ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

แฮ็กเกอร์ใช้เครื่องมือ AI อัตโนมัติโจมตี Active Directory และทดสอบหลบ EDR — ใช้ Claude Opus คุม orchestration

Hackers using AI tools to automate Active Directory attacks and EDR evasion
บริษัท Sophos เปิดเผยว่าผู้โจมตีใช้เครื่องมือที่ AI ช่วยสร้าง อัตโนมัติการค้นหา Active Directory และทดสอบเทคนิคหลบ EDR สะท้อนการเติบโตของเฟรมเวิร์ก post-exploitation ที่ขับเคลื่อนด้วย AI ชุดเครื่องมือมีทั้ง Cobalt Strike profile ปลอมทราฟฟิกเว็บ, C2 ผ่าน Telegram bot, สคริปต์ Python ฉีด shellcode และ Cloudflare Worker บัง backend สคริปต์ส่วนใหญ่เขียนเป็นภาษารัสเซีย ทดสอบกับ Sophos, CrowdStrike, Microsoft Defender ผ่าน Ludus lab โดยมี AI agent หลักที่ใช้ Claude Opus จัดการ orchestration

One-Click GitHub.dev — แค่คลิกลิงก์เดียว แฮ็กเกอร์ขโมย GitHub OAuth Token เข้าถึง repo ส่วนตัวทั้งหมด

One-click GitHub dev attack lets attackers steal full GitHub OAuth tokens
นักวิจัยเปิดเผยการโจมตีแบบ one-click ผ่าน VS Code บน GitHub.dev ที่ขโมย GitHub OAuth token ของผู้ใช้ได้เพียงคลิกลิงก์เดียว token นี้ไม่ได้จำกัดสิทธิ์เฉพาะ repo เดียว แต่เข้าถึงทุก repo ที่เหยื่อมีสิทธิ์ รวมถึง repo ส่วนตัว ผู้โจมตีใช้ extension VS Code อันตรายผ่านกลไก message-passing ระหว่างหน้าต่างหลักกับ webview จำลองการกดปุ่มเปิด Command Palette ติดตั้ง extension ที่ข้าม publisher trust GitHub ได้รับแจ้งวันที่ 2 มิ.ย. 2569 Microsoft กำลังแก้ไข ไม่กระทบ VS Code Desktop

ทรัมป์ลงนามคำสั่งฝ่ายบริหาร เปิดทางรัฐตรวจสอบโมเดล AI ระดับสูงด้านความมั่นคง — สมัครใจ ใช้เวลา 30 วันก่อนเปิดตัว

Trump signs executive order to vet top AI models for national security risks
ประธานาธิบดีโดนัลด์ ทรัมป์ ลงนามคำสั่งฝ่ายบริหารกำกับดูแล AI โดยตั้งกรอบให้รัฐบาลกลางสหรัฐฯ ตรวจสอบความเสี่ยงด้านความมั่นคงของระบบ AI ระดับสูงสุดได้นานถึง 30 วันก่อนเปิดตัวสู่สาธารณะ การเข้าร่วมเป็นแบบสมัครใจสำหรับ frontier labs อย่าง Anthropic, OpenAI และ Google ทำเนียบขาวย้ำว่าไม่ได้กำกับทุกโมเดล แต่สร้างกระบวนการให้แบ่งปันโมเดลไซเบอร์ล้ำสมัยเพื่อปกป้องโครงสร้างพื้นฐานสำคัญ นักวิเคราะห์กังวลการให้อำนาจดุลพินิจแก่ผู้อำนวยการ NSA

CISA เตือนแฮ็กเกอร์โจมตีจริงผ่านช่องโหว่ Android และ Linux Kernel — เพิ่ม 2 CVE เข้า KEV เร่งแพตช์ใน 5 มิ.ย.

