ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

CVE-2026-35616: แฮ็กเกอร์เจาะ FortiClient EMS ส่งมัลแวร์ขโมยรหัสผ่านปลอมเป็นแพตช์ Fortinet

FortiClient EMS CVE-2026-35616 exploited to deploy credential stealer disguised as Fortinet patch
Arctic Wolf พบแคมเปญโจมตีช่องโหว่ร้ายแรง CVE-2026-35616 (CVSS 9.1) ใน FortiClient EMS เพื่อส่งมัลแวร์ขโมยรหัสผ่านปลอมเป็นแพตช์ Fortinet ช่องโหว่เป็นแบบ pre-authentication API bypass นำสู่ privilege escalation แฮ็กเกอร์ใช้เส้นทางจัดการ endpoint ของ EMS เองสั่ง PowerShell รันบนทุกเครื่องที่ควบคุม มัลแวร์ FortiEndpoint_Patch.exe ขโมยรหัสผ่าน คุกกี้ และข้อมูล autofill จากเบราว์เซอร์ Fortinet แก้ไขแล้วในเวอร์ชัน 7.4.7

Carnival Cruise ยืนยัน Data Breach กระทบเกือบ 6 ล้านคน — ShinyHunters อ้างขโมยข้อมูล 8.7 ล้านรายการ

Carnival Corporation data breach nearly 6 million customers ShinyHunters social engineering April 2026
Carnival Corporation บริษัทเรือสำราญที่ใหญ่ที่สุดในโลกยืนยัน data breach กระทบ 5,995,277 คน เกิดจาก social engineering โจมตีพนักงานในวันที่ 10 เมษายน 2569 กลุ่ม ShinyHunters อ้างว่าขโมยข้อมูล 8.7 ล้านรายการรวม terabytes ของข้อมูลองค์กร ข้อมูลที่รั่วได้แก่ ชื่อ วันเกิด อีเมล เพศ ตำแหน่ง และรายละเอียด loyalty program โดยเฉพาะ Mariner Society ของ Holland America

ทลาย GlassWorm — CrowdStrike ปิด C2 ทั้ง 4 ช่องพร้อมกัน หยุดมัลแวร์ Supply Chain ที่ซ่อน C2 ในบล็อกเชน Solana

GlassWorm malware supply chain takedown CrowdStrike disrupts C2 infrastructure Solana blockchain BitTorrent
CrowdStrike ร่วมกับ Google และ Shadowserver Foundation ปิด C2 infrastructure ทั้ง 4 ช่องของ GlassWorm พร้อมกัน มัลแวร์ตัวนี้โจมตี developer ผ่าน VS Code extension ปลอม, npm และ Python package เป็นเวลากว่าหนึ่งปี ปนเปื้อน GitHub repository กว่า 300 แห่งด้วย credential ที่ขโมยมา โดดเด่นด้วยการซ่อน C2 address ไว้บน Solana blockchain, BitTorrent DHT และ Google Calendar เพื่อต้านการถูก Takedown

CVE-2026-27771: Gitea ช่องโหว่เปิด Private Container Image ให้คนนอกดึงได้โดยไม่ต้อง Login — กระทบ 30,000+ deployment

CVE-2026-27771 Gitea vulnerability exposes private container images without authentication affects 30000 deployments
Noscope เปิดเผย CVE-2026-27771 ช่องโหว่ใน Gitea ที่ทำให้ผู้ใด้ก็ตามบนอินเทอร์เน็ตดึง private container image ออกไปได้โดยไม่ต้องมีบัญชีหรือรหัสผ่าน กระทบ Gitea ทุกเวอร์ชันก่อน 1.26.2 และ Forgejo fork ด้วย คาดมีมากกว่า 30,000 deployment ที่ได้รับผลกระทบ ช่องโหว่อยู่ในระบบมากกว่า 4 ปีโดยไม่ถูกตรวจพบ

CVE-2026-5426: KnowledgeDeliver LMS ถูก Zero-Day — Hard-coded ASP.NET Key นำสู่ Godzilla Web Shell และ Cobalt Strike

CVE-2026-5426 KnowledgeDeliver LMS hard-coded ASP.NET machineKey exploited zero-day Godzilla web shell Cobalt Strike
Google Mandiant รายงาน Zero-day CVE-2026-5426 ใน KnowledgeDeliver LMS ระบบ e-learning ยอดนิยมในญี่ปุ่น เกิดจาก hard-coded ASP.NET machineKey ที่ทำให้ผู้โจมตีไม่ต้องล็อกอินก็ craft ViewState payload เพื่อ RCE ได้ หลังเข้าระบบผ่าน Godzilla web shell ผู้โจมตีฝัง Cobalt Strike Beacon ลงเครื่องของผู้ใช้ที่เยี่ยมชมไซต์

