FBI เตือนภัย! แฮกเกอร์ 2 กลุ่มมุ่งโจมตี Salesforce ขโมยข้อมูล-แบล็กเมล์ ด้านกลุ่มแฮกเกอร์ดังประกาศ "วางมือ" แต่ผู้เชี่ยวชาญชี้อาจเป็นแค่ละครฉากหนึ่ง

 

เมื่อวันที่ 15 กันยายน 2025 - สำนักงานสอบสวนกลางของสหรัฐอเมริกา (FBI) ได้ออกประกาศเตือนภัยฉุกเฉิน (flash alert) พร้อมเปิดเผยข้อมูลและร่องรอยการโจมตี (Indicators of Compromise - IoCs) ของกลุ่มอาชญากรไซเบอร์ 2 กลุ่ม ในชื่อรหัส UNC6040 และ UNC6395 ซึ่งกำลังก่อเหตุโจมตีเพื่อขโมยข้อมูลและขู่กรรโชกทรัพย์อย่างต่อเนื่อง

"เราตรวจพบว่าทั้งสองกลุ่มกำลังมุ่งเป้าโจมตีแพลตฟอร์ม Salesforce ขององค์กรต่างๆ โดยใช้ช่องทางการเจาะระบบเริ่มต้นที่แตกต่างกัน" FBI กล่าวในแถลงการณ์

เจาะลึก 2 กลุ่มแฮกเกอร์ตัวแสบ

1. กลุ่ม UNC6395: กลุ่มนี้เป็นผู้อยู่เบื้องหลังแคมเปญขโมยข้อมูลครั้งใหญ่ที่มุ่งเป้าไปยังผู้ใช้งาน Salesforce เมื่อเดือนสิงหาคม 2025 ที่ผ่านมา โดยอาศัยช่องโหว่จากโทเค็น OAuth ของแอปพลิเคชัน Salesloft Drift ที่ถูกเจาะระบบไปก่อนหน้านี้ ซึ่งทาง Salesloft ได้ออกมายืนยันว่าการโจมตีดังกล่าวเกิดขึ้นได้เพราะบัญชี GitHub ของบริษัทถูกแฮกเกอร์เข้าถึงได้ในช่วงเดือนมีนาคมถึงมิถุนายน 2025

เพื่อรับมือกับเหตุการณ์นี้ Salesloft ได้แยกโครงสร้างพื้นฐานของ Drift ออกจากระบบหลักและปิดให้บริการแชตบอต AI ดังกล่าวชั่วคราว พร้อมทั้งกำลังเร่งปรับปรุงกระบวนการยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication) และเสริมความปลอดภัยให้ GitHub อย่างเร่งด่วน พร้อมแนะนำให้ลูกค้าที่ใช้งาน Drift ทุกราย "สันนิษฐานว่าข้อมูลและการเชื่อมต่อที่เกี่ยวข้องทั้งหมดอาจถูกบุกรุกแล้ว"

2. กลุ่ม UNC6040: จากการประเมินของ Google พบว่ากลุ่มนี้เริ่มเคลื่อนไหวมาตั้งแต่เดือนตุลาคม 2024 เป็นกลุ่มที่มุ่งหวังผลประโยชน์ทางการเงิน โดยใช้เทคนิค "วิชชิ่ง" (Vishing) หรือการหลอกลวงทางโทรศัพท์ เพื่อหลอกให้เหยื่อให้สิทธิ์การเข้าถึง ก่อนจะยึดบัญชี Salesforce เพื่อขโมยข้อมูลปริมาณมหาศาลออกไป

กลุ่ม UNC6040 ใช้แอปพลิเคชัน Data Loader ของ Salesforce เวอร์ชันดัดแปลง และสคริปต์ Python ที่เขียนขึ้นเองในการเจาะระบบและดึงข้อมูล หลังจากขโมยข้อมูลไปแล้วหลายเดือน พวกเขาจะเริ่มปฏิบัติการขู่กรรโชกทรัพย์เหยื่อ

จาก ShinyHunters สู่การรวมตัวและประกาศยุติบทบาท?

Google ยังระบุว่าขั้นตอนการขู่กรรโชกทรัพย์นั้น ดำเนินการโดยอีกกลุ่มหนึ่งที่ใช้ชื่อรหัสว่า UNC6240 ซึ่งมักอ้างตัวว่าเป็นกลุ่มแฮกเกอร์ชื่อดังอย่าง ShinyHunters และมีแผนที่จะสร้าง "เว็บไซต์เผยแพร่ข้อมูลที่ขโมยมา" (Data Leak Site - DLS) เพื่อเพิ่มแรงกดดันต่อเหยื่อ

ความเคลื่อนไหวล่าสุดที่น่าจับตาคือการผนึกกำลังกันของ 3 กลุ่มแฮกเกอร์ระดับโลก ได้แก่ ShinyHunters, Scattered Spider, และ LAPSUS$ แต่แล้วเมื่อวันที่ 12 กันยายน 2025 ที่ผ่านมา กลุ่มที่รวมตัวกันใหม่นี้กลับสร้างความประหลาดใจด้วยการประกาศผ่านช่อง Telegram ว่า "พวกเราตัดสินใจที่จะหายตัวไป (go dark)" และ "ภารกิจของเราสำเร็จลุล่วงแล้ว ถึงเวลาที่ต้องกล่าวคำอำลา"

แม้จะยังไม่ชัดเจนว่าอะไรคือสาเหตุที่ทำให้พวกเขาประกาศ "วางมือ" แต่คาดว่าอาจเป็นการพยายามหลบซ่อนตัวเพื่อหลีกเลี่ยงการไล่ล่าของเจ้าหน้าที่ตำรวจ หลังจากมีข่าวว่าตำรวจฝรั่งเศสได้จับกุมผู้ต้องสงสัยผิดคน

แซม รูบิน รองประธานอาวุโสจาก Unit 42 Consulting and Threat Intelligence ให้ความเห็นว่า "การประกาศยุติบทบาทเช่นนี้ ไม่ค่อยจะหมายถึงการวางมือจริงๆ ในประวัติศาสตร์ที่ผ่านมา กลุ่มแฮกเกอร์มักจะแตกกลุ่ม, สร้างแบรนด์ใหม่, และกลับมาปรากฏตัวอีกครั้ง การที่กลุ่มแฮกเกอร์เงียบไป ไม่ได้หมายความว่าปลอดภัยแล้ว องค์กรต่างๆ จึงต้องเฝ้าระวังและตื่นตัวอยู่เสมอ โดยต้องคิดไว้เสมอว่าภัยคุกคามไม่ได้หายไปไหน เพียงแค่ปรับเปลี่ยนรูปแบบเท่านั้น"

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก