพบชุดฟิชชิ่ง (phishing kit) ตัวใหม่ที่พุ่งเป้าโจมตีผู้ใช้ Amazon Web Services ด้วยการขโมย login credential และโค้ด multi-factor authentication (MFA) อย่างเงียบ ๆ ในทันทีที่เหยื่อพิมพ์ลงไป จุดที่แตกต่างจากเครื่องมือรุ่นเก่าที่เก็บรหัสผ่านไว้ใช้ภายหลังคือ ชุดนี้ทำงานแบบเรียลไทม์ หมายความว่าผู้โจมตีสามารถเข้าถึง AWS console ของเหยื่อได้ก่อนที่เหยื่อจะรู้ตัวว่ามีอะไรผิดปกติ แคมเปญนี้ทำงานระหว่างวันที่ 19 ถึง 23 มิถุนายน 2026 และถือเป็นการเปลี่ยนแปลงครั้งสำคัญในวิธีที่บัญชีคลาวด์ถูกโจมตี

ชุดฟิชชิ่งนี้อาศัยเทคนิคที่เรียกว่า adversary-in-the-middle หรือ AiTM ซึ่งวางตัวรีเลย์ที่ซ่อนอยู่ไว้ระหว่างเหยื่อกับหน้า login จริงของ AWS เมื่อเหยื่อกรอก credential และโค้ด MFA ทุกอย่างจะถูกส่งต่อไปยังเซิร์ฟเวอร์ของผู้โจมตีอย่างเงียบ ๆ ซึ่งจะส่งต่อไปยังเว็บไซต์ AWS ตัวจริง การรีเลย์แบบสด ๆ นี้ทำให้ผู้โจมตีมีช่วงเวลาสั้น ๆ ในการล็อกอินด้วย session ที่ขโมยมาก่อนที่มันจะหมดอายุ ทำให้การป้องกันด้วย MFA แทบไร้ผล โดยนักวิเคราะห์จากบริษัท Datadog Security Labs เป็นผู้ระบุแคมเปญนี้และจัดทำรายงานเผยแพร่ พบโดเมนฟิชชิ่งสามตัวที่จดทะเบียนภายในช่วง 24 ชั่วโมงเดียวกันผ่านผู้รับจดทะเบียนชื่อ NICENIC INTERNATIONAL GROUP และโฮสต์บน Cloudflare แต่ละโดเมนแสดงหน้า sign-in ของ AWS console ที่เลียนแบบเกือบสมบูรณ์แบบ

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 25 มิถุนายน พ.ศ. 2569 ว่า มีการค้นพบชุดฟิชชิ่งแบบ AiTM ตัวใหม่ที่พุ่งเป้าผู้ใช้ AWS ด้วยการขโมย credential และโค้ด MFA แบบเรียลไทม์ในขณะที่เหยื่อกรอกข้อมูล ทำให้ผู้โจมตีสามารถเข้าถึง AWS console ของเหยื่อได้ทันที โดยแคมเปญนี้ทำงานระหว่างวันที่ 19-23 มิถุนายน 2026 และถูกระบุและบันทึกรายละเอียดโดยนักวิเคราะห์จากบริษัท Datadog Security Labs ที่เผยแพร่รายงานแบ่งปันกับ Cyber Security News

นักวิจัยพบโดเมนฟิชชิ่งสามตัวที่จดทะเบียนภายในช่วง 24 ชั่วโมงเดียวกันผ่านผู้รับจดทะเบียนชื่อ NICENIC INTERNATIONAL GROUP CO., LIMITED และโฮสต์อยู่บน Cloudflare แต่ละโดเมนแสดงหน้า sign-in ของ AWS console ที่เลียนแบบเกือบสมบูรณ์แบบ ทำให้ผู้ใช้ส่วนใหญ่แทบไม่สามารถสังเกตเห็นความผิดปกติได้ ส่วนอีเมลที่ใช้โจมตีถูกส่งผ่านแพลตฟอร์มที่น่าเชื่อถืออย่าง SendGrid และ Nimbu ซึ่งช่วยให้ผ่านการตรวจสอบ email authentication และเข้าถึงกล่องจดหมายได้โดยตรง อีเมลฟิชชิ่งปลอมตัวเป็น AWS Support และอ้างปัญหาปลอมเรื่องการจำกัด bandwidth (bandwidth throttling) เพื่อสร้างความเร่งด่วน ผลักดันให้ผู้รับรีบคลิกโดยไม่ทันได้คิดตรวจสอบ

