ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

Operation Dragon Weave — กลุ่มแฮ็กเกอร์ที่เชื่อมโยงจีนโจมตีเช็กและไต้หวันด้วย AdaptixC2 ซ่อนใน Azure

China-aligned cyber espionage Operation Dragon Weave targeting Czech Republic and Taiwan
นักวิจัยจาก Seqrite Labs เปิดเผยแคมเปญจารกรรมไซเบอร์ชื่อ Operation Dragon Weave ที่มุ่งเป้าหน่วยงานรัฐ วิชาการ และการเงินในสาธารณรัฐเช็กและไต้หวัน โดยใช้อีเมลฟิชชิงแนบไฟล์ ZIP เพื่อติดตั้ง Rust loader แล้วนำไปสู่ payload ชื่อ AZUREVEIL ที่ซ่อนช่องทาง C2 ไว้ใน Microsoft Azure Blob Storage เพื่อหลีกเลี่ยงการตรวจจับ ESET ยังรายงานว่ากลุ่ม China-aligned threat actors ยังคง active สูงทั่วโลกตั้งแต่ ต.ค. 2568 ถึง มี.ค. 2569 พร้อมพบกลุ่มใหม่อีกหลายกลุ่ม เช่น SteppeDriver และ NegativeGlimmer

MuddyWater ใช้ DLL Side-Loading จารกรรม 9 องค์กรใน 9 ประเทศ — โจมตีผู้ผลิตในอาเซียนด้วย

muddywater seedworm dll side-loading espionage campaign targeting nine countries
Symantec และ Carbon Black เปิดเผยว่ากลุ่มแฮ็กเกอร์อิหร่าน MuddyWater (Seedworm) โจมตีอย่างน้อย 9 องค์กรใน 9 ประเทศ 4 ทวีปช่วงไตรมาสแรกปี 2026 รวมถึงผู้ผลิตอุตสาหกรรมในเอเชียตะวันออกเฉียงใต้และสนามบินในตะวันออกกลาง ใช้เทคนิค DLL side-loading ผ่านไฟล์ที่เซ็นรับรองถูกต้องของ Fortemedia และ SentinelOne เพื่อรันมัลแวร์และฝัง ChromElevator ขโมยรหัสผ่าน คุกกี้ และข้อมูลบัตรจากเบราว์เซอร์ เลี่ยงการตรวจจับ

ตำรวจเนเธอร์แลนด์ทลาย Botnet เชื่อมโยงอุปกรณ์ติดมัลแวร์ 17 ล้านเครื่อง — ยึดเซิร์ฟเวอร์บริการ Residential Proxy 'Asocks'

Dutch authorities dismantle botnet linked to 17 million infected devices Asocks residential proxy
ตำรวจเนเธอร์แลนด์และ NCSC ประกาศทลาย botnet ที่เชื่อมโยงอุปกรณ์ติดมัลแวร์อย่างน้อย 17 ล้านเครื่อง ทั้งคอมพิวเตอร์ แท็บเล็ต สมาร์ตโฟน และอุปกรณ์ IoT โดยใช้เซิร์ฟเวอร์กว่า 200 เครื่องในเนเธอร์แลนด์เป็น backend ตำรวจยึดเซิร์ฟเวอร์ส่วนหนึ่งจากผู้ให้บริการโฮสติง สำนักข่าวท้องถิ่นระบุว่าบริการที่ถูกปิดคือ Asocks ผู้ขาย residential proxy ที่เคยเชื่อมโยงกับแคมเปญ PROXYLIB ที่เปลี่ยนอุปกรณ์ Android เป็น proxy โดยเจ้าของไม่รู้ตัว

Microsoft ปล่อย KB5089573 แก้ปัญหาติดตั้งอัปเดต Patch Tuesday พ.ค. ล้มเหลวบน Windows 11 — บั๊ก ESP เต็มทำเครื่องค้าง 35%

Microsoft KB5089573 Windows 11 cumulative update fixing Patch Tuesday install failure
Microsoft ปล่อยอัปเดตสะสม KB5089573 สำหรับ Windows 11 เวอร์ชัน 25H2 และ 24H2 เพื่อแก้ปัญหาการติดตั้งล้มเหลวที่เกิดหลังอัปเดต Patch Tuesday พฤษภาคม 2569 (KB5089549) ปัญหาเกิด error 0x800f0922 บนเครื่องที่มีพื้นที่ว่างบน EFI System Partition เหลือน้อย (10 MB หรือต่ำกว่า) ทำให้เครื่องค้างช่วง reboot ที่ราว 35-36% KB5089573 แก้ถาวรโดยไม่ต้องใช้ workaround เดิม พร้อมอัปเดตคอมโพเนนต์ AI และ servicing stack แนะนำให้ติดตั้งในรอบบำรุงรักษาถัดไป

เว็บปลอม Anthropic แพร่ Infostealer แบบ Fileless ใส่ผู้ใช้ Claude Code — ใช้ ClickFix และ MP3/HTA Polyglot หลบ EDR

Fake Anthropic sites delivering fileless infostealer to Claude Code users via ClickFix
Cyderes เปิดโปงแคมเปญขโมย credential ที่ใช้เว็บปลอม Anthropic หลอกผู้ใช้ Claude Code มือใหม่ เริ่มจาก SEO poisoning พาเหยื่อไปหน้าปลอม แล้วใช้กลลวง ClickFix ให้รันคำสั่ง mshta.exe ดึงไฟล์ MP3/HTA polyglot ขนาด 6.7 MB การโจมตีรันในหน่วยความจำล้วน ไม่เขียนไฟล์ลงดิสก์ ใช้ PowerShell 32-bit และ AMSI bypass หลบ EDR สุดท้ายฝัง .NET infostealer ขโมย credential จากเบราว์เซอร์ส่งไปเซิร์ฟเวอร์รัสเซีย Anthropic เองไม่ได้ถูกเจาะ

