ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

BTMOB: บริการมัลแวร์ Android แบบ MaaS สร้างเพย์โหลดฟิชชิงตามสั่งโดยไม่ต้องเขียนโค้ด

BTMOB Android malware-as-a-service generates custom phishing payloads via builder interface
ESET เปิดเผย BTMOB โทรจัน Android ที่เปิดให้เช่าแบบ malware-as-a-service พร้อม builder สร้างเพย์โหลดตามลูกฟิชชิงได้โดยไม่ต้องเขียนโค้ด มัลแวร์ขโมยข้อมูล ดักธุรกรรมการเงิน จับภาพหน้าจอ และควบคุมเครื่องระยะไกล ขายในช่อง Telegram ราคา 700 ดอลลาร์ต่อเดือนหรือ 5,000 ดอลลาร์ตลอดชีพ แพร่ผ่านเว็บปลอมเลียนแบบบริการสตรีมมิงและเหมืองคริปโต และใช้ Accessibility Services ยกระดับสิทธิ์ ปัจจุบันเคลื่อนไหวมากในบราซิลและละตินอเมริกา

CVE-2026-39987: แฮ็กเกอร์ใช้ AI Agent เจาะ Marimo RCE ถึงฐานข้อมูลภายในใน 4 ขั้นภายใน 2 นาที

Attackers use LLM agent to move from marimo RCE CVE-2026-39987 to internal database in four pivots
Sysdig Threat Research Team บันทึกการบุกรุกที่ขับเคลื่อนด้วย AI agent เป็นครั้งแรก เมื่อ 10 พฤษภาคม 2569 ผู้โจมตีใช้ LLM agent สั่งการ post-exploitation ทั้งหมดเริ่มจาก marimo notebook ที่เปิดสู่อินเทอร์เน็ตผ่าน CVE-2026-39987 จนดึงฐานข้อมูล PostgreSQL ภายในออกได้ในไม่ถึง 2 นาที คำสั่งถูกแต่งขึ้นแบบเรียลไทม์ปรับตัวทุกขั้น กระจาย API call ผ่าน Cloudflare Workers หลาย IP เพื่อหลบการตรวจจับ Sysdig แนะนำอัปเดต marimo เป็น 0.23.0 ทันที

VIP Keylogger แพร่ผ่านอีเมลฟิชชิงปลอมเป็นเอกสารธุรกิจ — ซ่อนเพย์โหลดในรูปภาพด้วย Steganography

VIP Keylogger spread through phishing emails masquerading as business documents using steganography
Splunk Threat Research Team เปิดเผยแคมเปญ VIP Keylogger ที่แพร่ผ่านอีเมลฟิชชิงปลอมเป็นใบแจ้งชำระเงิน ใบสั่งซื้อ และข้อมูลขนส่ง มัลแวร์ใช้ script loader หลายชั้น (.vbs .js .bat) ที่ obfuscate หนัก แล้วซ่อนเพย์โหลดในไฟล์ภาพ .png ด้วย steganography ก่อนฉีดเข้าโพรเซส Windows ที่ถูกต้อง ความสามารถรวมถึงบันทึกคีย์ จับภาพหน้าจอ ขโมยรหัสผ่าน และสลับที่อยู่กระเป๋าคริปโตในคลิปบอร์ด ส่งข้อมูลออกผ่าน Telegram bot

CVE-2026-35616: แฮ็กเกอร์เจาะ FortiClient EMS ส่งมัลแวร์ขโมยรหัสผ่านปลอมเป็นแพตช์ Fortinet

FortiClient EMS CVE-2026-35616 exploited to deploy credential stealer disguised as Fortinet patch
Arctic Wolf พบแคมเปญโจมตีช่องโหว่ร้ายแรง CVE-2026-35616 (CVSS 9.1) ใน FortiClient EMS เพื่อส่งมัลแวร์ขโมยรหัสผ่านปลอมเป็นแพตช์ Fortinet ช่องโหว่เป็นแบบ pre-authentication API bypass นำสู่ privilege escalation แฮ็กเกอร์ใช้เส้นทางจัดการ endpoint ของ EMS เองสั่ง PowerShell รันบนทุกเครื่องที่ควบคุม มัลแวร์ FortiEndpoint_Patch.exe ขโมยรหัสผ่าน คุกกี้ และข้อมูล autofill จากเบราว์เซอร์ Fortinet แก้ไขแล้วในเวอร์ชัน 7.4.7

Carnival Cruise ยืนยัน Data Breach กระทบเกือบ 6 ล้านคน — ShinyHunters อ้างขโมยข้อมูล 8.7 ล้านรายการ

Carnival Corporation data breach nearly 6 million customers ShinyHunters social engineering April 2026
Carnival Corporation บริษัทเรือสำราญที่ใหญ่ที่สุดในโลกยืนยัน data breach กระทบ 5,995,277 คน เกิดจาก social engineering โจมตีพนักงานในวันที่ 10 เมษายน 2569 กลุ่ม ShinyHunters อ้างว่าขโมยข้อมูล 8.7 ล้านรายการรวม terabytes ของข้อมูลองค์กร ข้อมูลที่รั่วได้แก่ ชื่อ วันเกิด อีเมล เพศ ตำแหน่ง และรายละเอียด loyalty program โดยเฉพาะ Mariner Society ของ Holland America