จุดที่ทำให้แคมเปญนี้โดดเด่นคือมันไม่ได้หว่านโจมตีในวงกว้าง ชุดฟิชชิ่งจะแสดงหน้า login ปลอมเฉพาะเมื่อมีอีเมลที่ถูกตรวจสอบล่วงหน้าและถูกต้องปรากฏในลิงก์เท่านั้น โดยนักวิจัยกู้คืนที่อยู่เป้าหมายได้ไม่ถึง 50 ราย ซึ่งส่วนใหญ่เป็นวิศวกรซอฟต์แวร์และผู้นำทีมวิศวกรรมในสหรัฐอเมริกา บ่งชี้ว่าเป็นปฏิบัติการแบบเจาะจง (targeted operation) ไม่ใช่ฟิชชิ่งแบบหว่านทั่วไป

AWS AiTM phishing kit steals console credentials and MFA codes in real time
AWS AiTM phishing kit steals console credentials and MFA codes in real time

วิธีการโจมตี

แกนหลักของชุดฟิชชิ่งนี้อยู่ในไฟล์ JavaScript เพียงไฟล์เดียวที่ฝังอยู่ในหน้า login AWS ปลอม เมื่อเหยื่อเข้าเว็บไซต์ หน้าเพจจะอ่านค่าที่เข้ารหัสจาก URL ตรวจสอบกับเซิร์ฟเวอร์ของผู้โจมตี และจะแสดงฟอร์ม login ก็ต่อเมื่อผู้เข้าชมตรงกับเป้าหมายที่รู้จักเท่านั้น เทคนิคนี้ช่วยป้องกันไม่ให้ security sandbox และนักวิจัยตรวจสอบพฤติกรรมของหน้าเพจได้ เมื่อ credential ถูกส่งเข้ามา ชุดฟิชชิ่งจะส่งต่อไปยังเซิร์ฟเวอร์ฟิชชิ่งที่ทำงานโต้ตอบกับระบบ sign-in ของ AWS ตัวจริงในเบื้องหลัง

เซิร์ฟเวอร์สามารถระบุได้ว่าจะต้องแสดง MFA challenge แบบใดต่อไป ไม่ว่าจะเป็นอีเมล SMS หรือ time-based one-time password โดยการรีเลย์ข้อมูลไปยังเว็บไซต์ AWS ตัวจริงแบบสด ๆ การแลกเปลี่ยนข้อมูลแบบเรียลไทม์นี้คือสิ่งที่ทำให้ชุด AiTM แตกต่างจากหน้าฟิชชิ่งทั่วไปและอันตรายกว่ามาก นอกจากสามโดเมน AWS นักวิจัยยังพบอีกสามโดเมนที่ปลอมตัวเป็น SendGrid จดทะเบียนในช่วงเวลาเดียวกันผ่านผู้รับจดทะเบียนรายเดียวกัน โดยมีความคล้ายคลึงชัดเจน ทั้งโครงสร้างแอปแบบ React การ gate อีเมลด้วยค่าเข้ารหัสแบบเดียวกัน และการรองรับ MFA ทุกประเภทเหมือนกัน อีกทั้งนักวิจัยยังตามรอย URL parameter ชื่อ input_24 ซึ่งเป็นลายนิ้วมือของชุดนี้ไปยังแคมเปญอื่น ๆ ได้ด้วย

