Darktrace เปิดโปงแคมเปญสแปมบอมบ์ที่ใช้พรางการโจมตีไซเบอร์แบบเจาะจงเป้าหมาย

รายงานฉบับใหม่จาก Darktrace ได้เปิดเผยรายละเอียดเกี่ยวกับวิธีที่แพลตฟอร์มที่ขับเคลื่อนด้วยปัญญาประดิษฐ์ของบริษัทสามารถตรวจจับและตอบสนองต่อชุดการโจมตีแบบ “สแปมบอมบ์” ซึ่งออกแบบมาเพื่อถล่มระบบอีเมลและพรางความพยายามในการแทรกซึมที่เจาะจงเป้าหมายมากกว่า

การโจมตีแบบสแปมบอมบ์ หรือที่รู้จักกันในชื่อ “อีเมลสแปมบอมบ์” เกิดจากการส่งอีเมลจำนวนมากที่ไม่ได้รับการร้องขอเข้าไปยังกล่องจดหมายของเหยื่อ โดยมักเป็นการสมัครสมาชิกจดหมายข่าวหรือบริการออนไลน์หลายร้อยหรือหลายพันรายการให้กับเหยื่อโดยไม่ได้รับอนุญาต อีเมลที่ได้รับมักจะไม่เป็นอันตราย แต่ปริมาณที่มากเกินไปนั้นมีเป้าหมายเพื่อรบกวนการทำงานตามปกติ และปกปิดข้อความที่เป็นอันตราย เช่น ความพยายามฟิชชิ่งหรือการสื่อสารที่ฝังมัลแวร์

เทคนิคสแปมบอมบ์ทำให้ผู้ใช้และเครื่องมือความมั่นคงปลอดภัยแบบดั้งเดิมตรวจจับและตอบสนองต่อภัยคุกคามจริงได้ยากขึ้น เนื่องจากข้อมูลที่เป็นอันตรายจะถูกกลบด้วยอีเมลจำนวนมาก เปรียบเสมือนม่านควันดิจิทัลที่พรางการบุกรุกที่ลึกกว่า เช่น การยึดบัญชีหรือการสืบค้นข้อมูลภายใน

Darktrace ได้ตอบสนองต่อการโจมตีแบบสแปมบอมบ์ระหว่างเดือนกุมภาพันธ์ถึงมีนาคมของปีนี้ ซึ่งผู้โจมตีได้สมัครสมาชิกจดหมายข่าวและบริการต่าง ๆ ให้กับเหยื่อเป็นจำนวนมาก ทำให้สามารถแฝงข้อความฟิชชิ่งหรือใช้ช่องทางการสื่อสารอื่น เช่น การหลอกลวงทางเสียง (voice phishing) และการโทรผ่าน Microsoft Teams ได้ง่ายขึ้น

การโจมตีสแปมบอมบ์ในครั้งนี้มีการพยายามแทรกซึมเข้าเครือข่ายขององค์กรด้วยเครื่องมืออย่าง Quick Assist ซึ่งแม้จะเป็นเครื่องมือที่ใช้ในงานบริหารระบบโดยชอบธรรม แต่ก็ถูกนำมาใช้ในกิจกรรมที่เป็นอันตราย

แพลตฟอร์มตรวจจับของ Darktrace ที่ใช้ AI สามารถระบุแคมเปญเหล่านี้ได้จากการแจ้งเตือนถึงความผิดปกติของพฤติกรรมผู้ใช้และรูปแบบทราฟฟิคของอีเมล โมดูล EMAIL ของบริษัทได้ให้คะแนนความแปลกใหม่ถึง 100% สำหรับการทะลักเข้ามาของข้อความที่ไม่ปกติ และตรวจพบการใช้เครื่องมือการตลาดทางอีเมลอย่าง Mandrill (ส่วนขยายของ Mailchimp) อย่างผิดวัตถุประสงค์ โดยผู้โจมตีใช้ในการส่งอีเมลฟิชชิ่งแบบเฉพาะเจาะจงและเก็บข้อมูลการมีส่วนร่วมของผู้รับ

แม้ว่าการถล่มกล่องจดหมายด้วยอีเมลที่ไม่พึงประสงค์อาจฟังดูเหมือนกลยุทธ์ง่าย ๆ แต่ผู้โจมตีในแคมเปญนี้ยังใช้เทคนิควิศวกรรมสังคมแบบซับซ้อนหลายชั้น โดยปลอมตัวเป็นเจ้าหน้าที่ฝ่ายไอทีขององค์กร มีการติดต่อเหยื่อผ่านการโทรด้วย Microsoft Teams และการโทรหลอกลวงด้วยเสียง (vishing) เพื่อสร้างความไว้วางใจและหลอกให้เหยื่ออนุญาตการเข้าถึงหรือเปิดใช้งานเครื่องมือที่เป็นอันตราย

ในหลายกรณี หลังจากมีการติดต่อครั้งแรก Darktrace ตรวจพบว่าอุปกรณ์ของเหยื่อมีการสืบค้นข้อมูลภายในผ่านการสอบถาม LDAP และความพยายามเชื่อมต่อ SMB ซึ่งเป็นสัญญาณของความพยายามในการเจาะระบบที่ลึกยิ่งขึ้น

เพื่อควบคุมภัยคุกคามนี้ Darktrace ใช้เทคโนโลยี Autonomous Response ที่สามารถจำกัดกิจกรรมของอุปกรณ์ตาม “รูปแบบการใช้งาน” ของแต่ละอุปกรณ์ เมื่อพบการเชื่อมต่อที่ผิดปกติ เช่น การใช้งานพอร์ต 445 โดยไม่ได้รับอนุญาต ระบบ Autonomous Response ได้ดำเนินการจำกัดทันที

แม้ผลลัพธ์จะเป็นไปในทางบวก แต่ในบางสภาพแวดล้อมที่มีการตั้งค่าให้รอการยืนยันจากมนุษย์ก่อน ระบบยังคงอนุญาตให้ผู้โจมตีดำเนินการต่อได้ชั่วขณะหนึ่งจนกว่าจะได้รับการอนุมัติเพื่อแทรกแซงโดยมนุษย์ ซึ่งเน้นให้เห็นถึงความจำเป็นในการปรับแต่งระบบอัตโนมัติเพื่อการตอบสนองต่อภัยคุกคามอย่างทันท่วงที

ที่มา: https://siliconangle.com/2025/04/10/darktrace-uncovers-spam-bombing-campaign-used-mask-targeted-cyberattacks/