สรุปสั้น
ผู้โจมตีที่มีวิธีการสอดคล้องกับกลุ่มรีดไถข้อมูล ShinyHunters ใช้เวลาตลอดปีที่ผ่านมาเดินเข้าสู่สภาพแวดล้อม Salesforce ขององค์กรต่าง ๆ โดยไม่ได้เจาะช่องโหว่ของแพลตฟอร์มแม้แต่ตัวเดียว ช่องทางที่ใช้คือ “ความไว้วางใจ” ที่องค์กรมอบไว้อยู่แล้ว ซึ่งมักอยู่ในรูปการเชื่อมต่อ OAuth ที่ผูก Salesforce เข้ากับแอปและผู้ให้บริการภายนอกรอบ ๆ ในงานวิจัยที่เผยแพร่เมื่อวันที่ 13 กรกฎาคม บริษัท Microsoft ได้ทำแผนที่แคมเปญที่ดำเนินมาตั้งแต่กลางปี 2025 ถึงกลางปี 2026 ออกเป็น 3 เทคนิคที่แตกต่างกัน พร้อมทำงานร่วมกับ Salesforce เพื่อออกเครื่องมือตรวจจับและกำกับดูแล (Governance) ชุดใหม่ที่มุ่งอุดช่องโหว่ที่ล็อกการยืนยันตัวตนมองไม่เห็น
สิ่งที่ทำให้การโจมตีนี้จับได้ยากคือ เมื่อการเข้าถึงมาจากผู้ใช้จริงที่อนุมัติแอปที่เชื่อมต่อ หรือมาจากการเชื่อมต่อที่บริษัทไว้ใจอยู่แล้ว ทราฟฟิกจะดูเหมือนการใช้งานปกติ ทำให้การเฝ้าระวังการล็อกอินและการยืนยันตัวตนแทบไม่ตรวจจับอะไรได้ Microsoft จัดกลุ่มกิจกรรมออกเป็น 3 เส้นทางบุกรุก ได้แก่ การโทรหลอกด้วยเสียง (vishing) ให้พนักงานอนุมัติแอปที่เชื่อมต่ออันตราย, การขโมยโทเคน OAuth จากผู้ให้บริการซอฟต์แวร์ที่ถูกเจาะ และการตั้งค่า guest access ของเว็บไซต์ Salesforce ที่ผิดพลาด โดยแต่ละเส้นทางเชื่อมโยงกับเหตุการณ์จริงที่เกิดกับ Salesforce ในรอบปีที่ผ่านมา ทั้งในอุตสาหกรรมค้าปลีก การศึกษา และการผลิต
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 14 กรกฎาคม พ.ศ. 2569 ว่า Microsoft ได้เผยแพร่งานวิจัยที่ทำแผนที่แคมเปญโจมตี Salesforce ที่เชื่อมโยงกับ ShinyHunters อย่างละเอียด เส้นทางแรกคือจุดเริ่มต้นของทั้งหมด เริ่มตั้งแต่กลางปี 2025 ผู้โจมตีโทรศัพท์หลอกด้วยเสียง (Voice Phishing — vishing) โดยปลอมเป็นฝ่ายสนับสนุนไอที แล้วพูดชักจูงพนักงานผ่านหน้าจอยินยอม OAuth (OAuth Consent Screen) ของ Salesforce ให้อนุมัติแอปที่เชื่อมต่อซึ่งผู้โจมตีควบคุมอยู่ โดยปลอมให้ดูเหมือนเครื่องมือ Data Loader ของ Salesforce เอง เมื่อได้รับการยินยอมแล้ว แอปจะเรียก API ในนามผู้ใช้คนนั้นได้ ทำให้ผู้โจมตีสำรวจข้อมูล Salesforce ขององค์กร คงการเข้าถึงข้อมูล CRM ได้อย่างต่อเนื่อง และค้นหาข้อมูลรับรองที่อาจเปิดประตูสู่แพลตฟอร์ม SaaS อื่น ๆ ทั้งหมดนี้ไม่ต้องใช้มัลแวร์หรือการเล่นซ้ำรหัสผ่านที่ขโมยมา เพียงแค่โทรศัพท์สายเดียวและการคลิกยินยอม นี่คือแคมเปญที่ Google Threat Intelligence Group (GTIG) และบริษัท Mandiant เคยบันทึกไว้เมื่อกลางปี 2025 โดยติดตามการเข้าถึงเริ่มต้นในชื่อ UNC6040 และการรีดไถที่ตามมาในชื่อ UNC6240 ซึ่งทั้งคู่ต่างอ้างตัวเป็น ShinyHunters เพื่อกดดันเหยื่อ Google ยืนยันว่าอินสแตนซ์ Salesforce ของบริษัทเองก็ถูกเจาะในเดือนมิถุนายน 2025 และคลื่นเดียวกันนี้ยังเชื่อมโยงกับการเจาะระบบของ Chanel และ Pandora รวมถึง Adidas, Qantas, Allianz Life และหลายแบรนด์ในเครือ LVMH
