ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

Microsoft เปิดแผนที่ 3 เส้นทางโจมตี Salesforce ของ ShinyHunters — เจาะได้ทั้งปีโดยไม่ใช้ช่องโหว่สักตัว

shinyhunters vulnerability exploit extortion linked salesforce data theft across three paths attackers long shinyhunters
Microsoft เผยแพร่งานวิจัยที่ทำแผนที่แคมเปญขโมยข้อมูล Salesforce ตลอดกว่า 1 ปี ซึ่งเชื่อมโยงกับกลุ่มรีดไถ ShinyHunters โดยไม่ได้เจาะช่องโหว่ของแพลตฟอร์มเลย แต่อาศัยความไว้วางใจผ่านการเชื่อมต่อ OAuth แบ่งเป็น 3 เส้นทาง คือ vishing หลอกพนักงานอนุมัติแอป, ขโมยโทเคน OAuth จากผู้ให้บริการที่ถูกเจาะ (Salesloft Drift, Gainsight, Klue) และการตั้งค่า guest access ผิดพลาด Microsoft ร่วมกับ Salesforce ออกเครื่องมือตรวจจับและกำกับดูแลใหม่

แท็กซี่รายใหญ่สุดของญี่ปุ่น Nihon Kotsu ถูกโจมตีไซเบอร์ — สั่งปิดระบบเรียกรถ กระทบบริการทั่วโตเกียว

infrastructure ise japan opera nihon kotsu
บริษัท Nihon Kotsu ผู้ให้บริการแท็กซี่รายใหญ่ที่สุดของญี่ปุ่น ประกาศว่าระบบภายในถูกโจมตีทางไซเบอร์ช่วงเช้าวันเสาร์ที่ผ่านมา จนต้องสั่งปิดโครงสร้างพื้นฐานบางส่วน รวมถึงระบบเรียกรถ (Dispatch) ที่ยังใช้งานไม่ได้ บริษัทระบุว่าเป็นการเข้าถึงโดยไม่ได้รับอนุญาตจากภายนอกและติดมัลแวร์ ทำให้บริการจองรถ จองผ่านเว็บ และบริการทางโทรศัพท์ล่ม บริษัทกำลังตรวจสอบว่ามีข้อมูลรั่วไหลหรือไม่ ยังไม่มีกลุ่มแรนซัมแวร์ใดออกมาอ้างความรับผิดชอบ

แฮ็กเกอร์สแกนทั่วอินเทอร์เน็ตล่าเซิร์ฟเวอร์ MCP และไฟล์ข้อมูลรับรอง Claude — เปิดแผนที่เครื่องมือ AI ที่ตั้งค่าพลาด

mcp ai bec claude claude credentials exposed ai models
นักวิจัยจาก Internet Storm Center พบการสแกนทั่วอินเทอร์เน็ตที่มุ่งค้นหาเซิร์ฟเวอร์ Model Context Protocol (MCP) ไฟล์ตั้งค่าผู้ช่วย AI และบริการโมเดลภาษาที่เปิดสู่สาธารณะ พบคำขอราว 200 รายการจาก 49 IP ที่ส่ง MCP handshake ที่ถูกต้องเพื่อตรวจว่าเป้าหมายเป็น MCP server จริงหรือไม่ พร้อมค้นหาไฟล์ข้อมูลรับรอง Claude/Cursor และทดลอง SSRF ขโมยโทเคน metadata ของคลาวด์ สะท้อนปัญหาความปลอดภัยที่โตขึ้นรอบการติดตั้งระบบ AI

