ที่มาภาพ: The Hacker News
UNC3753 ใช้ Vishing ผสมการบุกรุกกายภาพในการขโมยข้อมูลและเ…
⚡ สรุป 30 วิ
Google Mandiant และ GTIG เปิดเผยแคมเปญ UNC3753 ผสม Vishing กับการบุกรุกกายภาพเพื่อขโมยข้อมูลจากองค์กรกฎหมายและการเงินในสหรัฐระหว่างม.ค.–พ.ค. 2026.…
การวิจัยด้านความปลอดภัยไซเบอร์เปิดเผยแคมเปญขโมยข้อมูลเพื่อเรียกค่าไถ่ที่ดำเนินการโดยกลุ่มอาชญากรรมไซเบอร์ที่เรียกว่า UNC3753 ระหว่างมกราคมถึงพฤษภาคม 2026 ส่งผลให้หลายองค์กรในสหรัฐอเมริกาที่ให้บริการด้านวิชาชีพ กฎหมาย และการเงินต้องเผชิญการโจมตีที่ผสมผสานระหว่างการฟิชชิ่งเสียง (vishing) กับการเข้าถึงข้อมูลแบบกายภาพ การเปิดเผยนี้มาจากทีม Google Mandiant และ **Google Threat Intelligence Group (GTIG) ซึ่งเป็นสัญญาณเตือนสำคัญต่อภาคธุรกิจที่อาจเป็นเป้าหมายต่อไป
Overview
แคมเปญของ UNC3753 มีลักษณะเป็นการโจมตีที่มุ่งเน้นการขโมยข้อมูลสำคัญจากองค์กรระดับกลางถึงใหญ่ในอุตสาหกรรมวิชาชีพ กฎหมาย และการเงิน ผู้โจมตีใช้วิธีการหลายขั้นตอนเพื่อเข้าถึงระบบภายในและข้อมูลของเป้าหมาย หลังจากได้ข้อมูลแล้วจะทำการเรียกค่าไถ่โดยอ้างว่าข้อมูลจะถูกเปิดเผยต่อสาธารณะหรือขายต่อให้กับคู่แข่ง
การดำเนินการของกลุ่มนี้ได้รับการติดตามจาก Google Mandiant และ GTIG ซึ่งระบุว่าแคมเปญนี้เป็นส่วนหนึ่งของการเปลี่ยนแปลงกลยุทธ์ของอาชญากรไซเบอร์ที่เริ่มผสมผสานเทคนิคแบบดิจิทัลกับการกระทำในโลกจริง การใช้ vishing เพื่อหลอกลวงพนักงานให้เปิดเผยข้อมูลรับรอง และการลอบเข้าถึงสถานที่ทำงานโดยตรง ทำให้แคมเปญนี้มีความซับซ้อนและยากต่อการตรวจจับ
Timeline
แคมเปญเริ่มต้นขึ้นในเดือนมกราคม 2026 โดยกลุ่มผู้ก่อเหตุทำการสแกนเป้าหมายหลายองค์กรเพื่อประเมินช่องโหว่และโครงสร้างการจัดการความปลอดภัย จากนั้นค่อย ๆ เพิ่มการโจมตีด้วยวิธี vishing และการเข้าถึงสถานที่จริงอย่างค่อยเป็นค่อยไป
ในช่วงเดือนกุมภาพันธ์ถึงเมษายน 2026 ทีมผู้โจมตีได้เพิ่มความถี่ของการโทรฟิชชิ่งและการเข้าถึงข้อมูลกายภาพอย่างต่อเนื่อง ทำให้จำนวนองค์กรที่ถูกโจมตีเพิ่มขึ้นเป็น “หลายสิบ” รายการ การโจมตีเหล่านี้มักสอดคล้องกับช่วงเวลาที่องค์กรมีการจัดประชุมสำคัญหรือการเปลี่ยนแปลงระบบภายใน ซึ่งเป็นโอกาสที่ผู้โจมตีมองว่าอาจจะได้ผลลัพธ์สูงสุด
จนถึงเดือนพฤษภาคม 2026 แคมเปญเริ่มชะลอตัวลงหลังจากที่หลายองค์กรเริ่มสังเกตพฤติกรรมผิดปกติและเพิ่มมาตรการป้องกัน การรายงานของ Google Mandiant และ GTIG ทำให้กลุ่มผู้โจมตีต้องเปลี่ยนแนวทางหรืออาจหยุดกิจกรรมชั่วคราว
Attack Techniques
กลยุทธ์ของ UNC3753 ประกอบด้วยหลายขั้นตอนที่เชื่อมโยงกันอย่างเป็นระบบ
- Vishing: การโทรศัพท์หลอกลวงโดยอ้างว่าเป็นเจ้าหน้าที่ไอทีหรือผู้ให้บริการภายนอก เพื่อขอข้อมูลรับรองหรือรหัสผ่านของพนักงาน
- Physical intrusion: การเข้าถึงอาคารหรือห้องเซิร์ฟเวอร์โดยใช้เทคนิค “tailgating” หรือการปลอมตัวเป็นพนักงานเพื่อหลบการตรวจสอบ
- Credential harvesting: การเก็บรวบรวมข้อมูลรับรองที่ได้จากการฟิชชิ่งเสียงและการเข้าสู่ระบบภายในเพื่อขยายอิทธิพลในเครือข่าย
- Data exfiltration: การโอนย้ายข้อมูลสำคัญออกจากระบบโดยใช้ช่องทางที่เข้ารหัสหรือผ่านเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี
- Extortion: การเรียกค่าไถ่โดยการขู่ว่าจะเปิดเผยข้อมูลที่ขโมยได้ต่อสาธารณะหรือขายให้กับคู่แข่ง
วิธีการเหล่านี้แสดงให้เห็นว่ากลุ่มผู้โจมตีไม่ได้อาศัยเทคนิคดิจิทัลอย่างเดียว แต่ผสมผสานกับการกระทำในโลกกายภาพเพื่อเพิ่มโอกาสสำเร็จ
