ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

Google Chrome เปิด Device Bound Session Credentials ให้ผู้ใช้ทุกคน — ผูก Cookie กับฮาร์ดแวร์สกัด Infostealer

Google Chrome Device Bound Session Credentials hardware-bound cookie protection
Google ปล่อยฟีเจอร์ Device Bound Session Credentials (DBSC) ให้ผู้ใช้ Chrome ทุกคนแล้ว เริ่มจาก Chrome 146 บน Windows ฟีเจอร์นี้ผูก session cookie เข้ากับชิปความปลอดภัยของเครื่อง เช่น TPM หรือ Secure Enclave ทำให้แฮ็กเกอร์ที่ขโมย cookie ไปใช้บนเครื่องอื่นไม่ได้ ช่วยสกัดมัลแวร์ infostealer ที่ใช้ session cookie ข้าม MFA ยึดบัญชี ส่วน macOS จะได้รับฟีเจอร์ในเวอร์ชันถัดไป

แฮ็กเกอร์ใช้ลิงก์แชร์ ChatGPT โฮสต์หน้า outage ปลอม หลอกดาวน์โหลดมัลแวร์ผ่านโดเมน OpenAI จริง

ChatGPT share links abused to host fake outage pages delivering malware
Push Security เปิดโปงแคมเปญ LLMShare ที่แฮ็กเกอร์ใช้ฟีเจอร์แชร์เนื้อหาของ ChatGPT สร้างหน้า outage ปลอมบนโดเมน chatgpt.com จริง อ้างว่าเว็บล่มให้ดาวน์โหลดแอปเดสก์ท็อปแทน ใช้ Google ads ดึงผู้ค้นหา ChatGPT มายังลิงก์แชร์ที่ render หน้าปลอมด้วย HTML/CSS เมื่อคลิกดาวน์โหลดจะถูกพาไป openew[.]app ปลอมเป็นพอร์ทัลของ OpenAI แจกมัลแวร์ทั้ง macOS และ Windows พร้อมใช้ cloaking หลบเครื่องมือสแกน และยังพบการใช้ Claude Artifacts ทำ ClickFix ด้วย

The Gentlemen: แรนซัมแวร์ใช้ SYSTEM Scheduled Task ยกสิทธิ์เข้ารหัสไดรฟ์ — แพร่ตัวเองทั่วเครือข่ายแบบ worm

The Gentlemen ransomware SYSTEM scheduled task self-propagating worm
นักวิจัยวิเคราะห์แรนซัมแวร์สายพันธุ์ใหม่ The Gentlemen ที่เขียนด้วย Go และ obfuscate ด้วย Garble ทำงานแบบ RaaS ขโมยข้อมูลคู่กับเข้ารหัสเพื่อกรรโชกสองชั้น จุดเด่นคือใช้ SYSTEM scheduled task ยกสิทธิ์สูงสุดก่อนเข้ารหัสไดรฟ์ และแพร่ตัวเองทั่วเครือข่ายแบบ worm ผ่าน PsExec, WMI, scheduled task, Windows service และ PowerShell remoting พร้อมปิด AV ลบ backup ล้าง log และทำลายร่องรอย forensic ก่อนเข้ารหัส

JINX-0164 ใช้วิศวกรรมสังคมบน LinkedIn ปล่อยมัลแวร์ macOS เจาะองค์กรคริปโต — ลาม supply chain ผ่าน npm

JINX-0164 LinkedIn social engineering macOS malware crypto organizations
Wiz เปิดโปงกลุ่ม JINX-0164 ที่มีแรงจูงใจทางการเงิน ใช้โปรไฟล์ LinkedIn ปลอมหลอกนักพัฒนาคริปโตด้วยข้อเสนองาน แล้วส่งลิงก์ประชุมปลอมเพื่อปล่อยมัลแวร์ macOS สองตระกูลคือ AUDIOFIX และ MINIRAT ขโมย credential เบราว์เซอร์ กระเป๋าคริปโต SSH key และ token คลาวด์ จากนั้นลามผ่าน supply chain ด้วยการฝังโค้ดในแพ็กเกจ npm @velora-dex/sdk และ push โค้ดร้ายเข้า repo ภายใน เปลี่ยนโครงสร้างพัฒนาขององค์กรให้กลายเป็นช่องแพร่เชื้อ

แพ็กเกจ NuGet ปลอมเป็น Sicoob SDK ขโมยรหัสผ่านธนาคาร — ใช้ Sentry ลอบส่งข้อมูลแทน C2

Malicious NuGet package Sicoob SDK exfiltrates banking credentials via Sentry
นักวิจัย Socket พบแพ็กเกจ NuGet ประสงค์ร้ายชื่อ Sicoob.Sdk ปลอมเป็น SDK ทางการของธนาคาร Sicoob ในบราซิล ลอบขโมยใบรับรอง PFX พร้อมรหัสผ่านและ client ID ของนักพัฒนาแล้วส่งออกไปยัง Sentry ซึ่งเป็นแพลตฟอร์มมอนิเตอร์ที่น่าเชื่อถือ เพื่อให้กลมกลืนกับ telemetry ปกติและหลบการตรวจจับ แพ็กเกจปล่อยหลายเวอร์ชัน 2.0.0–2.0.4 มียอดดาวน์โหลด 484 ครั้งก่อนถูกถอด เป็นการโจมตี supply chain ที่ repo GitHub ดูสะอาดแต่ binary ถูกฝังโค้ดร้าย