แฮ็กเกอร์ฝังแบ็กดอร์ในแพ็กเกจ npm ของ Jscrambler — มัลแวร์ขโมยข้อมูลถูกดาวน์โหลดเกือบ 1,500 ครั้ง

malware infostealer backdoor npm the jscrambler
บริษัท Jscrambler เปิดเผยว่าผู้โจมตีเผยแพร่แพ็กเกจ npm เวอร์ชันอันตรายของบริษัท ครอบคลุมรุ่น 8.14, 8.16, 8.17 และ 8.20 โดยฝังมัลแวร์ขโมยข้อมูล (Infostealer) ที่ทำงานตอน preinstall hook แพ็กเกจนี้เปิดอยู่ราว 2 ชั่วโมงและถูกดาวน์โหลด 1,479 ครั้ง มัลแวร์ล้วงซอร์สโค้ด ข้อมูลรับรองนักพัฒนา คีย์คลาวด์ ค่าคอนฟิกเครื่องมือ AI และกระเป๋าคริปโต ต้นเหตุมาจากข้อมูลรับรองการเผยแพร่ npm ที่ถูกขโมย

บทสนทนากับแฮ็กเกอร์ — Jesse McGraw (GhostExodus) จากแบล็กแฮตสู่นักวิจัยไซเบอร์ผู้ไถ่บาป

cybersecurity hacking security tor from blackhat hacker ghostexodus
SecurityWeek สัมภาษณ์นาย Jesse McGraw หรือ GhostExodus อดีตหัวหน้ากลุ่มแฮ็กเกอร์ Electronik Tribulation Army ที่เคยเจาะเครื่องกว่า 14 เครื่องรวมถึงระบบ SCADA ควบคุมเครื่องปรับอากาศของศูนย์การแพทย์ในดัลลัสขณะทำงานเป็น รปภ.กะกลางคืน จนถูกตัดสินจำคุก 11 ปี เขาเล่าถึงมุมมองว่าการแฮ็กคือการแหกกฎ ความสัมพันธ์ระหว่างภาวะ Neurodivergence กับวงการแฮ็กเกอร์ และการเปลี่ยนตัวเองมาใช้ OSINT ปกป้องเด็กจากผู้ล่าออนไลน์

EU และอังกฤษคว่ำบาตรครั้งแรกร่วมกัน — เล่นงานแฮ็กเกอร์ทหาร GRU รัสเซียและเครือข่าย FSB คุม Turla

europe hacking military rat gru russian gru
สหภาพยุโรป (EU) และสหราชอาณาจักรออกมาตรการคว่ำบาตรร่วมกันครั้งแรก เล่นงานบุคคลและองค์กรรัสเซียหลายสิบราย พร้อมกล่าวหารัสเซียว่าประสานเครือข่ายกลุ่มแฮ็กเกอร์ก่อเหตุโจมตีทั่วยุโรป EU ระบุชื่อหน่วย 16th Centre ของ FSB ว่าควบคุมกลุ่มภัยคุกคามหลายกลุ่มรวมถึง Turla ส่วนอังกฤษคว่ำบาตร 24 รายรวมนายทหาร GRU ระดับสูงและผู้เกี่ยวข้องกับมัลแวร์ Lumma Stealer ครอบคลุมปฏิบัติการจารกรรมโครงสร้างพื้นฐานสำคัญ

Siggen แบ็กดอร์เจาะนักพัฒนา Windows — ฝังตัวในโปรเจกต์ Visual Studio ขโมยรหัสผ่านและกระเป๋าคริปโต

backdoor credential developer windows siggen backdoor hits windows developers via infected visual studio projects dr sig
นักวิจัยจาก Doctor Web เปิดเผยแบ็กดอร์ตัวใหม่ชื่อ Siggen (BackDoor.Siggen2.5906) ที่เจาะจงเป้าหมายไปที่นักพัฒนาซอฟต์แวร์ โดยแก้ไขโปรเจกต์ C++ และ C# เพื่อแพร่โค้ดอันตรายผ่านซอร์สโค้ดและแอปที่คอมไพล์แล้ว มัลแวร์ขโมยรหัสผ่าน คุกกี้เบราว์เซอร์ โทเคน Discord/Telegram และข้อมูลกระเป๋าคริปโต พร้อมติดตั้งโปรแกรมขุดเหรียญและเปิดรีโมตให้แฮ็กเกอร์ ซ่อนที่อยู่ C2 ไว้ในโปรไฟล์ Steam และไฟล์ GitHub สาธารณะ

