ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ออสเตรเลียเตือนแคมเปญโจมตีทั่วโลกเล็งเป้าแพลตฟอร์ม CMS ที่มีช่องโหว่ — ฝัง Webshell ยึดเว็บไซต์ธุรกิจ

ACSC warns of global campaign deploying webshells on vulnerable CMS platforms and plugins
ศูนย์ความมั่นคงไซเบอร์ออสเตรเลีย (ACSC) ออกประกาศเตือนแคมเปญโจมตีระดับโลกที่มุ่งเป้าระบบจัดการเนื้อหา (CMS) และปลั๊กอินที่มีช่องโหว่ ระบุว่าธุรกิจขนาดเล็กถึงกลางในออสเตรเลียจำนวนมากถูกโจมตีแล้ว โดยผู้โจมตีสแกนหาเว็บไซต์เพื่อฝัง Webshell ที่เปิดทางเข้าถึงระบบอย่างต่อเนื่อง ขโมยข้อมูลล็อกอิน และเคลื่อนตัวลึกเข้าเครือข่าย ช่องโหว่ครอบคลุมทั้ง WordPress, Craft CMS, Joomla JCE และปลั๊กอินยอดนิยมหลายตัว ACSC ยังเตือนว่าแคมเปญนี้อาจมี AI ช่วยเร่งการโจมตี

Zimbra แจ้งเตือนช่องโหว่ร้ายแรงใน Classic Web Client — อีเมลที่ถูกดัดแปลงรันโค้ดอันตรายในเซสชันผู้ใช้ได้

Critical Zimbra Classic Web Client stored XSS flaw lets crafted emails run malicious code
บริษัท Zimbra เร่งให้ลูกค้าอัปเดตแพตช์อุดช่องโหว่ร้ายแรงใน Classic Web Client ที่เปิดทางรันโค้ดโดยพลการได้ ช่องโหว่นี้เป็นแบบ Stored XSS ที่ทำให้อีเมลซึ่งถูกดัดแปลงเป็นพิเศษสามารถรันสคริปต์อันตรายในเซสชันของผู้ใช้เมื่อเปิดอ่าน หากถูกโจมตีสำเร็จอาจเข้าถึงข้อมูลกล่องจดหมาย ข้อมูลเซสชัน หรือการตั้งค่าบัญชีได้ ช่องโหว่ยังไม่ได้รับหมายเลข CVE และแม้ Zimbra ไม่ได้ระบุว่ามีการโจมตีจริง แต่ช่องโหว่ XSS ใน Zimbra เป็นเป้าหมายยอดนิยมของผู้โจมตีมานานหลายปี แนะนำให้อัปเดตเป็นเวอร์ชัน 10.1.19

บัญชี X ของ SpaceX และ Starlink ถูกยึดปั่นเหรียญคริปโตปลอม — รีโพสต์เนียนกลางฟีดก่อนดึงสภาพคล่องหนี

SpaceX and Starlink X accounts compromised to promote fake cryptocurrency scam
บัญชีทางการของ SpaceX และ Starlink บนแพลตฟอร์ม X ถูกยึดชั่วครู่เพื่อโปรโมตเหรียญคริปโตปลอม ก่อนที่โทเคนจะถูกดึงสภาพคล่องหนี (Rug Pull) ทิ้งผู้ซื้อไว้กับสินทรัพย์ไร้ค่า บัญชีปลอมชื่อ Sam Catman ที่แสดงตราสัญลักษณ์อ้างว่าเกี่ยวข้องกับโครงการ AI ของ SpaceX โพสต์โปรโมตเหรียญ แล้วบัญชีทางการก็รีโพสต์เนียนไปกับโพสต์ปกติ อาศัยฐานผู้ติดตามที่ยืนยันตัวตนจำนวนมหาศาลสร้างความน่าเชื่อถือ เหตุนี้ไม่ใช่กรณีแรก บัญชีแบรนด์ดังถูกยึดปั่นเหรียญปลอมซ้ำแล้วซ้ำเล่า

KittySploit — เฟรมเวิร์กเจาะระบบยุคใหม่ขับเคลื่อนด้วย AI กว่า 1,150 โมดูล วางแผนโจมตีเองอัตโนมัติ

