ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ช่องโหว่ XRING ใน XQUIC ของ Alibaba เปิดทางล่มเซิร์ฟเวอร์ HTTP/3 จากระยะไกล ยังไม่มีแพตช์

XRING flaw in Alibaba XQUIC HTTP/3 QPACK remote crash
นักวิจัยจากบริษัท FoxIO เปิดเผยช่องโหว่ชื่อ XRING ในไลบรารี XQUIC ของ Alibaba ซึ่งเป็นไลบรารี QUIC และ HTTP/3 แบบโอเพนซอร์ส ผู้โจมตีระยะไกลส่งทราฟฟิก QPACK ปกติเพียงราว 260 ไบต์ก็ทำให้เซิร์ฟเวอร์ล่มได้ โดยไม่ต้องล็อกอินและไม่ต้องใช้แพ็กเก็ตผิดรูป ต้นตอคือการคำนวณขนาดบัฟเฟอร์ผิดจนเกิด integer underflow กระทบทุกเวอร์ชันถึง v1.9.4 รวมถึงเว็บเซิร์ฟเวอร์ Tengine ที่รองรับ Taobao และ Alipay ปัจจุบันยังไม่มีแพตช์และยังไม่มี CVE

มัลแวร์ RAT ตัวใหม่ MODBEACON ของกลุ่ม Silver Fox ใช้ gRPC streaming เข้ารหัสทราฟฟิก C2

Silver Fox MODBEACON Rust RAT gRPC streaming encrypted C2
บริษัท QiAnXin เปิดเผยว่ากลุ่มอาชญากรไซเบอร์ Silver Fox ที่เชื่อมโยงกับจีนอยู่เบื้องหลังมัลแวร์ RAT ตัวใหม่ที่เขียนด้วยภาษา Rust ชื่อ MODBEACON กระจายผ่านตัวติดตั้งปลอมด้วยเทคนิค SEO poisoning โดยมีผู้กระจายหลายราย ตัวมัลแวร์เป็น RAT แบบโมดูลที่รันในหน่วยความจำ ใช้ gRPC tunnel streaming สื่อสารกับ C2 และนำ transport layer จากเฟรมเวิร์ก proxy โอเพนซอร์ส Xray/V2Ray มาใช้เป็นช่องทางควบคุม พุ่งเป้าองค์กรเทคโนโลยี การศึกษา และรัฐวิสาหกิจในจีน

ช็อตคัต Windows อันตรายใช้ PowerShell และ Node.js เปิดทางรันโค้ดระยะไกล ซ่อน C2 บนบล็อกเชน TON

malicious Windows LNK shortcut PowerShell Node.js backdoor TON blockchain C2
นักวิจัยจากบริษัท LevelBlue เปิดโปงแคมเปญที่ใช้ไฟล์ช็อตคัต (LNK) อันตรายบน Windows เปลี่ยนการดาวน์โหลดธรรมดาให้กลายเป็นช่องทางรันโค้ดระยะไกล เริ่มจากอีเมลสแปมธีมจองที่พักหลอกให้เปิด ZIP ที่ซ่อน LNK ปลอมเป็นรูปภาพ เมื่อคลิกจะรัน PowerShell ที่ติดตั้ง Node.js ของแท้มาใช้เป็นสภาพแวดล้อมรันแบ็กดอร์แบบ fileless ผู้โจมตีดึงที่อยู่เซิร์ฟเวอร์ควบคุมผ่าน smart contract บนบล็อกเชน TON ด้วยเทคนิค EtherHiding เพื่อเลี่ยงการบล็อก นักวิจัยพบตัวอย่างใหม่ทุกวันและเชื่อมโยงกว่า 400 ตัวอย่างเข้ากับเครื่องเดียวกัน

แฮ็กเกอร์เชื่อมโยงจีนและอินเดียเจาะตำรวจปากีสถานกลุ่มเดียวกันนานกว่า 2 ปี ตำรวจบาลูจิสถานโดนหนักสุด

China and India linked hackers both targeted Balochistan Pakistani police
งานวิจัยใหม่จาก SentinelOne เผยว่ากลุ่มจารกรรมไซเบอร์ที่เชื่อมโยงกับทั้งจีนและอินเดียเจาะเครือข่ายตำรวจปากีสถานเงียบ ๆ นานกว่า 2 ปี ตั้งแต่กุมภาพันธ์ 2567 ถึงเมษายน 2569 โดยตำรวจบาลูจิสถานรับกระแสโจมตีหนักสุดจากทั้งสองฝ่าย ผู้โจมตีเข้าถึงเซิร์ฟเวอร์ฐานข้อมูลไบโอเมตริก แฟ้มคดี และประวัติบุคลากร นักวิจัยจัดกลุ่มการบุกรุกเป็น 4 คลัสเตอร์ตามมัลแวร์ PlugX, ShadowPad, Cobalt Strike และ Remcos และยังพบไฟล์อันตรายปลอมเป็นอัปเดตฝังบนระบบร้องเรียนสาธารณะของตำรวจ

บัญชี GitHub 'ผี' อายุหลายปีถูกปลุกมากวาดข้อมูลองค์กร — Datadog เตือนแคมเปญสำรวจ repo/สมาชิก บางเคสโคลน repo ส่วนตัวสำเร็จ

Dormant GitHub ghost accounts used to enumerate corporate organizations
บริษัท Datadog เตือนหลายแคมเปญที่ทำงานทับซ้อนกัน กำลังกวาดข้อมูลองค์กร repository และบัญชีผู้ใช้บน GitHub อย่างเป็นระบบผ่าน GitHub API โดยใช้บัญชี ‘ผี’ ที่สร้างทิ้งไว้ 2-5 ปีก่อนปลุกมาใช้ รวมกับ OAuth token และ PAT ที่หลุดของผู้ใช้จริงกว่า 50 บัญชี เนื่องจากพื้นผิว API ส่วนใหญ่เข้าถึงได้โดยไม่ต้องยืนยันตัวตน คำสั่งสำรวจจึงกลืนไปกับการใช้งานปกติ ส่วนใหญ่โจมตีข้อมูลสาธารณะ แต่บางเคสถึงขั้นโคลน repository ส่วนตัวได้สำเร็จ

Microsoft แกะมัลแวร์ทำลายล้าง 'GigaWiper' — รวมไวเปอร์ล้างดิสก์ แรนซัมแวร์ปลอม และสปายแวร์ในตัวเดียว โยงกลุ่มอิหร่าน

Microsoft dissects GigaWiper Windows backdoor linked to Iran-nexus group
บริษัท Microsoft แกะมัลแวร์ทำลายล้างบน Windows ชื่อ GigaWiper ที่รวมเครื่องมือทำลายเก่า 3 ตัวไว้เป็นแพลตฟอร์มเดียวให้ผู้โจมตีเลือกสั่งได้ ทั้งล้างดิสก์ทั้งลูก เขียนทับไดรฟ์ Windows และแรนซัมแวร์ปลอมที่ไม่เคยเก็บกุญแจ นอกจากนี้ยังแอบดูจอ อัดหน้าจอ และเปิด VNC ซ่อน โดยปลอมตัวเป็น OneDrive และส่งข้อมูลผ่าน RabbitMQ/Redis/MinIO ไฟล์ชุดเดียวกันถูก Binary Defense เรียกว่า BLUERABBIT และโยงกับกลุ่มอิหร่าน CyberAv3ngers ที่เชื่อมโยงกับ IRGC

แฮ็กเกอร์ใช้ AI เจาะระบบคลาวด์ AWS สำเร็จภายใน 72 ชั่วโมง — ไม่ใช้ช่องโหว่ใหม่ แต่เร็วและทำงานขนานกันจนป้องกันไม่ทัน

