ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

แคมเปญฟิชชิงปลอมใบแจ้งหนี้เปลี่ยน AnyDesk เป็นแบ็กดอร์ — Rare Werewolf จารกรรมอุตสาหกรรมการบิน ใช้ Scheduled Task ฝังตัวแล้วลบร่องรอย

phishing malware espionage ace anydesk anydesk phishing attack uses scheduled task persistence
นักวิจัยจาก Seqrite เปิดเผยแคมเปญฟิชชิงที่เปลี่ยนเครื่องมือรีโมตยอดนิยม AnyDesk ให้กลายเป็นแบ็กดอร์จารกรรมระยะยาว โจมตีองค์กรอุตสาหกรรมการบินและอวกาศในรัสเซีย ผู้โจมตีใช้อีเมลปลอมเป็นใบแจ้งหนี้แนบไฟล์ ZIP ใส่รหัสผ่านเลี่ยงการสแกน เมื่อเปิดจะติดตั้ง AnyDesk แบบไร้การควบคุมพร้อมรหัสผ่านที่ตั้งไว้ล่วงหน้า สร้าง scheduled task ปลอมเป็นงานอัปเดตเพื่อฝังตัว แล้วลบไฟล์และล็อกทั้งหมดเพื่อกลบร่องรอย พฤติกรรมเข้ากับกลุ่ม Rare Werewolf หรือ Librarian Ghouls

ช่องโหว่รูปแบบใหม่ 'Cordyceps' ใน GitHub Actions — เชนโจมตี CI/CD ที่สแกนเนอร์มองไม่เห็น กระทบ Microsoft, Google, Apache

github actions git github security activestate github actions
นักวิจัยจาก Novee Security เปิดเผยช่องโหว่ CI/CD รูปแบบใหม่ชื่อ Cordyceps เดือนมิถุนายน 2569 หลังสแกน repository กว่า 30,000 แห่ง พบเสี่ยง 654 และยืนยันโจมตีได้จริงกว่า 300 แห่ง ต้นเหตุคือการต่อ workflow ของ GitHub Actions ที่รันโค้ดจาก fork ไม่น่าเชื่อถือพร้อมสิทธิ์เข้าถึง secret ผู้โจมตีเพียงมีบัญชี GitHub ฟรีก็ขโมยโทเคนถาวรได้ กระทบโปรเจกต์ของ Microsoft, Google, Apache และ Cloudflare

ช่องโหว่ร้ายแรงใน Google Cloud Dialogflow CX — 'Rogue Agent' ฝังโค้ด Python ยึดแชตบอต AI ทั้งโปรเจกต์

critical vulnerability in gcp dialogflow cx rogue agent allows attackers to inject malicious code varonis
นักวิจัยจากบริษัท Varonis Threat Labs เปิดเผยช่องโหว่ร้ายแรงในบริการ Dialogflow CX ของ Google Cloud ที่ตั้งชื่อว่า Rogue Agent ซึ่งเปิดทางให้ผู้โจมตีฝังโค้ด Python ถาวรเข้าไปในไปป์ไลน์แชตบอต AI ขององค์กร โดยอาศัยเพียงสิทธิ์แก้ไขเดียวก็สามารถดักบทสนทนา ปลอมคำตอบ และยิงฟิชชิงขโมยข้อมูลรับรองได้ Google ออกแพตช์แก้ไขครบถ้วนในเดือนมิถุนายน 2026 ยังไม่พบการโจมตีจริงก่อนแก้ไข

The Gentlemen แรนซัมแวร์มาแรง — เฟรมเวิร์ก GentleKiller ปิด EDR/AV กว่า 400 โปรเซส ทะยานโจมตี 500+ เหยื่อทั่วโลก

the gentlemen raas ransomware cybersecurity attack industries worldwide av killers scaling faster
กลุ่มแรนซัมแวร์ The Gentlemen (Microsoft ติดตามในชื่อ Storm-2697) แตกตัวจาก Qilin กลางปี 2025 พุ่งขึ้นเป็นภัย Tier-1 เจาะเหยื่อกว่า 500 รายใน 70+ ประเทศ คิดเป็น 10% ของแรนซัมแวร์ทั่วโลกในเดือนเมษายน 2026 จุดเด่นคือชุด GentleKiller ที่ใช้ BYOVD อย่างน้อย 8 สายพันธุ์ปิดโปรเซสความปลอดภัยกว่า 400 ตัวจาก 48 ผู้ผลิต ควบกับตัวเข้ารหัส Go ที่แพร่ตัวเองได้ ฐานข้อมูลภายในกลุ่มรั่วเผยแชต 3,366 ข้อความและรายชื่อเหยื่อ 1,570+ ราย

FBI ร่วมตำรวจสเปนจับสมาชิกกลุ่มแฮ็กติวิสต์หนุนรัสเซีย Cyber Army of Russia Reborn — เอี่ยวโจมตีโครงสร้างพื้นฐานสำคัญ

fbi and spanish police arrest cyber army of russia reborn member
ตำรวจสเปนร่วมกับ FBI จับกุมผู้ต้องสงสัยเป็นสมาชิกกลุ่มแฮ็กติวิสต์หนุนรัสเซีย Cyber Army of Russia Reborn หรือ Z-Pentest ซึ่งอ้างความรับผิดชอบการโจมตี DDoS และก่อกวนโครงสร้างพื้นฐานสำคัญในสหรัฐฯ และยุโรป การจับกุมเป็นส่วนหนึ่งของปฏิบัติการ Operation Riptide และ Operation Red Circus ที่มุ่งสกัดภัยไซเบอร์จากรัสเซีย ทางการยังไม่เปิดเผยตัวตนหรือข้อกล่าวหาของผู้ต้องสงสัย