เส้นทางที่สองข้ามตัวพนักงานไปเลย โดยแทนที่จะฟิชชิงผู้ใช้ ผู้โจมตีจะเจาะผู้ให้บริการภายนอก (Third-party Vendor) ที่แอปของตนถือสิทธิ์ OAuth เข้าถึง Salesforce ของลูกค้าอยู่แล้ว ขโมยความลับหรือโทเคนการเชื่อมต่อ แล้วนำไปดึงและส่งออกข้อมูลจากหลายอินสแตนซ์พร้อมกัน เนื่องจากทราฟฟิกมาจากการเชื่อมต่อที่ได้รับอนุมัติแล้ว จึงไม่กระตุ้นการแจ้งเตือนการล็อกอินและกลมกลืนกับระบบอัตโนมัติปกติ Microsoft ชี้ไปที่ 3 เหตุการณ์ เหตุการณ์ที่ใหญ่และชัดที่สุดคือการเจาะ Salesloft Drift เมื่อเดือนสิงหาคม 2025 ที่ผู้โจมตีขโมยโทเคน OAuth และ refresh token ที่ผูกกับการเชื่อมต่อ Drift AI chat แล้วนำไปใช้กับสภาพแวดล้อมลูกค้า Salesforce โดย Google ประเมินว่าการขโมยโทเคน Drift อาจกระทบองค์กรกว่า 700 แห่ง รวมถึง Cloudflare, Zscaler, Palo Alto Networks, Proofpoint, PagerDuty และ Tanium
วิธีการโจมตี
Google ติดตามคลัสเตอร์การโจมตี Salesloft Drift ในชื่อ UNC6395 ส่วน Cloudforce One ของ Cloudflare เรียกว่า GRUB1 ต่อมา Salesloft สืบสาเหตุพบว่าผู้โจมตีเข้าถึงบัญชี GitHub ของบริษัทได้ตั้งแต่เดือนมีนาคม 2025 ซึ่งถูกใช้เข้าถึงสภาพแวดล้อม AWS ของ Drift เพื่อเก็บเกี่ยวโทเคน ผู้โจมตีมุ่งค้นหาความลับโดยรัน SOQL query ค้นเคสสนับสนุนและ object อื่น ๆ เพื่อหาคีย์ AWS โทเคน Snowflake และรหัสผ่าน แล้วลบงาน query ของตัวเองทิ้งเพื่อชะลอการสืบสวน เหตุการณ์ Gainsight เมื่อเดือนพฤศจิกายน 2025 ก็ใช้แผนเดียวกันกับผู้ให้บริการอีกราย โดย Salesforce ถอนแอปที่เผยแพร่โดย Gainsight ออกหลังพบกิจกรรม API ผิดปกติ และ GTIG เชื่อมโยงแคมเปญนี้กับเครือ ShinyHunters ที่กระทบอินสแตนซ์ Salesforce กว่า 200 แห่ง กลุ่มที่อยู่เบื้องหลังชื่อ ShinyHunters อ้างว่าคลื่น Salesloft และ Gainsight รวมกันแตะเกือบ 1,000 องค์กร ซึ่งเป็นตัวเลขที่ยังไม่ได้รับการยืนยันอิสระ
เหตุการณ์ล่าสุดจากเดือนมิถุนายน 2026 คือการเจาะ Klue ที่ผู้โจมตีเข้าถึงแพลตฟอร์ม competitive-intelligence ผ่านข้อมูลรับรองเก่า (Legacy Credential) ที่เลิกใช้แล้วแต่ยังทำงานได้ ซึ่งหลงเหลือจากการทดสอบการเชื่อมต่อที่ไม่เคยถูกนำไปใช้จริง จากนั้นผลักดันการอัปเดตโค้ดที่เก็บเกี่ยวโทเคน OAuth ของลูกค้า แล้วใช้เข้าถึงข้อมูล Salesforce และ Gong ของลูกค้า Klue