ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

Microsoft ถอดส่วนขยาย Edge 119 ตัว ซ่อนมัลแวร์ในไฟล์ภาพและฟอนต์ — แคมเปญ StegoAd

Microsoft removes 119 Edge extensions that hid malware in images and fonts
Microsoft ถอดส่วนขยายอันตราย 119 ตัวออกจาก Edge Add-ons store ที่ซ่อน payload ไว้ในไฟล์ภาพและฟอนต์ด้วยเทคนิค steganography แล้วตื่นทำงานหลังติดตั้งหลายวันเพื่อขโมย credential และทำ ad fraud Microsoft เรียกแคมเปญนี้ว่า StegoAd เชื่อมโยงกับกลุ่มเดียวที่ใช้งานมาตั้งแต่ปี 2021 ส่วนขยายเป็นประเภทยอดนิยมอย่าง ad blocker, VPN และ translator มียอดติดตั้งรวมสูงสุดถึง 2.6 ล้านราย ขโมยรหัส Google, รหัส 2FA และ cookie เชื่อมโยงปฏิบัติการจีน DarkSpectre

Mustang Panda ใช้ Zoho WorkDrive เป็นช่องทางสั่งการ โจมตีหน่วยงานรัฐอินเดีย

Mustang Panda uses Zoho WorkDrive as command channel in Indian government attacks
Acronis Threat Research Unit พบกลุ่มจารกรรม Mustang Panda ที่จีนหนุนหลัง รันสองแคมเปญโจมตีหน่วยงานรัฐและเป้าหมายด้านพลังงานน้ำของอินเดีย ใช้มัลแวร์ใหม่และเปลี่ยน Zoho WorkDrive บริการคลาวด์ที่ถูกต้องให้เป็นช่องทางสั่งการ ทำให้ทราฟฟิกดูเหมือนกิจกรรมคลาวด์ปกติ Acronis ตั้งชื่อเครื่องมือใหม่ 3 ตัวคือ SHARDLOADER, MINIRECON และ ZOHOMURK ทั้งสองแคมเปญมาในรูป ZIP ส่งผ่าน spear-phishing ทำงานช่วง 12-22 มิ.ย. 2026 เป้าหมายคือข่าวกรองด้านพลังงานน้ำและความสัมพันธ์กลาโหมอินเดีย-ไต้หวัน

นักวิจัยสาธิตการโจมตี Claude Code ผ่านรีโพซิทอรีที่ดูไม่มีพิษภัย ยึดเครื่องนักพัฒนา

New Claude Code attack using harmless-looking repositories to hijack developer machines
ทีมวิจัย 0Din ของ Mozilla สาธิตการโจมตีที่ซ่อน prompt ทางอ้อมในรีโพซิทอรีที่ดูปกติ เมื่อ Claude Code รันคำสั่งติดตั้ง จะเกิด reverse shell บนเครื่องนักพัฒนา จุดอันตรายคือรีโพไม่มีโค้ดหรือคำสั่งอันตรายตรง ๆ การโจมตีอาศัย error ที่จงใจให้เกิดตอนติดตั้ง แล้ว Claude Code อ่าน error และรันคำสั่งแก้ไขเอง ซึ่งดึง payload ที่เข้ารหัส base64 จาก DNS TXT record มารัน ทำให้ลายเซ็น reverse shell ไม่ปรากฏบนดิสก์หรือเครือข่าย เปิดทางขโมย credential, API key และฝัง backdoor

Cyberbit ปิดสำนักงานในอิสราเอล ตัดสายสัมพันธ์สุดท้ายกับ Elbit Systems

Cybersecurity firm Cyberbit shuts down Israel operations
บริษัท Cyberbit ผู้ให้บริการแพลตฟอร์มฝึกอบรมไซเบอร์ ปิดสำนักงานในอิสราเอลและเลิกจ้างพนักงานในประเทศ ตามรายงานสื่ออิสราเอล การปิดครั้งนี้ตัดสายสัมพันธ์สุดท้ายกับอิสราเอล ที่ Cyberbit เคยถือกำเนิดเป็นบริษัทแยกตัวจาก Elbit Systems ผู้รับเหมาด้านกลาโหม บริษัทมุ่งสู่ตลาดสหรัฐฯ มากขึ้นหลังเข้าซื้อ RangeForce ในปี 2025 บริษัทไม่ได้เชื่อมโยงการปิดกับการเมือง แต่เกิดขึ้นในช่วงเวลาที่อ่อนไหวสำหรับบริษัทเทคโนโลยีสหรัฐฯ ที่มีงานเกี่ยวพันกับอิสราเอล

Bluekit ชุดฟิชชิงสำเร็จรูปใช้เทคนิค Browser-in-the-Middle หลบการตรวจจับ

Bluekit phishing kit uses Browser-in-the-Middle attacks to evade detection
Netcraft เปิดเผยว่าแพลตฟอร์มฟิชชิงสำเร็จรูป (PHaaS) ชื่อ Bluekit เปิดใช้งานเต็มรูปแบบแล้ว พบโดเมนราว 70 ชื่อในสัปดาห์เดียว จุดเด่นคือเทคนิค Browser-in-the-Middle ที่โหลดหน้าล็อกอินจริงในเบราว์เซอร์ที่แฮ็กเกอร์ควบคุม แล้วสตรีม DOM สดให้เหยื่อผ่าน WebSocket เมื่อเหยื่อกรอกข้อมูล เซสชันจะเปิดบนเครื่องแฮ็กเกอร์ตั้งแต่ต้น ลายนิ้วมือเบราว์เซอร์ไม่เปลี่ยน หลบ MFA และระบบตรวจจับได้แนบเนียน พร้อมรันการตรวจบอตกว่า 20 รายการก่อนปล่อยหน้าฟิชชิง