ฟิชชิงปลอมสัมภาษณ์งานสวมแบรนด์ดัง 30+ ราย ขโมยบัญชี Google — ใช้ Browser-in-the-Browser หลอกหน้าล็อกอินปลอม

phishing fake job interview impersonating big brands to steal google accounts
นักวิจัยจาก Team Cymru เปิดโปงแคมเปญฟิชชิงที่ปลอมเป็นการสัมภาษณ์งานจากแบรนด์ดังกว่า 30 ราย เช่น Adobe, Netflix, Coca-Cola และ OpenAI เพื่อขโมยบัญชี Google ของนักการตลาด ผู้โจมตีฉวยใช้แพลตฟอร์ม HR และบริการคลาวด์ของแท้ทำ redirect ซ้อนหลายชั้น ก่อนพาเหยื่อไปหน้าปลอม แล้วใช้เทคนิค Browser-in-the-Browser สร้างป๊อปอัปล็อกอิน Google ปลอมที่แยกจากของจริงแทบไม่ออก

แฮ็กเกอร์ปลอมเป็นทีมไอทีโทรผ่าน Microsoft Teams หลอกติดตั้งมัลแวร์ EtherRAT — ใช้สัญญาอัจฉริยะ Ethereum ซ่อนเซิร์ฟเวอร์ควบคุม

fake it support microsoft teams call pushing etherrat malware
บริษัท Palo Alto Networks (Unit 42) เปิดเผยแคมเปญที่ปลอมเป็นทีมไอทีซัพพอร์ตโทรผ่าน Microsoft Teams หลอกพนักงานให้ติดตั้งมัลแวร์ EtherRAT ผู้โจมตีเริ่มจากอีเมลฟิชชิงแนบ PDF แล้วโทรจากบัญชีภายนอกอ้างเป็นผู้ดูแลระบบ ก่อนหลอกให้เปิดสิทธิ์ควบคุมเครื่องและติดตั้งเครื่องมือรีโมตจริงอย่าง AnyDesk สุดท้ายรัน EtherRAT ที่ใช้สัญญาอัจฉริยะ Ethereum ซ่อนเซิร์ฟเวอร์ควบคุมสั่งการ ทำให้ปิดกั้นได้ยาก

Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล

iran linked cavern manticore hackers use new cavern c2 framework to target israeli organizations
Check Point Research เปิดเผยว่ากลุ่มแฮ็กเกอร์อิหร่านในเครือกระทรวงข่าวกรอง (MOIS) ที่ชื่อ Cavern Manticore ใช้เฟรมเวิร์ก command-and-control ตัวใหม่ชื่อ Cavern โจมตีองค์กรไอทีและภาครัฐในอิสราเอล กลุ่มนี้อาศัยฟีเจอร์อัปเดตของ SysAid ทำ DLL side-loading โหลด Cavern Agent แล้วดึงโมดูล 5 ตัวมาขโมยไฟล์ ฐานข้อมูล และสอดแนม Active Directory จุดเด่นคือใช้รูปแบบคอมไพล์ .NET หลายชนิดเป็นเกราะกันการวิเคราะห์ มีความทับซ้อนกับ MuddyWater และ Lyceum

เวียดนามจับ 7 ผู้ต้องสงสัยเบื้องหลัง HiAnime — เว็บสตรีมอนิเมะละเมิดลิขสิทธิ์รายใหญ่ที่สุด

vietnam arrests suspects behind hianime anime piracy streaming service
ทางการเวียดนามจับกุมและดำเนินคดี 7 ผู้ต้องสงสัยที่เชื่อว่าอยู่เบื้องหลัง HiAnime เว็บสตรีมอนิเมะละเมิดลิขสิทธิ์รายใหญ่ที่สุดก่อนถูกปิดในเดือนมิถุนายน กลุ่มนี้สร้างเว็บกว่า 100 แห่งอัปโหลดอนิเมะละเมิดลิขสิทธิ์กว่า 26,000 เรื่อง สร้างรายได้โฆษณาผิดกฎหมายราว 12.85 ล้านดอลลาร์ระหว่างปี 2020 ถึงเมษายน 2026 ผู้ต้องหาถูกตั้งข้อหาละเมิดลิขสิทธิ์และฟอกเงิน โดยมีองค์กร ACE และหน่วยงานสหรัฐฯ ร่วมสอบสวนหลายปี

Januscape CVE-2026-53359 — ช่องโหว่ KVM อายุ 16 ปี ให้ VM แขกหนีออกไปยึด Host ได้ทั้ง Intel และ AMD

linux kvm januscape cve-2026-53359 guest vm escape to host on intel and amd
นักวิจัย Hyunwoo Kim พบช่องโหว่ use-after-free ใน KVM hypervisor ของ Linux ชื่อ Januscape (CVE-2026-53359) ที่ VM แขกซึ่งมีสิทธิ์ root สามารถทำให้ host เคอร์เนลเสียหายและอาจรันโค้ดบน host ได้ ถือเป็นการหนีจาก guest สู่ host ตัวแรกที่ทำงานได้ทั้ง Intel และ AMD ช่องโหว่ซ่อนอยู่ในโค้ด shadow MMU มานานราว 16 ปี แพตช์ออกแล้ว 4 ก.ค. 2026 ต้องเปิด nested virtualization จึงถูกโจมตีได้