ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

CVE-2026-20230 — ช่องโหว่ Critical ใน Cisco Unified CM เปิดทางยกระดับเป็น root มี PoC เผยแพร่แล้ว

Cisco warns of critical Unified CM flaw CVE-2026-20230 with PoC exploit code
บริษัท Cisco ออกแพตช์ปิดช่องโหว่ระดับวิกฤตใน Unified Communications Manager (Unified CM) ติดตามด้วยรหัส CVE-2026-20230 ซึ่งเป็น server-side request forgery (SSRF) ที่ผู้โจมตีระยะไกลไม่ต้องมีสิทธิ์สามารถส่ง HTTP request พิเศษเพื่อเขียนไฟล์ลง OS แล้วยกระดับเป็น root ได้ Cisco จัดเป็น Critical เพราะนำสู่ root ทีม PSIRT รับทราบว่ามี PoC เผยแพร่สาธารณะแล้วแต่ยังไม่พบการโจมตีจริง กระทบเฉพาะระบบที่เปิด WebDialer (ปิดเป็นค่าเริ่มต้น) แนะนำอัปเดตเป็น 14SU6 หรือ 15SU5

Five Eyes เตือนสายลับจีนใช้ประกาศงานปลอมบน LinkedIn, Indeed, Upwork ล่อเจ้าหน้าที่ทหารขโมยความลับ

Five Eyes warns Chinese spies use fake job ads to target military staff
พันธมิตรข่าวกรอง Five Eyes (สหราชอาณาจักร สหรัฐฯ แคนาดา ออสเตรเลีย นิวซีแลนด์) รวมถึง MI5 และ FBI ออกรายงานร่วมเตือนว่าสายลับที่เชื่อมโยงรัฐจีนใช้เว็บหางานอย่าง LinkedIn, Indeed และ Upwork สร้างโปรไฟล์ปลอมเป็น HR หรือที่ปรึกษา โพสต์งานปลอมด้านกลาโหม/นโยบายต่างประเทศ เพื่อล่อเจ้าหน้าที่รัฐและทหารให้แชร์ข้อมูลลับ เป้าหมายหลักคือผู้มี security clearance โดยเฉพาะในอินโด-แปซิฟิก จ่ายค่าตอบแทนผ่าน PayPal, Wise และคริปโต MI5 ระบุเคยพยายามล่อคนอังกฤษกว่า 20,000 คน

ComoDoS — ช่องโหว่ 0-Day ใน Comodo Internet Security ส่ง IPv6 แพ็กเก็ตเดียวทำ Windows จอฟ้า ยังไม่มีแพตช์

Comodo Internet Security ComoDoS zero-day lets attacker crash Windows system
นาย Marcus Hutchins เปิดเผยช่องโหว่ 0-day ที่ยังไม่มีแพตช์ในไดรเวอร์ firewall ของ Comodo Internet Security ชื่อ Inspect.sys ตั้งชื่อว่า ComoDoS เปิดให้ผู้โจมตีระยะไกลทำให้ Windows เป้าหมายจอฟ้า (BSOD) ได้ด้วย IPv6 แพ็กเก็ตผิดรูปเพียงแพ็กเก็ตเดียว ข้ามกฎ firewall ทั้งหมด ต้นเหตุคือ integer underflow ในการแยก IPv6 extension header ที่ไม่ตรวจสอบ payload length ทำให้ค่า unsigned 64-bit วนกลับเป็น ~18.4 ล้านล้านล้าน Comodo ไม่ตอบกลับหลายครั้ง PoC เผยแพร่บน GitHub แล้ว

แฮ็กเกอร์ใช้ประกาศลิขสิทธิ์ Chrome Web Store ปลอม หลอกนักพัฒนา extension ขโมยบัญชี Google