KittySploit AI-powered open-source penetration testing framework with over 1150 modules
KittySploit เฟรมเวิร์กทดสอบเจาะระบบโอเพนซอร์สตัวใหม่ ผสานโค้ด Python กับ Zig และ AI agent อัตโนมัติ มาพร้อมโมดูลกว่า 1,150 ตัว จุดต่างสำคัญคือเชื่อมกับโมเดลภาษาขนาดใหญ่ที่รันในเครื่องผ่าน Ollama ทำให้ AI วางแผนเส้นทางโจมตีเองได้เพียงป้อนชื่อเป้าหมาย เพย์โหลดคอมไพล์ด้วย Zig เป็น polymorphic encoder หลบ EDR และ WAF และมี KittyProxy ที่ค้นหา API อัตโนมัติแล้วยิงโมดูลจากทราฟฟิกที่เห็นทันที เครื่องมือทรงพลังแบบนี้เป็นดาบสองคมที่ผู้ไม่หวังดีนำไปใช้ได้เช่นกัน

Ghostcommit — ซ่อนคำสั่ง Prompt Injection ในรูป PNG หลอก AI Agent ให้ขโมยความลับในโปรเจกต์

Ghostcommit attack hiding prompt injection inside a PNG image to fool AI coding agents
นักวิจัยจากมหาวิทยาลัย Missouri-Kansas City สาธิตการโจมตีชื่อ Ghostcommit ที่ซ่อนคำสั่งอันตรายไว้ในไฟล์รูป PNG ซึ่ง AI code reviewer ไม่เคยเปิดอ่าน เมื่อ AI coding agent ทำงานภายหลังจะอ่านรูปนั้น เปิดไฟล์ .env และเขียนคีย์ลับทั้งหมดออกมาเป็นชุดตัวเลขที่ดูไม่มีพิษภัย งานวิจัยพบว่า pull request ที่ merge เข้า main กว่า 73% ไม่ผ่านการรีวิวจากคนหรือบอตเลย และเครื่องมือที่ครอบ AI ต่างหากที่ชี้ผลว่าจะโดนหรือไม่ ไม่ใช่ตัวโมเดล

ตำรวจเนเธอร์แลนด์พบหลักฐานชี้แฮ็กเกอร์ชาวดัตช์เอี่ยวเหตุเจาะข้อมูล Odido — เริ่มจากโทรปลอมเป็นพนักงานไอที

Dutch National Police investigating Odido telecom data breach linked to Dutch hackers
ตำรวจแห่งชาติเนเธอร์แลนด์เผยพบหลักฐานบ่งชี้ชัดเจนว่าแฮ็กเกอร์ชาวดัตช์มีส่วนเกี่ยวข้องกับเหตุเจาะระบบผู้ให้บริการโทรคมนาคม Odido เมื่อเดือนกุมภาพันธ์ หลักฐานสำคัญคือบทสนทนาทางโทรศัพท์ที่ชายพูดภาษาดัตช์ปลอมเป็นพนักงานไอทีของบริษัทก่อนเกิดเหตุ จากนั้นใช้ฟิชชิงหลอกจนขโมยข้อมูลสำเร็จ เหตุการณ์นี้กระทบลูกค้า 6.2 ล้านราย ข้อมูลที่หลุดรวมชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล เลขบัญชี IBAN และเลขเอกสารระบุตัวตน กลุ่ม ShinyHunters อ้างความรับผิดชอบและปล่อยไฟล์ 88GB กว่า 15 ล้านรายการบนดาร์กเว็บ

สมาชิกแรนซัมแวร์ Ryuk รับสารภาพในสหรัฐฯ เผชิญโทษจำคุกสูงสุด 15 ปี

Ryuk ransomware member pleads guilty in the US faces 15 years
ชายชาวอาร์เมเนียวัย 34 ปี นายคาเรน เซโรโบวิช วาร์ดันยาน รับสารภาพต่อศาลสหรัฐฯ ในข้อหาแฮ็กบริษัทอเมริกันและปล่อยแรนซัมแวร์ Ryuk เข้ารหัสระบบ เขาถูกจับที่กรุงเคียฟเมื่อเมษายน 2568 แล้วส่งตัวข้ามแดนมาสหรัฐฯ ในบทบาทผู้จัดหาการเข้าถึงเครือข่ายองค์กร คดีระบุว่าเขาช่วยปล่อย Ryuk บนเครือข่ายองค์กรอเมริกันหลายแห่งช่วงพฤศจิกายน 2562 ถึงเมษายน 2563 กลุ่มได้รับบิตคอยน์ราว 1,610 BTC มูลค่าประมาณ 15 ล้านดอลลาร์ เขาเผชิญโทษจำคุกสูงสุด 15 ปีและตกลงชดใช้กว่า 1.1 ล้านดอลลาร์

