ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

Nimbus Manticore โจมตี 3 ระลอกไม่หยุด — MiniFast, MiniJunk V2, SEO Poisoning และ ATG Gas Station ในสหรัฐฯ

Iranian APT Nimbus Manticore deploys MiniFast MiniJunk V2 SEO poisoning and attacks US gas station ATG systems
Check Point Research และ Palo Alto Networks Unit 42 รายงานว่า Nimbus Manticore (UNC1549/IRGC) เร่งปฏิบัติการโจมตี 3 ระลอกต่อเนื่องตั้งแต่กุมภาพันธ์–เมษายน 2569 ใช้ MiniJunk ผ่าน AppDomain Hijacking, MiniFast ผ่าน Zoom ปลอม และ SEO Poisoning ผ่านไซต์ getsqldeveloper[.]com รวมถึง MiniJunk V2 โจมตีบริษัท Oil & Gas ในสหรัฐฯ และพบร่องรอยโจมตีระบบ ATG reader ในปั๊มน้ำมันหลายรัฐ โค้ด MiniFast มีรูปแบบบ่งชี้ว่าพัฒนาด้วย AI เพื่อเร่งปฏิบัติการในช่วงสงคราม

เนเธอร์แลนด์บุก Bulletproof Hosting เชื่อมโยงรัสเซีย — FIOD จับ 2 คน ฐานละเมิดมาตรการคว่ำบาตร

Netherlands FIOD busts bulletproof hosting network linked to Russia disinformation and cybercrime
หน่วยงาน FIOD ของเนเธอร์แลนด์นำปฏิบัติการบุกทลายเครือข่าย Bulletproof Hosting ที่เชื่อมโยงกับอาชญากรรมไซเบอร์ แคมเปญข่าวปลอม และการหลีกเลี่ยงมาตรการคว่ำบาตรรัสเซีย จับกุมผู้ต้องสงสัย 2 คนในข้อหาละเมิดกฎหมายมาตรการคว่ำบาตร ยึดเซิร์ฟเวอร์และอุปกรณ์จัดเก็บข้อมูล พร้อมปิดโดเมนและ IP หลายรายการ ปฏิบัติการนี้เป็นส่วนหนึ่งของความร่วมมือระหว่างหน่วยงานจากหลายประเทศในยุโรป

Lazarus ใช้ RemotePE — RAT รันใน Memory เท่านั้น โจมตีบริษัทการเงินและ Crypto ไม่ทิ้งร่องรอยบนดิสก์

Lazarus Group deploys RemotePE memory-only RAT targeting crypto and financial firms
กลุ่ม Lazarus ของเกาหลีเหนือใช้มัลแวร์ชื่อ RemotePE ซึ่งรันทั้งหมดใน Memory ไม่มีไฟล์บนดิสก์เลย ทำให้ตรวจจับยากมาก โดยใช้ Loader chain สองชั้นคือ DPAPILoader และ RemotePELoader ก่อนโหลด RAT เต็มรูปแบบจาก C2 มาทำงานในหน่วยความจำ นักวิจัยจาก Fox-IT พบว่าเครื่องมือชุดนี้ถูกพัฒนาระหว่างปี 2566-2567 และไม่เคยปรากฏใน VirusTotal ก่อนการเปิดเผย บ่งชี้ว่าถูกสงวนไว้สำหรับเป้าหมายมูลค่าสูงโดยเฉพาะ

Packagist Supply Chain Attack — แฮ็กเกอร์ฝัง Linux Binary ใน 8 PHP Package ผ่าน package.json Postinstall Hook

Packagist supply chain attack infects 8 PHP packages with Linux malware via postinstall hook
แคมเปญ Supply Chain Attack ใหม่โจมตี Packagist ซึ่งเป็น Package Registry หลักของ PHP โดยฝังโค้ดอันตรายใน 8 แพ็กเกจ Composer แต่ซ่อนไว้ใน package.json แทน composer.json ทำให้ทีม Security ที่สแกนเฉพาะ PHP dependency อาจมองข้าม Postinstall Script ดาวน์โหลด Linux Binary จาก GitHub Releases แล้วรันในพื้นหลัง บริษัท Socket พบร่องรอยของ payload เดียวกันในไฟล์บน GitHub กว่า 777 ไฟล์ ชี้ว่าแคมเปญนี้อาจกว้างกว่าที่เห็น

npm เพิ่ม 2FA-Gated Publishing และ Install Source Controls — ป้องกัน Supply Chain Attack ด้วย Staged Publishing

npm adds 2FA-gated staged publishing and install source controls for supply chain security
GitHub เปิดตัว Staged Publishing บน npm ซึ่งบังคับให้ Maintainer ผ่านการยืนยัน 2FA ก่อนที่แพ็กเกจจะเผยแพร่สู่สาธารณะ พร้อมเพิ่ม Install Source Flag สามตัวใหม่เพื่อควบคุมแหล่งที่มาของ Package ที่ติดตั้ง มาตรการนี้รองรับทั้ง CI/CD Pipeline แบบ non-interactive และ Trusted Publishing ด้วย OIDC ตอบสนองต่อการโจมตี Supply Chain ที่พุ่งสูงขึ้นอย่างรวดเร็วในช่วงที่ผ่านมา

TrapDoor Supply Chain — มัลแวร์ฝังใน 34 แพ็กเกจบน npm, PyPI และ Crates.io ขโมย Crypto Wallet และ SSH Key ของ Developer