Hackers use fake Chrome Web Store copyright notices to steal Google credentials
บริษัท Malwarebytes เปิดเผยแคมเปญฟิชชิงใหม่ที่มุ่งเป้านักพัฒนา Chrome extension ด้วยประกาศลบเนื้อหาละเมิดลิขสิทธิ์ (DMCA) ปลอมที่ดูเหมือนข้อความทางการจาก Chrome Web Store หลอกให้กรอก credential Google บนหน้า sign-in ปลอม โดยให้เวลาเพียง 48 ชั่วโมงสร้างความเร่งด่วน หน้าปลอมมีเลขร้องเรียน นาฬิกานับถอยหลัง และดึงชื่อ/ไอคอน extension จริงมาแสดง โฮสต์บนโดเมน dmca-chrome-extensions[.]click หากบัญชีถูกยึด ผู้โจมตีสามารถ push อัปเดตอันตรายไปยังผู้ใช้หลายพันคน

ตัวติดตั้ง Claude Code ปลอมบน Google Sites — ใช้ ClickFix + Steganography รันมัลแวร์ในหน่วยความจำ ขโมย credential

Fake Claude Code installer via Google Sites delivers credential-stealing malware
บริษัท ANY.RUN เปิดเผยแคมเปญ ClickFix ที่ใช้หน้าปลอมเลียนแบบ Claude Code และ OpenAI Codex โฮสต์บน Google Sites ที่น่าเชื่อถือ หลอกให้ผู้ใช้รันคำสั่ง mshta เพื่อ ‘ติดตั้ง’ จากนั้น PowerShell หลายขั้นจะทำงานในหน่วยความจำ ดึง payload ที่ซ่อนในรูปด้วย steganography แล้วรัน shellcode โดยไม่แตะดิสก์ ขโมยรหัสผ่านเบราว์เซอร์ อีเมล และข้อมูล wallet คริปโต เป้าหมายหลักคือนักพัฒนาที่คุ้นเคยกับการติดตั้งผ่าน command line จึงทำตามคำสั่งโดยไม่ลังเล

DoJ สหรัฐฯ ทลายเครือข่ายฉ้อโกงคริปโตในเอเชียตะวันออกเฉียงใต้ อายัด 3.8 ล้านดอลลาร์ — ตำรวจไทยร่วมจับ 7 คน

DoJ disrupts Southeast Asia crypto fraud networks freezes 3.8 million in assets
กระทรวงยุติธรรมสหรัฐฯ (DoJ) ประกาศผลปฏิบัติการ Disruption Week ภายใต้ Scam Center Strike Force ร่วมกับเอกชนและตำรวจหลายประเทศ ทลายเครือข่ายฉ้อโกงคริปโตในเอเชียตะวันออกเฉียงใต้ ปิดบัญชีกว่า 1.4 ล้านบัญชีบน Facebook/Instagram, 20,000 บัญชี Microsoft และอายัดคริปโตกว่า 3.8 ล้านดอลลาร์ ตำรวจไทย (Royal Thai Police) ร่วมปฏิบัติการและจับผู้ต้องสงสัย 7 คนในไทย ความเสียหายจากสแกมคริปโตในสหรัฐฯ พุ่งเป็น 7.2 พันล้านดอลลาร์ในปี 2568 เพิ่ม 24%

HTTP/2 Bomb — เทคนิค DoS ใหม่ ล่มเว็บเซิร์ฟเวอร์ในไม่ถึงนาที จากเครื่องเดียว กระทบ NGINX, Apache, IIS

New HTTP/2 Bomb DoS attack crashes web servers in under a minute
นักวิจัยจากบริษัท Calif (ค้นพบโดย Codex software agent ของ OpenAI) เปิดเผยเทคนิค DoS ใหม่ชื่อ HTTP/2 Bomb ที่ล่มเว็บเซิร์ฟเวอร์ได้จากเครื่องเดียวในไม่กี่วินาที กระทบค่าตั้งเริ่มต้น HTTP/2 ของ NGINX, Apache, Microsoft IIS, Envoy และ Cloudflare Pingora เทคนิคผสาน HPACK compression amplification กับ Slowloris-style ผ่าน flow-control ทำให้ 1 byte ขยายเป็นหลายพัน byte เครื่องบ้าน 100Mbps ดูด RAM 32GB ใน 10–20 วินาที แก้แล้วใน nginx 1.29.8 และ Apache (CVE-2026-49975)