GitHub ของ Injective Labs ถูกเจาะ ปล่อยแพ็กเกจ npm ขโมยกุญแจกระเป๋าคริปโต

Injective Labs GitHub compromise npm wallet key stealing packages
ผู้ก่อภัยคุกคามเจาะ GitHub repository ของโครงการ Injective Labs SDK แล้วใช้ปล่อยแพ็กเกจอันตรายบน npm เพื่อขโมย private key และ mnemonic seed phrase ของกระเป๋าคริปโต เวอร์ชันที่ถูกเจาะคือ @injectivelabs/sdk-ts@1.20.21 ฝังฟังก์ชัน telemetry ปลอมที่ขโมยข้อมูลกระเป๋า พร้อมกระจายเวอร์ชันเดียวกันไปยังอีก 17 แพ็กเกจในเครือ การโจมตีใช้บัญชี maintainer ที่ไว้ใจได้ผ่าน trusted-publisher (OIDC) pipeline ผู้ใช้ที่ติดตั้งควรอัปเดตเป็นเวอร์ชันสะอาด 1.20.23 และเปลี่ยนกุญแจทั้งหมดทันที

พบ 6 ช่องโหว่ใหม่ใน U-Boot อิมเมจอันตรายอาจทำอุปกรณ์ล่มหรือรันโค้ดตั้งแต่ตอนบูต

six new U-Boot flaws malicious images crash devices run code at boot
นักวิจัยจากบริษัท Binarly พบ 6 ช่องโหว่ใหม่ใน U-Boot โปรแกรมบูตขนาดเล็กที่ใช้ในเราเตอร์ กล้องอัจฉริยะ และชิปจัดการในเซิร์ฟเวอร์ดาต้าเซ็นเตอร์ สี่ช่องโหว่ทำอุปกรณ์ล่ม อีกสองช่องโหว่เปิดทางให้ผู้โจมตีที่สอดอิมเมจอันตรายรันโค้ดของตนก่อนอุปกรณ์ตรวจลายเซ็น โค้ดที่มีช่องโหว่ฝังใน U-Boot ตั้งแต่ v2013.07 กว่า 50 รุ่น ติดตามเป็น BRLY-2026-037 ถึง 042 ยังไม่มี CVE และยังไม่มีรุ่นแก้ไขทางการ ผู้ผลิตต้องดึงแพตช์ upstream มาใช้เอง

นักวิจัยเผยห่วงโซ่โจมตี OpenClaw จาก WhatsApp ถึงเครื่องโฮสต์ ผ่าน 3 ช่องโหว่ร้ายแรง

OpenClaw WhatsApp-to-host attack chain three vulnerabilities RCE
มีรายละเอียดออกมาเกี่ยวกับ 3 ช่องโหว่ร้ายแรงในผู้ช่วย AI ส่วนตัว OpenClaw ที่หากถูกใช้ประโยชน์จะเปิดทางขโมย credential ยกระดับสิทธิ์ และรันโค้ดบนเครื่องโฮสต์ได้ นาย Chinmohan Nayak สาธิตว่าช่องโหว่เหล่านี้ต่อกันเป็นห่วงโซ่ให้รันโค้ดบนโฮสต์จากข้อความ WhatsApp ภายนอกได้โดยไม่ต้องมีจุดยืนก่อน หนึ่งในช่องโหว่คือ path traversal ที่ยอมให้ mount โฟลเดอร์แม่ /home หรือ /var ทะลุ denylist จนอ่าน SSH key, AWS credential และ Docker socket ได้ แก้ไขแล้วในเวอร์ชัน 2026.6.6