Impact on Targeted Sectors
องค์กรในภาควิชาชีพ กฎหมาย และการเงินเป็นกลุ่มเป้าหมายหลักของแคมเปญ เนื่องจากข้อมูลของพวกเขามีคุณค่าทางการค้าและกฎหมายสูง การรั่วไหลของข้อมูลอาจส่งผลต่อความเป็นส่วนตัวของลูกค้าและทำให้เกิดความเสี่ยงต่อการฟ้องร้องหรือการตรวจสอบจากหน่วยงานกำกับดูแล
สำหรับบริษัทกฎหมาย การเปิดเผยข้อมูลคดีหรือเอกสารสำคัญอาจทำให้สูญเสียความเชื่อมั่นจากลูกค้าและเสี่ยงต่อการละเมิดกฎหมายความลับของทนายความ ส่วนบริษัทการเงิน การขโมยข้อมูลบัญชีหรือข้อมูลส่วนบุคคลของลูกค้าอาจนำไปสู่การฉ้อโกงและความเสียหายทางการเงินโดยตรง
นอกจากนี้ การโจมตีด้วยวิธี physical intrusion ทำให้เกิดความกังวลเกี่ยวกับการควบคุมการเข้าถึงสถานที่ทำงาน ซึ่งเป็นประเด็นที่องค์กรหลายแห่งอาจต้องทบทวนนโยบายความปลอดภัยของตนเอง
Response and Mitigation
หลังจากที่แคมเปญถูกเปิดเผย ทีมความปลอดภัยของ Google Mandiant และ GTIG ได้แนะนำแนวทางปฏิบัติหลายประการเพื่อช่วยให้องค์กรลดความเสี่ยงต่อการโจมตีในลักษณะเดียวกัน
- ฝึกอบรมพนักงาน เกี่ยวกับการรับมือกับการโทรศัพท์ฟิชชิ่งและการตรวจสอบตัวตนของผู้ติดต่อ
- เสริมสร้างการควบคุมการเข้าถึง ภายในอาคาร เช่น ระบบบัตรประจำตัวที่ต้องมีการตรวจสอบหลายขั้นตอนและการตรวจจับการตามหลัง (tailgating)
- ใช้การตรวจจับพฤติกรรม (behavioral analytics) เพื่อระบุการเข้าถึงระบบที่ผิดปกติหรือการโอนย้ายข้อมูลที่ไม่คาดคิด
- ทำการทดสอบการเจาะระบบ (penetration testing) อย่างสม่ำเสมอเพื่อค้นหาและแก้ไขช่องโหว่ทั้งในระดับดิจิทัลและกายภาพ
องค์กรที่รับมาตรการเหล่านี้จะสามารถลดโอกาสที่ผู้โจมตีจะใช้เทคนิค vishing หรือการเข้าถึงสถานที่จริงเพื่อขโมยข้อมูลได้อย่างมีประสิทธิภาพ
Analysis
การผสมผสานระหว่างการโจมตีแบบดิจิทัลและการกระทำกายภาพของ UNC3753 แสดงให้เห็นว่ากลุ่มอาชญากรไซเบอร์กำลังพัฒนากลยุทธ์ให้ซับซ้อนมากยิ่งขึ้น การใช้ vishing เป็นจุดเริ่มต้นช่วยให้ผู้โจมตีสามารถเก็บข้อมูลรับรองที่มีค่าได้โดยไม่ต้องพึ่งพาการฟิชชิ่งผ่านอีเมลที่อาจถูกตรวจจับได้ง่าย
การเข้าถึงสถานที่จริงยังคงเป็นช่องโหว่ที่หลายองค์กรมองข้าม เนื่องจากมักให้ความสำคัญกับการป้องกันระบบเครือข่ายเป็นหลัก การเปิดเผยนี้อาจกระตุ้นให้ผู้บริหารระดับสูงให้ความสนใจต่อมาตรการความปลอดภัยแบบบูรณาการ (holistic security) ที่รวมทั้งด้านเทคโนโลยีและด้านกายภาพ
สุดท้าย การที่แคมเปญดำเนินการในช่วงเวลาหนึ่งปีและถูกตรวจจับได้หลังจากหลายองค์กรได้รับผลกระทบ แสดงถึงความจำเป็นของการแบ่งปันข้อมูลอัจฉริยะระหว่างบริษัทและหน่วยงานด้านความปลอดภัย เพื่อให้สามารถตอบโต้และป้องกันการโจมตีในรูปแบบที่คล้ายคลึงกันได้อย่างรวดเร็ว
Summary
แคมเปญของ UNC3753 ใช้เทคนิค vishing และการเข้าถึงสถานที่จริงเพื่อขโมยข้อมูลจากองค์กรในสหรัฐอเมริกา ระหว่างมกราคมและพฤษภาคม 2026 ส่งผลให้หลายองค์กรต้องเผชิญการเรียกค่าไถ่ การเปิดเผยจาก Google Mandiant และ GTIG เน้นย้ำถึงความสำคัญของการบูรณาการมาตรการความปลอดภัยทั้งในด้านดิจิทัลและกายภาพเพื่อป้องกันการโจมตีในลักษณะนี้.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- UNC3753 Used Vishing and Physical Intrusions in U.S. Data Theft Extortion Campaign
- ผู้เขียน
- [email protected] (The Hacker News)
- แหล่ง
- The Hacker News
- วันที่เผยแพร่
- 8 มิถุนายน 2569 เวลา 14:39
