กลุ่ม Scattered Spider มุ่งเป้าโจมตีสายการบินและบริษัทขนส่ง
Last updated: 1 Jul 2025
288 Views
สรุปข้อมูล
สำนักงานสอบสวนกลางแห่งสหรัฐอเมริกา (FBI) เปิดเผยว่า กลุ่มอาชญากรไซเบอร์ Scattered Spider ซึ่งเป็นที่รู้จักในชื่ออื่น เช่น 0ktapus, Starfraud, UNC3944, Scatter Swine, Octo Tempest และ Muddled Libra ได้ขยายเป้าหมายการโจมตีไปยังอุตสาหกรรมการบิน โดยขณะนี้ FBI กำลังประสานความร่วมมือกับพันธมิตรในภาคการบินและเอกชนเพื่อรับมือและช่วยเหลือผู้ที่ได้รับผลกระทบ กลุ่มดังกล่าวใช้เทคนิค Social Engineering แอบอ้างเป็นพนักงานหรือผู้รับเหมาเพื่อหลอกให้ฝ่าย IT help desk มอบสิทธิ์เข้าถึงระบบ โดยเฉพาะการหลอกให้เพิ่มอุปกรณ์ MFA ที่ไม่ได้รับอนุญาตลงในบัญชีของเหยื่อ
รายละเอียดการโจมตี
Initial Access
กลุ่ม Scattered Spider เริ่มต้นการเข้าถึงระบบด้วยการส่งข้อความ SMS ไปยังพนักงาน โดยอ้างว่าต้องยืนยันตัวตนผ่านเว็บไซต์ปลอมที่เลียนแบบหน้าล็อกอินขององค์กร ต่อมาเมื่อแนวโน้มการใช้ SMS ลดลง กลุ่มผู้โจมตีได้ปรับเปลี่ยนกลยุทธ์มาใช้การโทรศัพท์โดยตรงไปยังฝ่าย Helpdesk พร้อมใช้ข้อมูลจากแหล่งโอเพนซอร์สและข้อมูลรั่วไหล เพื่อหลอกลวงให้เจ้าหน้าที่รีเซ็ตรหัสผ่านและปิดการใช้งาน MFA
กลุ่ม Scattered Spider เริ่มต้นการเข้าถึงระบบด้วยการส่งข้อความ SMS ไปยังพนักงาน โดยอ้างว่าต้องยืนยันตัวตนผ่านเว็บไซต์ปลอมที่เลียนแบบหน้าล็อกอินขององค์กร ต่อมาเมื่อแนวโน้มการใช้ SMS ลดลง กลุ่มผู้โจมตีได้ปรับเปลี่ยนกลยุทธ์มาใช้การโทรศัพท์โดยตรงไปยังฝ่าย Helpdesk พร้อมใช้ข้อมูลจากแหล่งโอเพนซอร์สและข้อมูลรั่วไหล เพื่อหลอกลวงให้เจ้าหน้าที่รีเซ็ตรหัสผ่านและปิดการใช้งาน MFA
Persistence
กลุ่ม Scattered Spider มุ่งเน้นการรักษาการเข้าถึงระบบเป้าหมายอย่างต่อเนื่อง โดยติดตั้งเครื่องมือ Remote Monitoring and Management (RMM) หลายกรณีพบมากกว่า 6 ตัว เช่น Zoho Assist, AnyDesk, Splashtop, TeamViewer, ManageEngine RMM, FleetDeck, ITarian, RustDesk และ ASG Remote Desktop เป็นช่องทาง backdoor และบริการคลาวด์ด้วยการใช้ SaaS และ Cloud VM
Defense Evasion
ใช้เทคนิคหลบเลี่ยงการตรวจจับ เช่น ปิดแอนติไวรัส, ลบโปรไฟล์ไฟร์วอลล์, ปิดหรือถอน EDR, ใช้บัญชี Active Directory เดิมเพื่อหลีกเลี่ยงการตรวจจับจาก SIEM, และล้างแจ้งเตือนใน EDR Console พร้อมซ่อนตัวผ่าน VPN เช่น Mullvad, ExpressVPN และบริการ residential proxy เพื่อเลี่ยงการตรวจจับ
