บริการ Dynamic DNS (DDNS) ซึ่งเดิมทีออกแบบมาเพื่ออำนวยความสะดวกช่วยให้ชื่อโดเมน สามารถเชื่อมโยงไปยัง IP Address ที่มีการเปลี่ยนแปลงอยู่เสมอได้โดยอัตโนมัตินั้น กำลังกลายเป็นเครื่องมือสำคัญที่กลุ่มอาชญากรไซเบอร์ เช่น Scattered Spider และกลุ่มฟิชชิ่งอื่น ๆ หันมาใช้ประโยชน์อย่างแพร่หลาย
โดยกลุ่มเหล่านี้อาศัยการเช่าซับโดเมนจากผู้ให้บริการ DDNS เพื่อใช้ในการอำพรางกิจกรรมที่เป็นอันตรายและปลอมแปลงตัวตน ทำให้การตรวจจับและติดตามเป็นไปได้ยากยิ่งขึ้น แนวโน้มดังกล่าวสร้างความกังวลให้ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ถึงการเพิ่มขึ้นของการใช้บริการเหล่านี้ในทางที่ผิด และการขยายตัวของตลาด “ซับโดเมนให้เช่า”
รายงานจาก Silent Push บริษัทข่าวกรองด้านภัยคุกคาม ระบุว่ากลุ่มอาชญากรไซเบอร์ชื่อดังอย่าง Scattered Spider ได้ปรับเปลี่ยนยุทธวิธีมาใช้ซับโดเมนที่สามารถเช่าได้จากผู้ให้บริการ DDNS เช่น it[.]com Domains LLC อย่างเห็นได้ชัดในปีนี้ ตัวอย่างเช่น การสร้างซับโดเมน klv1.it[.]com เพื่อเลียนแบบโดเมน klv1[.]io ของ Klaviyo บริษัทการตลาดอัตโนมัติชื่อดัง โดยซับโดเมนปลอมดังกล่าวมีการตรวจจับได้น้อยมากใน VirusTotal และขณะที่รายงานเผยแพร่ Dan Green นักวิจัยจาก Push Security เสริมว่าซับโดเมนเหล่านี้ดูน่าเชื่อถือเพราะมักใช้โดเมน .com และสามารถเช่าได้ในราคาถูกโดยไม่ต้องมีการตรวจสอบที่เข้มงวด ทำให้ง่ายต่อการสร้างโดเมนที่คล้ายคลึงกับของจริงจนผู้ใช้ทั่วไปแยกแยะได้ยาก นอกจาก it[.]com Domains แล้ว ผู้ให้บริการ DDNS รายอื่นอย่าง Duck DNS, ChangeIP และ No-IP ก็ถูกนำไปใช้ในทางที่ผิดเช่นกัน
แม้ผู้ให้บริการ DDNS อย่าง it[.]com Domains จะออกมาชี้แจงว่ามีนโยบายป้องกันการใช้งานในทางที่ผิดและได้ดำเนินการปิดซับโดเมนปลอมที่ Scattered Spider ใช้ภายในหนึ่งหรือสองสัปดาห์หลังจากได้รับการจดทะเบียน แต่ผู้เชี่ยวชาญอย่าง Zach Edwards จาก Silent Push ชี้ว่ากรอบเวลาการดำเนินการดังกล่าวยังช้าเกินไป เนื่องจากกลุ่มคนร้ายมักใช้ซับโดเมนเหล่านี้เพียงไม่กี่ชั่วโมงหรือไม่กี่วันเท่านั้น ทำให้ DDNS กลายเป็น “สถาปัตยกรรมที่สมบูรณ์แบบ” สำหรับการโจมตีระยะสั้นที่ไม่ต้องการให้โดเมนติดอันดับใน Google หรือถูกตรวจพบได้ง่าย ดังนั้น องค์กรต่าง ๆ จึงจำเป็นต้องปรับตัวโดยการเฝ้าระวังการใช้งานซับโดเมนที่น่าสงสัย ไม่ใช่แค่การติดตามโดเมนที่จดทะเบียนใหม่เท่านั้น และเตรียมพร้อมรับมือกับแนวโน้มการใช้ DDNS และซับโดเมนให้เช่าที่คาดว่าจะเพิ่มสูงขึ้นอย่างมีนัยสำคัญในอนาคตอันใกล้นี้
แหล่งข่าว https://www.darkreading.com/threat-intelligence/dynamic-dns-cyberattack-facilitator
ที่มา : thaicert / วันที่เผยแพร่ 19 พฤษภาคม 2568
Link :https://www.thaicert.or.th/2025/05/19/dynamic-dns-เครื่องมือในมือของอา/