ทลาย GlassWorm — CrowdStrike ปิด C2 ทั้ง 4 ช่องพร้อมกัน หยุดมัลแวร์ Supply Chain ที่ซ่อน C2 ในบล็อกเชน Solana

GlassWorm malware supply chain takedown CrowdStrike disrupts C2 infrastructure Solana blockchain BitTorrent
CrowdStrike ร่วมกับ Google และ Shadowserver Foundation ปิด C2 infrastructure ทั้ง 4 ช่องของ GlassWorm พร้อมกัน มัลแวร์ตัวนี้โจมตี developer ผ่าน VS Code extension ปลอม, npm และ Python package เป็นเวลากว่าหนึ่งปี ปนเปื้อน GitHub repository กว่า 300 แห่งด้วย credential ที่ขโมยมา โดดเด่นด้วยการซ่อน C2 address ไว้บน Solana blockchain, BitTorrent DHT และ Google Calendar เพื่อต้านการถูก Takedown

CVE-2026-27771: Gitea ช่องโหว่เปิด Private Container Image ให้คนนอกดึงได้โดยไม่ต้อง Login — กระทบ 30,000+ deployment

CVE-2026-27771 Gitea vulnerability exposes private container images without authentication affects 30000 deployments
Noscope เปิดเผย CVE-2026-27771 ช่องโหว่ใน Gitea ที่ทำให้ผู้ใด้ก็ตามบนอินเทอร์เน็ตดึง private container image ออกไปได้โดยไม่ต้องมีบัญชีหรือรหัสผ่าน กระทบ Gitea ทุกเวอร์ชันก่อน 1.26.2 และ Forgejo fork ด้วย คาดมีมากกว่า 30,000 deployment ที่ได้รับผลกระทบ ช่องโหว่อยู่ในระบบมากกว่า 4 ปีโดยไม่ถูกตรวจพบ

CVE-2026-5426: KnowledgeDeliver LMS ถูก Zero-Day — Hard-coded ASP.NET Key นำสู่ Godzilla Web Shell และ Cobalt Strike

CVE-2026-5426 KnowledgeDeliver LMS hard-coded ASP.NET machineKey exploited zero-day Godzilla web shell Cobalt Strike
Google Mandiant รายงาน Zero-day CVE-2026-5426 ใน KnowledgeDeliver LMS ระบบ e-learning ยอดนิยมในญี่ปุ่น เกิดจาก hard-coded ASP.NET machineKey ที่ทำให้ผู้โจมตีไม่ต้องล็อกอินก็ craft ViewState payload เพื่อ RCE ได้ หลังเข้าระบบผ่าน Godzilla web shell ผู้โจมตีฝัง Cobalt Strike Beacon ลงเครื่องของผู้ใช้ที่เยี่ยมชมไซต์

แฮ็กเกอร์จีนฝัง Linux Implant ในเราเตอร์ขอบเครือข่ายทั่วเอเชียตะวันออกเฉียงใต้ — ไทยเสี่ยงโดยตรง

China-linked APT deploys router.elf Linux implant on Southeast Asian edge routers with Cobalt Strike on Windows
กลุ่ม APT ที่เชื่อมโยงกับจีนถูกพบฝัง Linux implant ชื่อ router.elf ในเราเตอร์ขอบเครือข่ายทั่วเอเชียตะวันออกเฉียงใต้ ระบบ C2 ใช้ HTTPS port 443 และหลีกเลี่ยง DNS monitoring ผ่าน Cloudflare DNS over HTTPS ขณะที่ Windows endpoint ในเครือข่ายเดียวกันถูกโจมตีด้วย Cobalt Strike Beacon ผ่าน DLL sideloading IoC ชี้ไปที่จีนจากภาษา Mandarin ในโค้ด และ license ID ที่เชื่อมโยงกับปฏิบัติการจีนมาโดยตลอด

CVE-2026-45659: SharePoint Server ช่องโหว่ RCE ผ่าน Deserialization — สิทธิ์แค่ Site Member ก็โจมตีได้

CVE-2026-45659 SharePoint Server RCE vulnerability via deserialization requires only Site Member privileges
Microsoft เปิดเผย CVE-2026-45659 ช่องโหว่ RCE ระดับ Important ใน SharePoint Server ทุกเวอร์ชัน เกิดจาก deserialization ข้อมูลที่ไม่น่าเชื่อถือ ผู้โจมตีต้องการสิทธิ์แค่ Site Member บน network access โดยไม่ต้องมี admin privilege ความซับซ้อนในการโจมตีต่ำมาก Microsoft ออกแพตช์แล้ว 21 พ.ค. 2569 และยังไม่พบการ exploit จริง