TrapDoor supply chain malware targets npm PyPI Crates.io developer packages
แคมเปญ TrapDoor ปล่อยมัลแวร์ใน 34 แพ็กเกจและกว่า 384 เวอร์ชันข้ามระบบนิเวศ npm, PyPI และ Crates.io เพื่อขโมย Crypto Wallet, SSH Key และข้อมูลรับรองตัวตนของ Developer โดยเฉพาะในชุมชน DeFi, Solana และ AI มัลแวร์ยังโจมตี AI Coding Assistant ผ่านการแก้ไขไฟล์ .cursorrules และ CLAUDE.md โดยฝังคำสั่งซ่อนด้วย Unicode พิเศษ บริษัท Socket ตรวจพบแคมเปญนี้ในเวลาเฉลี่ย 5 นาที 27 วินาทีหลังปล่อย

แฮ็กเกอร์ขาย 340 ล้าน Record ผู้ใช้ OnlyFans — รวบรวมจากข้อมูลรั่วไหลเก่า ราคา 0.313 BTC

Hacker selling 340 million OnlyFans user records on dark web forum
แฮ็กเกอร์ที่ใช้ชื่อ Euphoric_Reply_5727 ประกาศขายฐานข้อมูลที่อ้างว่ามีข้อมูลผู้ใช้ OnlyFans กว่า 340 ล้าน record ในราคา 0.313 BTC ราว 76,000 ดอลลาร์ ข้อมูลนี้ไม่ได้มาจากการเจาะระบบ OnlyFans โดยตรง แต่รวบรวมจากข้อมูลรั่วไหลเก่าและโปรไฟล์สาธารณะแล้วจับคู่กับบัญชี OnlyFans Hackread ยืนยันว่าตัวอย่างข้อมูลที่ได้รับตรงกับบัญชี OnlyFans จริง แม้ OnlyFans เองยังไม่ได้ยืนยันอย่างเป็นทางการ

PyrsistenceSniper — เครื่องมือโอเพนซอร์สตรวจจับ 117 เทคนิค Persistence ของมัลแวร์บน Windows, Linux และ macOS

PyrsistenceSniper tool detects 117 persistence malware techniques
PyrsistenceSniper คือเครื่องมือ Python โอเพนซอร์สจาก Hexastrike สำหรับตรวจจับ Persistence ของมัลแวร์โดยไม่ต้องเข้าถึงระบบสด รองรับ 117 เทคนิคครอบคลุม Windows, Linux และ macOS ตามกรอบ MITRE ATT&CK เก้าเทคนิคหลัก สแกนผ่าน Disk Image, Velociraptor Collection และ KAPE Dump โดยใช้ libregf ในการอ่าน Registry Hive และเสร็จภายใน 30 วินาที รองรับส่งออกผลเป็น Console, CSV, HTML และ XLSX พร้อมระบบกรองลายเซ็น Authenticode เพื่อแยก Persistence ที่ถูกต้องออกจากอันตราย

Ghost CMS ช่องโหว่ SQL Injection CVE-2026-26980 — แฮ็กเกอร์โจมตีกว่า 700 เว็บไซต์ ฝัง ClickFix ใน Harvard และ Oxford

Ghost CMS SQL injection CVE-2026-26980 exploited in ClickFix campaign
ช่องโหว่ CVE-2026-26980 ใน Ghost CMS เปิดให้แฮ็กเกอร์ที่ไม่ผ่านการยืนยันตัวตนอ่านฐานข้อมูลและขโมย Admin API Key ผ่าน SQL Injection ผู้โจมตีใช้สิทธิ์ที่ได้มาฉีด JavaScript อันตรายเข้าบทความในเว็บไซต์ ทำให้ผู้เข้าชมถูกโจมตีด้วยเทคนิค ClickFix ในรูป FakeCaptcha แคมเปญแพร่กระจายไปกว่า 700 โดเมน รวมถึง Harvard, Oxford และ Auburn University ช่องโหว่ได้รับการแก้ไขใน Ghost เวอร์ชัน 6.19.1 แล้ว ผู้ดูแลระบบควรอัปเดตและหมุนเวียน API Key ทันที

สหรัฐฯ และแคนาดาจับกุม Jacob Butler — แอดมิน Botnet KimWolf ที่ให้บริการ DDoS-for-Hire โจมตีขนาด 30 Tbps

KimWolf botnet admin Jacob Butler arrested by US and Canada authorities
สหรัฐฯ และแคนาดาจับกุม Jacob Butler วัย 23 ปี ผู้ต้องสงสัยดูแล Botnet KimWolf ที่ให้บริการ DDoS-for-hire แก่อาชญากรไซเบอร์ทั่วโลก Botnet ดังกล่าวติดมัลแวร์อุปกรณ์เกือบ 2 ล้านเครื่อง และเคยสร้างการโจมตี DDoS สูงถึง 30 เทราบิตต่อวินาที Butler ถูกจับกุมที่ออตตาวา แคนาดา ตามหมายส่งผู้ร้ายข้ามแดน และเผชิญโทษจำคุกสูงสุด 10 ปีในสหรัฐฯ การจับกุมนี้เป็นผลต่อเนื่องจากปฏิบัติการนานาชาติเมื่อเดือนมีนาคม 2569 ที่ยึด C2 Infrastructure ของ Botnet สี่ตัว รวมอุปกรณ์ที่ถูกติดมัลแวร์กว่า 3 ล้านเครื่อง