AI-assisted attacker compromises an AWS cloud environment within 72 hours
บริษัท Sygnia เปิดเผยเหตุบุกรุก AWS ขนาดใหญ่ที่แฮ็กเกอร์ใช้ AI ช่วยยกระดับจากการเข้าถึงครั้งแรกสู่การยึดทั้งสภาพแวดล้อมภายในราว 72 ชั่วโมง โดยไม่ได้ใช้ช่องโหว่ใหม่ แต่อาศัยความเร็ว ขนาด และการทำงานขนานกันที่มนุษย์ทำเองไม่ได้ หลักฐานพบว่ามีการใช้ access key 4 ตัวจาก 4 บัญชีในวินาทีเดียวกันจาก IP เดียว และรันคำสั่ง SQL หลายร้อยคำสั่งข้ามหลายฐานข้อมูล เป้าหมายคือการรีดไถเงิน ผู้เชี่ยวชาญเตือนว่าองค์กรต้องยกระดับการตอบสนองให้ทำงานขนานและอัตโนมัติเทียบเท่าความเร็วของผู้โจมตี

Roundcube ออกเวอร์ชัน 1.7 อุดช่องโหว่ Stored XSS แบบ Zero-Click 2 รายการ — แค่เปิดอ่านอีเมลก็ถูกขโมย session

Roundcube 1.7 patches two zero-click stored XSS vulnerabilities
Roundcube ปล่อยเวอร์ชัน 1.7 แก้ช่องโหว่ 6 รายการ รวมถึง Stored XSS ระดับวิกฤต 2 ตัวที่ทำงานแบบ zero-click ไม่ต้องให้เหยื่อคลิก CVE-2026-54432 เกิดจากการแสดงชนิดไฟล์ (MIME type) ของไฟล์แนบโดยไม่กรอง ทำให้สคริปต์รันทันทีที่หน้าเตือนโหลด ส่วน CVE-2026-54433 อยู่ในเอนจินแสดงข้อความแบบ plain-text แค่เปิดอ่านเมลก็ถูกฝังสคริปต์เงียบ ๆ ทั้งคู่เปิดทางขโมย session และเข้าถึงกล่องเมลโดยไม่ต้องมีปฏิสัมพันธ์ นักวิจัยแนะนำให้อัปเดตด่วนกว่ารอบแพตช์ปกติ

APT-C-20 (APT28) ซ่อนเชลล์โค้ดในภาพ PNG ปล่อยแบ็กดอร์ C# แบบไร้ไฟล์

apt28 apt malware backdoor fancy bear hackers hide shellcode
กลุ่มแฮ็กเกอร์ APT-C-20 หรือที่รู้จักในชื่อ APT28 (Fancy Bear) ซ่อนเชลล์โค้ดไว้ในไฟล์ภาพ PNG เพื่อปล่อยแบ็กดอร์ที่เขียนด้วยภาษา C# แบบไร้ไฟล์ (fileless) โดยเริ่มจากเอกสาร Word ที่ฝังมาโคร ปลอมเป็นไฟล์ด้านกลาโหมของรัฐบาลยุโรปตะวันออก อาศัยเทคนิค COM hijacking และ steganography ซ่อนโค้ด ทำให้แอนติไวรัสตรวจจับได้ยาก และสื่อสารกับผู้โจมตีผ่านบริการคลาวด์ Filen.io

Lurking Lizard ปลอมตัวติดตั้ง 7-Zip เปลี่ยนเครื่องเหยื่อเป็นพร็อกซีขายต่อแบนด์วิดท์

cybersecurity opera proxy rat lurking lizard uses fake turn victim devices into proxy nodes
บริษัท Infoblox เปิดโปงกลุ่มอาชญากรไซเบอร์ Lurking Lizard ที่แอบเปลี่ยนคอมพิวเตอร์ทั่วไปให้เป็นพร็อกซีเซิร์ฟเวอร์ขายต่อแบนด์วิดท์มานานหลายปี ผ่านตัวติดตั้ง 7-Zip ปลอมที่โฮสต์บนโดเมน 7zip[.]com นักวิจัยพบว่าปฏิบัติการนี้ย้อนไปถึงสิงหาคม 2565 เชื่อมโยงกว่า 230 โดเมน และล่าสุดแปลงร่างเป็นแอป WireVPN ปลอมที่มียอดดาวน์โหลดบน Android เกินหนึ่งล้านครั้ง