ช่องโหว่ร้ายแรง Dell Wyse Management Suite CVE-2026-41120 เปิดทางรันโค้ดยึดระบบจัดการ thin client

Dell Wyse Management Suite CVE-2026-41120 remote code execution vulnerability
Dell ออกประกาศความปลอดภัยแก้ไขช่องโหว่หลายรายการใน Wyse Management Suite (WMS) แพลตฟอร์มจัดการ thin client และอุปกรณ์ปลายทางที่ใช้กันแพร่หลาย ช่องโหว่ที่ร้ายแรงที่สุดคือ CVE-2026-41120 คะแนน CVSS 9.8 เปิดทางให้ผู้โจมตีสิทธิ์ต่ำจากระยะไกลรันโค้ดได้โดยไม่ต้องโต้ตอบจากผู้ใช้ อีกตัวคือ CVE-2026-49506 คะแนน 7.2 เป็นช่องโหว่ path traversal ทั้งคู่กระทบ WMS เวอร์ชันก่อน 5.5 HF1 Dell ออกแพตช์แล้วและแนะนำให้อัปเกรดทันที

แฮ็กเกอร์เริ่มโจมตีช่องโหว่ร้ายแรง Oracle E-Business Suite CVE-2026-46817 ยึดระบบได้โดยไม่ต้องล็อกอิน

Oracle E-Business Suite CVE-2026-46817 actively exploited unauthenticated takeover
ผู้โจมตีเริ่มใช้ช่องโหว่ร้ายแรง CVE-2026-46817 ใน Oracle E-Business Suite (EBS) แอปด้านการเงินขององค์กร ช่องโหว่อยู่ในส่วน File Transmission ของ Oracle Payments เปิดทางให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนและมีเพียงการเข้าถึง HTTP เข้ายึดระบบได้ด้วยการโจมตีที่ซับซ้อนต่ำ ได้คะแนน CVSS 9.8 Oracle ออกแพตช์ไปแล้วใน Critical Security Patch Update เดือนพฤษภาคม 2026 บริษัท Defused พบการโจมตีจริงครั้งแรกเมื่อสุดสัปดาห์ที่ผ่านมา ขณะที่ยังมี EBS กว่า 450 ระบบเปิดอยู่บนอินเทอร์เน็ต

Turla กลุ่มจารกรรมรัสเซียใช้โครงสร้างที่ถูกยึดปล่อยแบ็กดอร์ STOCKSTAY โจมตียูเครน

Russia-linked Turla STOCKSTAY backdoor espionage Ukraine
กลุ่มภัยคุกคามที่เชื่อมโยงกับรัสเซีย Turla ขยายคลังเครื่องมือจารกรรมด้วยแบ็กดอร์ตัวใหม่ชื่อ STOCKSTAY โจมตีหน่วยงานรัฐและทหารในยูเครนตั้งแต่ปลายปี 2022 มัลแวร์เขียนด้วย .NET สื่อสารผ่าน WebSocket ที่เข้ารหัส ทำให้ตรวจจับยากในทราฟฟิกปกติ Turla ใช้โครงสร้างพื้นฐานของยูเครนที่ถูกยึด เช่น เว็บหน่วยงานรัฐและเซิร์ฟเวอร์บริษัทไอที เพื่อ stage และส่งเพย์โหลด นักวิจัย Google ระบุว่ามันมีความเชื่อมโยงกับชุดเครื่องมือ KAZUAR ของกลุ่มเดียวกัน

สหรัฐยึดเกือบ 400 โดเมนสตรีมเถื่อน FIFA World Cup — ปฏิบัติการ Offsides เตือนผู้ชมเสี่ยงมัลแวร์

US DOJ seizes FIFA World Cup illegal streaming domains Operation Offsides
กระทรวงยุติธรรมสหรัฐยึดโดเมนเว็บไซต์เกือบ 400 โดเมนที่ใช้สตรีมการแข่งขัน FIFA World Cup 2026 อย่างผิดกฎหมาย ภายใต้ปฏิบัติการ Offsides ที่ประสานงานกับพันธมิตรนานาชาติ เป้าหมายคือเซิร์ฟเวอร์และโดเมนในเปรู บัลแกเรีย โครเอเชีย โรมาเนีย โปแลนด์ และโคลอมเบีย เจ้าหน้าที่เตือนว่าเว็บสตรีมเถื่อนไม่เพียงละเมิดลิขสิทธิ์ แต่ยังเปิดทางให้ผู้ชมเสี่ยงต่อมัลแวร์และการขโมยข้อมูลส่วนตัวและการเงิน

PoC สาธารณะโผล่ — ช่องโหว่ร้ายแรง libssh2 CVE-2026-55200 เซิร์ฟเวอร์ SSH ปลอมยึดเครื่องไคลเอนต์ได้

libssh2 CVE-2026-55200 client side SSH memory corruption vulnerability
มี proof-of-concept สาธารณะออกมาแล้วสำหรับ CVE-2026-55200 ช่องโหว่ร้ายแรงใน libssh2 ที่เปิดทางให้เซิร์ฟเวอร์ SSH ที่เป็นอันตรายหรือถูกยึดส่ง memory corruption ไปยังเครื่องไคลเอนต์ที่เชื่อมต่อ โดยไม่ต้องใช้รหัสผ่านหรือการโต้ตอบจากผู้ใช้ ช่องโหว่กระทบทุกเวอร์ชันถึง 1.11.1 ได้คะแนน CVSS 9.2 libssh2 ฝังอยู่ใน curl, Git, PHP และเฟิร์มแวร์จำนวนมากที่มักลิงก์แบบ static จึงตามแพตช์ยาก