ผลกระทบต่อไทย

องค์กรไทยจำนวนมากย้ายโครงสร้างพื้นฐานขึ้น AWS และมีทีมวิศวกรที่เข้าถึง AWS console เป็นประจำ การโจมตีแบบ AiTM ที่เอาชนะ MFA ได้แบบเรียลไทม์ถือเป็นภัยร้ายแรงต่อทีม DevOps และวิศวกรคลาวด์ไทย เพราะแม้องค์กรจะเปิดใช้ MFA แล้วก็ยังถูกเจาะได้ หากวิศวกรหลงกรอกข้อมูลบนหน้า login ปลอม ผู้โจมตีที่เข้าถึง AWS console ได้อาจสร้างทรัพยากรเพื่อขุดคริปโต ขโมยข้อมูล หรือทำลายระบบ การที่แคมเปญนี้เจาะจงวิศวกรซอฟต์แวร์โดยตรงยังเตือนว่าบุคลากรสายเทคนิคในไทยก็เป็นเป้าหมายที่มีมูลค่าสูงเช่นกัน

คำแนะนำ

องค์กรควรพิจารณาเปลี่ยนไปใช้ MFA ที่ทนต่อ phishing เช่น FIDO2/WebAuthn หรือ passkey ซึ่งผูกกับโดเมนจริงและไม่สามารถถูกรีเลย์ผ่าน AiTM ได้ ควรอบรมวิศวกรและพนักงานให้ตรวจสอบ URL ของหน้า login AWS อย่างละเอียดก่อนกรอกข้อมูล ระวังอีเมลที่อ้างเป็น AWS Support และสร้างความเร่งด่วนเรื่องปัญหาบัญชีหรือ bandwidth เปิดใช้งานการแจ้งเตือนการล็อกอินที่ผิดปกติและตรวจสอบ CloudTrail เพื่อหากิจกรรมที่น่าสงสัย รวมถึงจำกัดสิทธิ์ IAM ตามหลัก least privilege และพิจารณาใช้ session policy ที่จำกัดระยะเวลาและแหล่งที่มาของการเข้าถึง เพื่อลดความเสียหายหาก session ถูกขโมย

Indicators of Compromise (IoCs)

ประเภทตัวบ่งชี้คำอธิบาย
Domainus-west-login[.]comโดเมนฟิชชิ่ง AWS จดทะเบียนผ่าน NICENIC
Domainaws.us-west-login[.]comซับโดเมนฟิชชิ่ง AWS
Domainaws-central.us-west-login[.]comซับโดเมนฟิชชิ่ง AWS
Domainus-east-prod[.]comโดเมนฟิชชิ่ง AWS จดทะเบียนผ่าน NICENIC
Domainaws.us-east-prod[.]comซับโดเมนฟิชชิ่ง AWS
Domainloginportal-aws[.]comโดเมนฟิชชิ่ง AWS (ไม่พบ parameter input_24)
Domainswitch-sglogin[.]comโดเมนฟิชชิ่ง SendGrid จดทะเบียนผ่าน NICENIC
Domainuslogin-prodsg[.]comโดเมนฟิชชิ่ง SendGrid จดทะเบียนผ่าน NICENIC
Domainsendgrid.uslogin-prodsg[.]comซับโดเมนฟิชชิ่ง SendGrid
Domainus-west-prod[.]comโดเมนฟิชชิ่ง SendGrid จดทะเบียนผ่าน NICENIC
Domainsendgrid.us-west-prod[.]comซับโดเมนฟิชชิ่ง SendGrid
Domain15hourolddomain-bypass-ed-google-workspace-protection-fuckgoogle[.]comโดเมนที่ไม่มีอยู่จริง ถูก ping โดยสคริปต์ตรวจสอบของผู้โจมตี (พบบน VirusTotal)

หมายเหตุ: โดเมนทั้งหมดถูก defang (เช่น [.]) เพื่อป้องกันการ resolve หรือคลิกโดยไม่ตั้งใจ ให้ re-fang เฉพาะภายในแพลตฟอร์ม threat intelligence ที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM ขององค์กรเท่านั้น

แหล่งอ้างอิง