CISA warns of active attacks exploiting Android and Linux kernel vulnerabilities
หน่วยงาน CISA ของสหรัฐฯ เตือนว่าแฮ็กเกอร์กำลังโจมตีจริงผ่านช่องโหว่ใน Linux kernel และ Android โดยเพิ่ม 2 รายการเข้า KEV catalog ตัวแรก CVE-2025-48595 เป็น integer overflow ใน Android Framework (Android 14–16) ยกระดับสิทธิ์ได้โดยไม่ต้องมีปฏิสัมพันธ์ผู้ใช้ ตัวที่สอง CVE-2022-0492 เป็นช่องโหว่ใน cgroups v1 ของ Linux kernel ที่เปิดทางหนีออกจาก container ไปได้สิทธิ์ root บนโฮสต์ CISA สั่งหน่วยงานรัฐบาลกลางแพตช์ภายใน 5 มิถุนายน 2569

CVE-2026-8206 — ช่องโหว่ปลั๊กอิน WordPress Kirki เปิดทางยึดบัญชีแอดมิน กระทบเว็บกว่า 500,000 แห่ง CVSS 9.8

WordPress Kirki plugin vulnerability exposes 500000 websites to privilege escalation attacks
ช่องโหว่ระดับวิกฤตในปลั๊กอิน Kirki ของ WordPress (CVE-2026-8206 CVSS 9.8) เปิดทางให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนยึดบัญชีแอดมินได้ กระทบเว็บกว่า 500,000 แห่ง และยังเสี่ยงอยู่ราว 150,000 แห่ง ช่องโหว่อยู่ในฟังก์ชัน handle_forgot_password() ที่รับทั้ง username และ email โดยไม่ตรวจความสัมพันธ์ ทำให้ผู้โจมตีส่งคำขอรีเซ็ตรหัสด้วย username ของแอดมินแต่ใช้อีเมลของตัวเอง รับ reset token แล้วตั้งรหัสใหม่ยึดบัญชี กระทบเวอร์ชัน 6.0.0–6.0.6 แก้แล้วใน 6.0.7

TA4922 กลุ่มเชื่อมโยงจีนขยายเป้าโจมตี UK และยุโรป ด้วยมัลแวร์ใหม่ SilentRunLoader — ใช้เหยื่อล่อธีมภาษี/เงินเดือน

China-linked TA4922 hackers target UK Europe with new SilentRunLoader malware
บริษัท Proofpoint เผยกลุ่มอาชญากรไซเบอร์ที่คาดว่าเชื่อมโยงจีน TA4922 ซึ่งเคยมุ่งเป้าเอเชียตะวันออก กำลังขยายโจมตีองค์กรใน UK, เยอรมนี, อิตาลี และแอฟริกาใต้ ด้วยฟิชชิงธีมภาษี เงินเดือน และสวัสดิการที่เลียนแบบหน่วยงานรัฐ คลังมัลแวร์รวม ValleyRAT (Winos4.0), Atlas RAT, RomulusLoader และตัวใหม่ SilentRunLoader ซึ่งเป็น stealer/loader บน Python ที่คาดว่าพัฒนาด้วยความช่วยเหลือของ LLM มุ่งขโมย credential, cookie และข้อมูลจาก Google Chrome พร้อมใช้ DLL sideloading และเครื่องมือ remote อย่าง AnyDesk

แฮ็กเกอร์เจาะตลาดหลักทรัพย์ระดับโลก ฝังตัวในเมลผู้บริหารนาน 150 วัน — ขโมยข้อมูลต่อเนื่องหลายเดือน

Hackers target global stock exchange in espionage operation accessing executive email
ทีม threat hunting ของ Broadcom (Symantec และ Carbon Black) เปิดเผยปฏิบัติการจารกรรมที่แฮ็กเกอร์เข้าถึงอีเมล Outlook ของผู้บริหารระดับสูงในตลาดหลักทรัพย์ระดับโลก โดยเริ่มตั้งแต่ตุลาคม 2568 และคงการเข้าถึงถึงมีนาคม 2569 รวม dwell time ราว 150 วัน ผู้โจมตีใช้มัลแวร์ปลอมเป็นแอป Adobe/OneDrive ตั้ง C2 เดือนพฤศจิกายน แล้วทยอยขโมยเมลทีละชุดเล็กผ่าน Dropbox และ OneDrive เพื่อเลี่ยงการตรวจจับ เป้าหมายน่าจะเป็นการจารกรรมข้อมูลที่ไม่เปิดเผยต่อสาธารณะ