CrashStealer มัลแวร์ macOS ตัวใหม่ ใช้ Dropper ที่ผ่าน Notarize เลี่ยงการตรวจของ Gatekeeper

CrashStealer macOS malware uses notarized dropper to pass Gatekeeper checks
นักวิจัยจาก Jamf Threat Labs พบมัลแวร์ขโมยข้อมูล macOS ตัวใหม่ชื่อ CrashStealer ที่เขียนด้วยภาษา C++ ต่างจาก stealer ทั่วไปที่ใช้ AppleScript หรือ Objective-C มันตรวจสอบรหัสผ่านล็อกอินของเหยื่อในเครื่องก่อนขโมยข้อมูล เก็บกวาดทั้งเบราว์เซอร์ กระเป๋าคริปโต ตัวจัดการรหัสผ่าน และ Keychain เข้ารหัสด้วย AES-GCM ก่อนส่งออกผ่าน libcurl จุดเด่นคือแพร่ผ่าน Dropper ที่เซ็นและผ่าน Apple Notarize ในชื่อ Werkbit.app ทำให้ผ่านการตรวจของ Gatekeeper ได้ และการดาวน์โหลดต้องมี PIN ประชุมจึงจะเข้าถึง

Turla กลุ่มจารกรรมรัสเซียเจาะช่องโหว่ SharePoint เข้าถึงบัญชีผู้ใช้ในฝรั่งเศสหลายพันราย

Turla Russian espionage hackers exploit SharePoint flaw to access thousands of French user accounts
หน่วยงานฝรั่งเศส C4 และ CERT-FR เปิดรายงานการเจาะระบบโดยกลุ่มจารกรรมไซเบอร์ Turla ที่เชื่อมโยงกับหน่วยงานความมั่นคง FSB ของรัสเซีย กลุ่มนี้เคลื่อนไหวมากว่าสองทศวรรษ ขโมยข้อมูลอ่อนไหวจากหน่วยงานรัฐ การทูต กลาโหม กระบวนการยุติธรรม และบริษัทเทคโนโลยี ในปี 2019 Turla เจาะเซิร์ฟเวอร์ขององค์กรภาคยุติธรรมฝรั่งเศสผ่านช่องโหว่ Microsoft SharePoint อาจเข้าถึงข้อมูลบัญชีผู้ใช้หลายพันราย กลุ่มยังใช้เหยื่อรายย่อยเป็นจุดพักส่งต่อการโจมตี ทำให้ตรวจจับได้ยาก

NSA เตือนองค์กรปิด Cisco Smart Install ด่วน — แฮ็กเกอร์รัสเซีย FSB Center 16 เล็งเจาะเราเตอร์โครงสร้างพื้นฐานสำคัญ

NSA urges organizations to disable Cisco Smart Install as Russian FSB hackers target routers
NSA พร้อมหน่วยงานพันธมิตร 17 ประเทศออกคำแนะนำร่วมด้านความมั่นคงปลอดภัย เตือนว่าแฮ็กเกอร์รัสเซียที่รัฐหนุนหลังยังคงโจมตีเราเตอร์และสวิตช์ที่ตั้งค่าไม่ปลอดภัย ระบุกลุ่ม FSB Center 16 อยู่เบื้องหลังการเจาะโครงสร้างพื้นฐานสำคัญทั้งกลาโหม พลังงาน การเงิน และสาธารณสุข จุดสำคัญคือช่องโหว่ CVE-2018-0171 (CVSS 9.8) ใน Cisco Smart Install ที่เปิดทางรันโค้ดจากระยะไกลผ่านพอร์ต TCP 4786 NSA แนะนำ 5 มาตรการ รวมถึงการปิด Smart Install ทั้งหมด เพราะแทบไม่มีการใช้งานที่จำเป็นในระบบจริง