Credential Access
การขโมยข้อมูลบัญชีด้วยการเข้าสู่ระบบจากเครื่องของตนเองและร้องขอ MFA ทันที หรือใช้เทคนิค MFA bombing ส่งคำขอยืนยันซ้ำ ๆ จนเหยื่อกดยอมรับ หากล้มเหลว กลุ่มจะแอบอ้างเป็นพนักงานโทรหา Helpdesk เพื่อขอลงทะเบียนอุปกรณ์ MFA ใหม่ที่ตนควบคุม หลังยึดบัญชีได้แล้วจะดำเนินการยกระดับสิทธิ์ทันที โดยใช้เครื่องมือ เช่น Mimikatz, ProcDump, DCSync, Raccoon Stealer, LAPS Toolkit, Impacket, และ Volatility เพื่อล้วงข้อมูลจากหน่วยความจำ
Discovery
ใช้เครื่องมือทดสอบเจาะระบบ เช่น SharpHound, ADRecon, AD Explorer และ Angry IP/Port Scanner เพื่อสำรวจระบบและหากลุ่มเป้าหมาย พร้อมใช้เครื่องมือสำหรับผู้ดูแลระบบ เช่น ManageEngine, LANDESK, PDQ Inventory, VMware PowerCLI และ RVTools เพื่อเก็บข้อมูลในสภาพแวดล้อมเสมือน
Execution
มีการใช้แรนซัมแวร์ BlackCat และใช้เครื่องมืออย่าง PsExec, Impacket หรือเครื่องมือจัดการระบบของเหยื่อเพื่อรันโค้ดที่เป็นอันตราย โดยอาศัยข้อมูลบัญชีหรือแฮชที่ขโมยมาเพื่อยกระดับสิทธิ์ในการเข้าถึง
Lateral Movement
กลุ่ม Scattered Spider นิยมใช้การเชื่อมต่อผ่าน Remote Desktop Protocol (RDP) จากเครื่องที่ถูกเจาะแล้วเพื่อเคลื่อนย้ายภายในระบบเป้าหมาย วิธีนี้ช่วยลดร่องรอยบนเครือข่ายภายนอกที่อาจถูกตรวจจับจากบันทึกล็อก
Collection
ในการจัดการข้อมูล กลุ่มแฮกเกอร์สามารถเข้าถึงข้อมูลสำคัญจากแหล่งเก็บข้อมูลทั่วไปทั้งแบบมีโครงสร้างและไม่มีโครงสร้าง เช่น Confluence, แพลตฟอร์มจัดการโค้ด, Elastic, Microsoft 365, Zendesk และ Jira กลุ่มนี้ใช้เครื่องมือโอเพ่นซอร์ส Snaffler และเครื่องมือพื้นฐานของระบบเพื่อค้นหาคำสำคัญ เช่น password หรือ securestring ใน registry, ไดรฟ์ท้องถิ่น และ network share จากนั้นรวบรวมและบีบอัดข้อมูลด้วย WinRAR หรือ PeaZip เพื่อนำออกไปใช้ในการเรียกค่าไถ่
Exfiltration
กลุ่ม Scattered Spider สร้าง reverse proxy shell หรือ SSH tunnel เพื่อควบคุมระบบและขโมยข้อมูล โดยใช้ซอฟต์แวร์ tunneling เช่น RSocx และอัปโหลดหรือดาวน์โหลดเครื่องมือผ่านเว็บแชร์ไฟล์ put[.]io, transfer[.]sh, wasabi[.]com และ gofile[.]io รวมถึงใช้ Cyberduck เป็นตัวกลางในการถ่ายโอนไฟล์