GitLab ออกแพตช์ฉุกเฉินแก้หลายช่องโหว่ Duo AI, DoS และ Authorization — บั๊กร้ายสุดเปิดให้รัน workflow ในชื่อผู้ใช้คนอื่น

GitLab security patch Duo AI workflow access control vulnerability
GitLab ออกแพตช์ความปลอดภัยฉุกเฉินทั้ง Community และ Enterprise Edition แก้หลายช่องโหว่ใน Duo AI, DoS และ authorization โดยปล่อยเวอร์ชัน 19.0.1, 18.11.4 และ 18.10.7 เมื่อ 27 พฤษภาคม 2569 ช่องโหว่ร้ายแรงสุดคือ CVE-2026-4868 (CVSS 8.2) ใน Duo AI workflow runner ที่เปิดให้ผู้ใช้ที่ล็อกอินสั่ง workflow ทำงานในชื่อผู้ใช้คนอื่น นำสู่การเคลื่อนตัวด้านข้างและใช้สิทธิ์ในทางที่ผิด GitLab เร่งให้แอดมินอัปเกรดทันที

สายลับรัสเซียเร่งล่าเทคโนโลยีตะวันตกหนักขึ้นเมื่อมาตรการคว่ำบาตรกัด — ตั้งบริษัทบังหน้า ใช้คนกลางและแฮ็กเกอร์

Russian intelligence espionage targeting Western technology and critical infrastructure
เจ้าหน้าที่ข่าวกรองยุโรประดับสูง 3 คนเปิดเผยกับ AP ว่าหน่วยข่าวกรองรัสเซียเร่งขโมยเทคโนโลยีและความลับด้านกลาโหมของตะวันตกหนักขึ้น หลังมาตรการคว่ำบาตรบีบเศรษฐกิจสงคราม รัสเซียตั้งบริษัทบังหน้า ใช้คนกลาง และส่งสายลับไซเบอร์กับแฮ็กเกอร์เก็บข้อมูลที่อาจใช้โจมตีโครงสร้างพื้นฐานสำคัญ เป้าหมายรวมถึงเทคโนโลยีอวกาศ ควอนตัม กลาโหม และ machine tool โดยรัสเซียเริ่มไม่กลัวการถูกระบุตัวตนและกล้าเสี่ยงมากขึ้น

Flowise ช่องโหว่ RCE วิกฤต CVE-2026-40933 — PoC ถูกปล่อย แค่ import chatflow ก็ยึดเซิร์ฟเวอร์ AI ได้

Flowise RCE vulnerability CVE-2026-40933 malicious chatflow import
Obsidian Security ปล่อย PoC โจมตีช่องโหว่ RCE ใน Flowise แพลตฟอร์มสร้าง LLM flow ยอดนิยม รหัส CVE-2026-40933 คะแนน CVSS 9.9 ต้นตอคือ command injection ใน MCP adapter ที่ทำให้ผู้ใช้เพิ่ม stdio MCP server พร้อมคำสั่งอะไรก็ได้ ผู้โจมตีหลอกเหยื่อให้ import chatflow ที่ฝังคำสั่งอันตราย แค่เปิดบน canvas ก็รันโค้ดบนเครื่องทันที กระทบ Flowise ก่อนเวอร์ชัน 3.1.0 ส่วน Flowise Cloud ไม่ได้รับผลกระทบ

PAN-OS GlobalProtect ช่องโหว่ Authentication Bypass (CVE-2026-0257) ถูกโจมตีจริง — แฮ็กเกอร์ตั้ง VPN เข้าเครือข่ายภายในได้

Palo Alto Networks PAN-OS GlobalProtect authentication bypass CVE-2026-0257
Palo Alto Networks เตือนว่าช่องโหว่ CVE-2026-0257 (CVSS 7.8) ใน PAN-OS และ Prisma Access ถูกโจมตีจริงแล้ว ช่องโหว่นี้เป็น authentication bypass ใน GlobalProtect portal และ gateway ที่เปิดให้แฮ็กเกอร์ตั้ง VPN เข้าเครือข่ายภายในโดยไม่ต้องยืนยันตัวตน Rapid7 พบการโจมตีสำเร็จตั้งแต่ 17 พฤษภาคม 2569 ตามด้วยระลอกสองวันที่ 21 จากผู้โจมตีรายเดียวกัน Palo Alto แนะนำให้แพตช์ด่วนหรือปิดฟีเจอร์ authentication override ชั่วคราว

Post-Quantum Cryptography ไม่ใช่อนาคต แต่คือปัจจุบัน — สัญญาณ 5 อย่างในสัปดาห์เดียวบอกว่าถึงเวลาต้องลงมือ

Post-quantum cryptography migration and cryptography bill of materials
Post-Quantum Cryptography (PQC) เลิกเป็นเรื่องอนาคตแล้ว ในสัปดาห์เดียวมีสัญญาณใหญ่ถึง 5 อย่าง ทั้ง Western Digital, รัฐบาลสหรัฐฯ ทุ่มราว 2 พันล้านดอลลาร์ และ Apple รับรอง ML-KEM/ML-DSA ภัย Harvest Now Decrypt Later และ Trust Now Forge Later ทำงานอยู่แล้ววันนี้โดยไม่ต้องรอควอนตัมคอมพิวเตอร์ องค์กรควรเริ่มจากการทำ Cryptography Bill of Materials เพื่อมองเห็นสินทรัพย์เข้ารหัสทั้งหมดก่อนวางแผนย้ายระบบ