แฮ็กเกอร์จีนฝัง Linux Implant ในเราเตอร์ขอบเครือข่ายทั่วเอเชียตะวันออกเฉียงใต้ — ไทยเสี่ยงโดยตรง

China-linked APT deploys router.elf Linux implant on Southeast Asian edge routers with Cobalt Strike on Windows
กลุ่ม APT ที่เชื่อมโยงกับจีนถูกพบฝัง Linux implant ชื่อ router.elf ในเราเตอร์ขอบเครือข่ายทั่วเอเชียตะวันออกเฉียงใต้ ระบบ C2 ใช้ HTTPS port 443 และหลีกเลี่ยง DNS monitoring ผ่าน Cloudflare DNS over HTTPS ขณะที่ Windows endpoint ในเครือข่ายเดียวกันถูกโจมตีด้วย Cobalt Strike Beacon ผ่าน DLL sideloading IoC ชี้ไปที่จีนจากภาษา Mandarin ในโค้ด และ license ID ที่เชื่อมโยงกับปฏิบัติการจีนมาโดยตลอด

CVE-2026-45659: SharePoint Server ช่องโหว่ RCE ผ่าน Deserialization — สิทธิ์แค่ Site Member ก็โจมตีได้

CVE-2026-45659 SharePoint Server RCE vulnerability via deserialization requires only Site Member privileges
Microsoft เปิดเผย CVE-2026-45659 ช่องโหว่ RCE ระดับ Important ใน SharePoint Server ทุกเวอร์ชัน เกิดจาก deserialization ข้อมูลที่ไม่น่าเชื่อถือ ผู้โจมตีต้องการสิทธิ์แค่ Site Member บน network access โดยไม่ต้องมี admin privilege ความซับซ้อนในการโจมตีต่ำมาก Microsoft ออกแพตช์แล้ว 21 พ.ค. 2569 และยังไม่พบการ exploit จริง

Microsoft Defender for Endpoint ตัดเครือข่ายอัตโนมัติเมื่อตรวจพบ Ransomware — ไม่ต้องรอคนกด

Microsoft Defender for Endpoint automatically isolates compromised devices to stop ransomware spread
Microsoft Defender for Endpoint เพิ่มฟีเจอร์ Automatic Device Isolation ที่ตัดการเชื่อมต่อเครือข่ายของ endpoint ที่ถูกโจมตีทันทีเมื่อตรวจพบสัญญาณ ransomware หรือการบุกรุกระดับสูง โดยไม่ต้องรอให้เจ้าหน้าที่กดคำสั่ง ยังคงสื่อสารกับ Defender service เพื่อ telemetry และ SOC team ยังสามารถสั่ง release isolation ได้ตลอดเวลา

EU เตรียมปรับ Google ระดับ Record ภายใต้ DMA — ฐานเอื้อประโยชน์ตัวเองใน Search Results

EU finalizes record DMA fine against Google for search self-preferencing violation
สหภาพยุโรปเตรียมออกโทษปรับ Google ในระดับสูงหลายร้อยล้านยูโร ซึ่งจะเป็นค่าปรับสูงสุดที่เคยออกภายใต้กฎหมาย Digital Markets Act โดยข้อกล่าวหาคือ Google จัดการผลการค้นหาเพื่อเอื้อประโยชน์ให้บริการของตัวเองอย่าง Google Shopping, Google Maps และ Google Flights แทนที่จะแสดงผลตามความเกี่ยวข้อง การตัดสินใจขั้นสุดท้ายอยู่ที่ Ursula von der Leyen โดยคาดว่าจะประกาศก่อนหยุดพักฤดูร้อนของรัฐสภายุโรป

PuTTY 0.84 แก้ช่องโหว่ SSH KEX Crash และ Telnet Prompt Spoofing — อัปเดตด่วนสำหรับทุกองค์กร

PuTTY 0.84 released with fixes for SSH KEX crash ECDSA double-free RSA and Telnet spoofing vulnerabilities
PuTTY เวอร์ชัน 0.84 เปิดตัวพร้อมแพตช์ช่องโหว่ความปลอดภัยหลายรายการ รวมถึงบัก ECDSA ที่ทำให้ SSH handshake crash ได้ก่อน host key validation (ตั้งแต่เวอร์ชัน 0.71), Double-free ใน RSA key exchange ที่เปิดช่อง DoS (เวอร์ชัน 0.72–0.83) และ Telnet trust sigil bypass ที่ทำให้ผู้ใช้อาจป้อนรหัสผ่านให้ server ปลอมโดยไม่รู้ตัว ทั้งหมดสามารถถูก exploit โดย MITM attacker หรือ malicious server ก่อนที่ host key จะได้รับการยืนยัน