Kimsuky ปล่อยมัลแวร์ HTTPSpy ขยายคลังอาวุธด้วย HelloDoor และ VS Code Tunnels — ปลอมหน้าติดตั้งซอฟต์แวร์ความปลอดภัยและ Webex

Kimsuky North Korea HTTPSpy malware fake security software Webex
Kimsuky กลุ่ม APT เกาหลีเหนือ ถูกระบุว่าโจมตีหน่วยงานทหารและองค์กรเกาหลีใต้ช่วงมีนาคม–เมษายน 2569 ด้วยการปลอมหน้าติดตั้งซอฟต์แวร์ความปลอดภัยและหน้า Webex ปลอม เพื่อหลอกติดตั้งมัลแวร์ HTTPSpy ที่เป็น RAT เต็มรูปแบบ พร้อมเทคนิคใหม่ JSONPing ยืนยันการติดมัลแวร์แบบเรียลไทม์ Kaspersky ยังพบการใช้ VS Code tunnel, Cloudflare Quick Tunnels และ LLM ช่วยพัฒนามัลแวร์ใหม่อย่าง HelloDoor และ HttpMalice

VS Code Remote-SSH ช่องโหว่ RCE — ผู้โจมตีเด้งจากเครื่องนักพัฒนาเข้าสู่เซิร์ฟเวอร์คลาวด์ได้ MFA ไม่ช่วย

VS Code Remote-SSH RCE pivot from developer machine to cloud servers
นักวิจัยเปิดเผยช่องโหว่ใน extension Remote-SSH ของ Visual Studio Code ที่เปิดทางให้ผู้โจมตีซึ่งยึดเครื่องนักพัฒนาได้แล้ว เด้งต่อเข้าสู่สภาพแวดล้อมคลาวด์และ production VS Code สร้างสคริปต์ bootstrap ไว้ในไดเรกทอรีชั่วคราวที่ผู้ใช้เขียนได้ โดยไม่มีการตรวจสอบความถูกต้องหรือลายเซ็น เกิดเป็น race condition แบบ TOCTOU ผู้โจมตีแทรกเพย์โหลดก่อนสคริปต์ถูกรันบนเซิร์ฟเวอร์ปลายทาง การโจมตีเกิดหลังล็อกอินสำเร็จจึงทำให้ MFA ไม่ช่วย กระทบ extension รวมกว่า 76 ล้านการติดตั้ง

แฮ็กเกอร์ใช้ฟีเจอร์ collaboration ของ Microsoft Teams ปลอมเป็นทีม IT Helpdesk หลอก vishing

Hackers exploit Microsoft Teams collaboration features to impersonate IT helpdesk
เกิดคลื่นการโจมตี vishing ที่แฮ็กเกอร์ใช้ฟีเจอร์ collaboration ข้ามองค์กรของ Microsoft Teams ปลอมเป็นเจ้าหน้าที่ IT helpdesk โทรหรือส่งข้อความหาพนักงาน หลอกให้รันคำสั่งหรือติดตั้งเครื่องมือ remote access อย่าง Quick Assist เพราะเกิดในแพลตฟอร์มที่ดูน่าเชื่อถือ ระบบป้องกันฟิชชิงทางอีเมลจึงตรวจไม่เจอ ทีมสืบสวนหันมาใช้ Microsoft 365 Unified Audit Log โดยเฉพาะ event CallParticipantDetail เพื่อปะติดปะต่อไทม์ไลน์การโจมตี

GreyVibe กลุ่มแฮ็กเกอร์เชื่อมโยงรัสเซีย ใช้ ChatGPT และ Gemini เสริมพลังโจมตีไซเบอร์ — เหยื่อหลักคือยูเครน

GreyVibe Russia-linked hackers using AI ChatGPT Gemini for cyberattacks
WithSecure เปิดโปงกลุ่มแฮ็กเกอร์ GreyVibe ที่คาดว่าเชื่อมโยงรัสเซีย ใช้ AI หลายตัวอย่าง ChatGPT, Gemini และ Ideogram สร้างเหยื่อล่อคุณภาพสูงและช่วยพัฒนามัลแวร์ พุ่งเป้าหน่วยงานทหาร รัฐบาล และธุรกิจที่เกี่ยวข้องกับยูเครน ปฏิบัติการนี้เริ่มตั้งแต่สิงหาคม 2568 ใช้หลายห่วงโซ่การโจมตีทั้งฟิชชิง ClickFix และ Android spyware FallSpy แต่ขาดความแนบเนียนแบบรัฐชาติเต็มตัว คาดมีอดีตอาชญากรไซเบอร์ร่วมทีม

Gogs ช่องโหว่ RCE ระดับวิกฤต CVSS 9.4 — ผู้ใช้ที่ล็อกอินทุกคนสั่งรันโค้ดบนเซิร์ฟเวอร์ได้ ยังไม่มีแพตช์

Gogs critical RCE vulnerability git rebase argument injection
Rapid7 เปิดเผยช่องโหว่ RCE ระดับวิกฤต CVSS 9.4 ใน Gogs ระบบ Git โอเพนซอร์สแบบ self-hosted ยอดนิยม ผู้ใช้ที่ล็อกอินคนใดก็ได้สามารถสั่งรันโค้ดบนเซิร์ฟเวอร์ผ่านการ inject แฟลก –exec เข้าไปในคำสั่ง git rebase ตอน merge ช่องโหว่นี้ยังไม่มีแพตช์แม้แจ้งผู้พัฒนาตั้งแต่มีนาคม 2569 มีเซิร์ฟเวอร์เปิดสู่อินเทอร์เน็ตอย่างน้อย 1,141 เครื่องที่เสี่ยง