The Gentlemen — กลุ่มแรนซัมแวร์ดาวรุ่งปี 2026 ใช้ช่องโหว่ Fortinet, AI และ C2 ตัวเอง G-BOT รั้งอันดับ 2 รองจาก Qilin

The Gentlemen ransomware group uses Fortinet exploits AI and custom C2 frameworks
บริษัท Vectra AI วิเคราะห์ข้อความ 3,366 รายการที่รั่วจากเซิร์ฟเวอร์ Rocket.Chat ของกลุ่มแรนซัมแวร์ The Gentlemen ที่พูดภาษารัสเซีย ซึ่งพุ่งขึ้นเป็นกลุ่มที่เคลื่อนไหวมากอันดับ 2 รองจาก Qilin ในปี 2569 ใช้ช่องโหว่ FortiOS CVE-2024-55591 เป็นทางเข้าหลัก brute-force VPN Fortinet ราว 1,000 ตัว ใช้ C2 ของตัวเองชื่อ G-BOT แทน Cobalt Strike โจมตี hypervisor โดยตรง และใช้ GPT/Claude ช่วยเจรจาค่าไถ่ พบความเชื่อมโยงกับ Black Basta ผ่าน negotiator ‘Tinker’ และ Matrix server เดียวกัน

แฮ็กเกอร์ใช้โดเมน Google DoubleClick บังการโจมตี ส่งมัลแวร์ DesckVB RAT ผ่าน Malspam ปรับหน้าเพจอัตโนมัติ

Google DoubleClick abused in new malspam campaign to deliver DesckVB RAT
บริษัท Huntress เปิดเผยแคมเปญ malspam ใหม่ที่ใช้โดเมน Google DoubleClick บังการตรวจจับ เพื่อส่งมัลแวร์ DesckVB RAT ก่อนเหยื่อจะถึงโครงสร้างของผู้โจมตี ลิงก์จะวิ่งผ่าน DoubleClick ที่เป็นโดเมนของ Google ซึ่งเครื่องมือความปลอดภัยมักไม่สงสัย จากนั้นเข้าสู่ malspam kit ที่ปรับหน้าเพจอัตโนมัติตามอีเมลเหยื่อ ดึงโลโก้บริษัทและที่ตั้งมาทำให้น่าเชื่อถือ โดยไม่ต้องสร้างเหยื่อล่อทีละราย ปลายทางคือ DesckVB RAT มัลแวร์ .NET ที่ใช้ process hollowing ฉีดเข้า process ที่ Microsoft เซ็น พร้อมปิด AMSI/ETW

JS.MonoGlyphRAT — แฮ็กเกอร์ใช้ใบสั่งซื้อปลอมส่งมัลแวร์ JavaScript ที่ AV ตรวจไม่เจอ เจาะองค์กรสหรัฐฯ

Hackers use fake purchase orders to deploy JS.MonoGlyphRAT targeting US enterprises
บริษัท ANY.RUN เปิดเผยมัลแวร์ใหม่ JS.MonoGlyphRAT ที่ปลอมเป็นเอกสารธุรกิจอย่างใบสั่งซื้อหรือใบเสนอราคา ส่งเป็นไฟล์ JavaScript แนบอีเมลฟิชชิง เมื่อพนักงานเปิด ผู้โจมตีได้เข้าถึงเครือข่ายแบบถาวร จุดเด่นคือใช้ obfuscation สร้างชื่อตัวแปรจากอักขระซ้ำสลับพิมพ์เล็กใหญ่ ทำให้อ่านโค้ดยากมาก และยังขึ้นเป็น Unknown malware บน VirusTotal/ThreatFox ทำให้ AV แบบ signature ตรวจไม่เจอ มุ่งเป้าองค์กรสหรัฐฯ ในภาคเทคโนโลยี MSSP โทรคมนาคม การศึกษา พบในเยอรมนี สวีเดน ออสเตรเลียด้วย