กลุ่ม Scattered Spider มุ่งเน้นการรักษาการเข้าถึงระบบเป้าหมายอย่างต่อเนื่อง โดยติดตั้งเครื่องมือ Remote Monitoring and Management (RMM) หลายกรณีพบมากกว่า 6 ตัว เช่น Zoho Assist, AnyDesk, Splashtop, TeamViewer, ManageEngine RMM, FleetDeck, ITarian, RustDesk และ ASG Remote Desktop เป็นช่องทาง backdoor และบริการคลาวด์ด้วยการใช้ SaaS และ Cloud VM
Defense Evasion
ใช้เทคนิคหลบเลี่ยงการตรวจจับ เช่น ปิดแอนติไวรัส, ลบโปรไฟล์ไฟร์วอลล์, ปิดหรือถอน EDR, ใช้บัญชี Active Directory เดิมเพื่อหลีกเลี่ยงการตรวจจับจาก SIEM, และล้างแจ้งเตือนใน EDR Console พร้อมซ่อนตัวผ่าน VPN เช่น Mullvad, ExpressVPN และบริการ residential proxy เพื่อเลี่ยงการตรวจจับ
Credential Access
การขโมยข้อมูลบัญชีด้วยการเข้าสู่ระบบจากเครื่องของตนเองและร้องขอ MFA ทันที หรือใช้เทคนิค MFA bombing ส่งคำขอยืนยันซ้ำ ๆ จนเหยื่อกดยอมรับ หากล้มเหลว กลุ่มจะแอบอ้างเป็นพนักงานโทรหา Helpdesk เพื่อขอลงทะเบียนอุปกรณ์ MFA ใหม่ที่ตนควบคุม หลังยึดบัญชีได้แล้วจะดำเนินการยกระดับสิทธิ์ทันที โดยใช้เครื่องมือ เช่น Mimikatz, ProcDump, DCSync, Raccoon Stealer, LAPS Toolkit, Impacket, และ Volatility เพื่อล้วงข้อมูลจากหน่วยความจำ
Discovery
ใช้เครื่องมือทดสอบเจาะระบบ เช่น SharpHound, ADRecon, AD Explorer และ Angry IP/Port Scanner เพื่อสำรวจระบบและหากลุ่มเป้าหมาย พร้อมใช้เครื่องมือสำหรับผู้ดูแลระบบ เช่น ManageEngine, LANDESK, PDQ Inventory, VMware PowerCLI และ RVTools เพื่อเก็บข้อมูลในสภาพแวดล้อมเสมือน
Execution
มีการใช้แรนซัมแวร์ BlackCat และใช้เครื่องมืออย่าง PsExec, Impacket หรือเครื่องมือจัดการระบบของเหยื่อเพื่อรันโค้ดที่เป็นอันตราย โดยอาศัยข้อมูลบัญชีหรือแฮชที่ขโมยมาเพื่อยกระดับสิทธิ์ในการเข้าถึง
Lateral Movement
กลุ่ม Scattered Spider นิยมใช้การเชื่อมต่อผ่าน Remote Desktop Protocol (RDP) จากเครื่องที่ถูกเจาะแล้วเพื่อเคลื่อนย้ายภายในระบบเป้าหมาย วิธีนี้ช่วยลดร่องรอยบนเครือข่ายภายนอกที่อาจถูกตรวจจับจากบันทึกล็อก
Collection
ในการจัดการข้อมูล กลุ่มแฮกเกอร์สามารถเข้าถึงข้อมูลสำคัญจากแหล่งเก็บข้อมูลทั่วไปทั้งแบบมีโครงสร้างและไม่มีโครงสร้าง เช่น Confluence, แพลตฟอร์มจัดการโค้ด, Elastic, Microsoft 365, Zendesk และ Jira กลุ่มนี้ใช้เครื่องมือโอเพ่นซอร์ส Snaffler และเครื่องมือพื้นฐานของระบบเพื่อค้นหาคำสำคัญ เช่น password หรือ securestring ใน registry, ไดรฟ์ท้องถิ่น และ network share จากนั้นรวบรวมและบีบอัดข้อมูลด้วย WinRAR หรือ PeaZip เพื่อนำออกไปใช้ในการเรียกค่าไถ่