Gamaredon ใช้ช่องโหว่ WinRAR ปล่อย GammaWorm และ GammaSteel โจมตียูเครน — ซ่อน C2 ใน Telegram

Gamaredon exploits WinRAR to deliver GammaWorm and GammaSteel against Ukraine
บริษัท Sekoia เปิดเผยว่ากลุ่มแฮ็กเกอร์รัสเซีย Gamaredon ยังใช้ช่องโหว่ WinRAR (CVE-2025-8088) แบบ path traversal ปล่อย payload GammaPhish ที่ดึง VBScript downloader GammaLoad ต่อด้วยเวิร์ม GammaWorm และ infostealer GammaSteel พบในแคมเปญเดือนมกราคม 2569 GammaWorm ฝังตัวผ่าน scheduled task ซ่อนโฟลเดอร์จริงแล้วแทนด้วยไฟล์ LNK อันตราย และ resolve C2 ผ่านช่อง Telegram สาธารณะเพื่อกลมกลืนทราฟฟิก ส่วน GammaSteel ขโมยไฟล์ส่งไป AWS S3 มุ่งเป้าหน่วยงานรัฐและทหารยูเครน

แฮ็กเกอร์ซ่อนทราฟฟิกอันตรายในคลาวด์ที่เชื่อถือได้ — AWS, Google Cloud, Cloudflare, Microsoft, GitHub กลายเป็นเกราะกำบัง C2

Attackers abuse AWS Google Cloud Cloudflare and Microsoft services to hide malicious traffic
การสืบสวนของ ANY.RUN เผยว่าอาชญากรไซเบอร์ใช้โครงสร้างคลาวด์ที่เชื่อถือได้อย่าง AWS, Google Cloud, Azure, Cloudflare และ GitHub มากขึ้นเพื่อพรางทราฟฟิกอันตราย หลบการตรวจจับ และคง C2 ให้อยู่รอดนาน การค้นด้วย JA3S fingerprint ของ Cobalt Strike พบเหตุการณ์กว่า 1,000 รายการ ส่วนใหญ่วิ่งผ่านพอร์ต 443 ฝัง C2 บนแพลตฟอร์มชื่อดัง ทำให้การบล็อกตาม reputation ใช้ไม่ได้ผล พร้อมพบแคมเปญฟิชชิงและ BEC ที่โฮสต์เอกสารปลอมบน Amazon S3 และโดเมน .top อันตรายจำนวนมาก

รัสเซียอ้างพบสปายแวร์ต่างชาติฝังในมือถือเจ้าหน้าที่ระดับสูง — FSB เผยปฏิบัติการจารกรรมผ่านโครงสร้าง IT ระดับโลก

Russia says foreign spyware found on high-ranking officials mobile phones
หน่วยงานความมั่นคงกลางรัสเซีย (FSB) อ้างว่าได้ขัดขวางปฏิบัติการจารกรรมไซเบอร์ขนาดใหญ่ที่ฝังสปายแวร์ขั้นสูงในมือถือของเจ้าหน้าที่รัฐระดับสูง โดยกล่าวหาว่าหน่วยข่าวกรองต่างชาติเป็นผู้อยู่เบื้องหลัง มัลแวร์สามารถดึงข้อมูลสำคัญ ดักการสื่อสาร และแอบบันทึกเสียง/วิดีโอ FSB ระบุผู้โจมตีอาศัยโครงสร้างพื้นฐานของผู้ให้บริการ IT และโทรคมนาคมระดับโลก แม้ไม่เปิดเผย IoC หรือชื่อมัลแวร์ แต่ความสามารถสอดคล้องกับสปายแวร์ระดับรัฐอย่าง Pegasus หรือ Predator ที่มักใช้ zero-click exploit