รวมถึง Huntress และ Recorded Future โดย Microsoft ติดตามผู้โจมตี Klue ในชื่อ Storm-3138 แต่มีข้อสังเกตเรื่องการตั้งชื่อว่า อุตสาหกรรมส่วนใหญ่รวมถึง Huntress และ Datadog เชื่อมโยงการรีดไถ Klue กับกลุ่มที่เรียกตัวเองว่า Icarus และยังมีบัญชี Telegram ที่อ้างเป็น ShinyHunters ออกมาอ้างเครดิตด้วย ป้ายชื่อจึงพร่าเลือนเพราะตัวตนเหล่านี้ทับซ้อนและถูกอ้างตามโอกาส
เส้นทางที่สามไม่ต้องใช้ข้อมูลรับรองเลย Microsoft พบกิจกรรม guest-user ที่น่าสงสัยเพิ่มขึ้นต่อ endpoint แบบ Salesforce Aura ซึ่งเป็นเฟรมเวิร์กเบื้องหลังเว็บไซต์ Experience Cloud ในจุดที่สิทธิ์ guest-user ถูกตั้งค่าผิดพลาด ผู้โจมตีเข้าถึงฟังก์ชัน Aura ได้โดยไม่ต้องยืนยันตัวตน โดยเรียก GraphQL Aura controller และใช้ cursor-based pagination ดึงข้อมูลเกินขีดจำกัดมาตรฐาน 2,000 รายการต่อ query ทำให้ได้ข้อมูลมากกว่าที่บทบาท guest ควรเห็นมาก ทั้งนี้ไม่มีการใช้ช่องโหว่ (Exploit) ใด ๆ เพียงแต่องค์กรปล่อยให้บทบาท guest มองเห็นได้มากกว่าที่ควร
ผลกระทบต่อไทย
องค์กรในไทยที่ใช้ Salesforce และแพลตฟอร์ม SaaS เชื่อมต่อกันผ่าน OAuth มีความเสี่ยงโดยตรงจากรูปแบบการโจมตีนี้ เพราะจุดอ่อนไม่ได้อยู่ที่ตัวแพลตฟอร์ม แต่อยู่ที่การเชื่อมต่อและแอปภายนอกที่องค์กรไว้วางใจและมักถูกมองข้าม การควบคุมตัวตนที่หลายบริษัทลงทุนสร้างมาตลอดทศวรรษ ทั้ง MFA, Conditional Access และ Session Policy ล้วนถูกออกแบบมาเพื่อการล็อกอินของมนุษย์ แต่แอป OAuth บัญชีการเชื่อมต่อ และข้อมูลรับรองบริการที่ทำงานจริงในระบบ Salesforce สมัยใหม่กลับอยู่นอกการควบคุมเหล่านั้น ไม่ถูกเฝ้าดูและมีสิทธิ์เกินจำเป็น องค์กรไทยที่พึ่งพา vendor SaaS จำนวนมากจึงควรตระหนักว่าการถูกเจาะที่ผู้ให้บริการเพียงรายเดียวอาจกระทบข้อมูลลูกค้าปลายทางเป็นวงกว้างได้ทันที
คำแนะนำ
องค์กรควรทำบัญชีรายการแอปที่เชื่อมต่อ (Connected Apps) ทั้งหมด ตัดแอปที่ไม่มีใครใช้ทิ้ง จำกัดสิทธิ์ที่เหลือให้เป็นไปตามหลัก Least Privilege และพร้อมเพิกถอนและเปลี่ยน (Revoke & Rotate) โทเคนทันทีที่การเชื่อมต่อเริ่มมีพฤติกรรมผิดปกติ ควรเชื่อม Salesforce เข้ากับ Defender for Cloud Apps เพื่อเก็บ telemetry เพิ่ม เปิดและเฝ้าดูล็อกเหตุการณ์ของ Salesforce จริง ๆ และล็อกการเข้าถึง guest-user ของ Experience Cloud ให้แน่นหนา สำหรับฝ่าย Help Desk ควรระวังการโทรหลอกแบบ vishing โดยยึดหลัก “วางสายแล้วโทรกลับผ่านช่องทางที่เชื่อถือได้” และไม่อนุมัติการเชื่อมต่อแอปตามคำขอทางโทรศัพท์ พร้อมทั้งเฝ้าระวังแอป OAuth ที่มีสิทธิ์สูงหรือไม่ถูกใช้งานมานานเกิน 90 วันแต่ยังถือสิทธิ์อยู่