Exfiltration
กลุ่ม Scattered Spider สร้าง reverse proxy shell หรือ SSH tunnel เพื่อควบคุมระบบและขโมยข้อมูล โดยใช้ซอฟต์แวร์ tunneling เช่น RSocx และอัปโหลดหรือดาวน์โหลดเครื่องมือผ่านเว็บแชร์ไฟล์ put[.]io, transfer[.]sh, wasabi[.]com และ gofile[.]io รวมถึงใช้ Cyberduck เป็นตัวกลางในการถ่ายโอนไฟล์
ผลกระทบจากการโจมตี
ผลกระทบจากเหตุการณ์การโจมตีโดย Scattered Spider ส่งผลกระทบในวงกว้างต่อความมั่นคงปลอดภัยขององค์กร ทั้งด้านการรั่วไหลของข้อมูลสำคัญ การสูญเสียความน่าเชื่อถือ และการหยุดชะงักของระบบปฏิบัติงาน กลุ่มนี้สามารถหลบเลี่ยงการตรวจจับได้อย่างแนบเนียน เข้าควบคุมระบบจากระยะไกล ขโมยข้อมูล และใช้ข้อมูลนั้นในการขยายการเข้าถึงหรือเรียกค่าไถ่ ส่งผลให้องค์กรต้องเผชิญทั้งความเสียหายเชิงเทคนิค กฎหมาย และชื่อเสียงในเวลาเดียวกัน
สรุปการโจมตี
การโจมตีของกลุ่ม Scattered Spider เริ่มต้นจากการลอบขโมยข้อมูลบัญชีผู้ใช้โดยอาศัยเทคนิค MFA Bombing และการหลอกลวงฝ่าย Helpdesk เพื่อขอลงทะเบียนอุปกรณ์ยืนยันตัวตนใหม่ที่กลุ่มควบคุมอยู่ เมื่อสามารถเข้าถึงระบบได้แล้ว จะดำเนินการยกระดับสิทธิ์ผ่านเครื่องมืออย่าง Impacket และใช้ RDP ในการเคลื่อนย้ายภายในระบบเครือข่าย จากนั้นจึงใช้เครื่องมือ SharpHound และ ADRecon สำรวจโครงสร้างภายในเพื่อระบุเป้าหมายสำคัญ พร้อมค้นหาข้อมูลจากแหล่งต่าง ๆ เช่น SharePoint, Confluence และ Jira ก่อนรวบรวมและบีบอัดเพื่อนำออกจากระบบผ่านบริการแชร์ไฟล์หรือ SSH tunnel นอกจากนี้ กลุ่มยังใช้ VPN และ proxy เพื่ออำพรางตัวตนและหลบเลี่ยงการตรวจจับ ทำให้สามารถแฝงตัวในระบบได้เป็นระยะเวลานานและขยายขอบเขตการโจมตีได้อย่างมีประสิทธิภาพ
คำแนะนำ
- Awareness Training เกี่ยวกับรูปแบบการโจมตีให้กับบุคลากรในองค์กร เช่น Phishing
- พิจารณาการการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม
- อัปเดตซอฟต์แวร์ป้องกันไวรัสและป้องกันมัลแวร์อยู่เสมอเพื่อตรวจจับและบล็อกภัยคุกคาม
- จำกัดการใช้งาน Remote Desktop Protocol เฉพาะผู้ใช้หรือกลุ่มที่จำเป็น
- จำกัดสิทธิ์ของผู้ใช้งานตามหลัก Least Privilege Principle ให้แต่ละบัญชีเข้าถึงเฉพาะส่วนที่จำเป็น
แหล่งอ้างอิง
https://thehackernews.com/2025/06/fbi-warns-of-scattered-spiders.html
Related Content
