ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

47 ข่าว

มัลแวร์ GIFTEDCROOK ใช้ WinRAR ADS และ Reflective Loading ขโมย credential จากเบราว์เซอร์

GIFTEDCROOK malware abuses WinRAR ADS and reflective loading to steal browser data
กลุ่ม UAC-0226 ใช้ไฟล์ WinRAR ที่ฝัง Alternate Data Streams (ADS) ซ่อนไฟล์อันตรายร่วมกับเอกสารล่อ ส่งมัลแวร์ขโมยข้อมูล GIFTEDCROOK ที่ดูดข้อมูลล็อกอิน คุกกี้ และเอกสารจากเบราว์เซอร์ Chrome, Edge, Opera และ Firefox แคมเปญพุ่งเป้าบุคลากรสายทหารยูเครน ใช้ obfuscated PowerShell และ reflective PE loading โหลด payload เข้าหน่วยความจำโดยไม่แตะดิสก์ ทำให้ตรวจจับยาก พร้อมตั้ง shortcut ใน Startup เพื่อคงอยู่ในระบบ

มัลแวร์ใหม่ SharkLoader ปล่อย Cobalt Strike ในปฏิบัติการ StrikeShark โจมตีหน่วยงานรัฐในเอเชีย

New SharkLoader malware deploys Cobalt Strike in StrikeShark cyberattacks
Kaspersky เปิดเผยมัลแวร์ใหม่ SharkLoader ที่ทำหน้าที่เป็น loader ปล่อย Cobalt Strike Beacon ลงเครื่องเหยื่อ ภายใต้ปฏิบัติการชื่อ StrikeShark เชื่อว่าเป็นฝีมือผู้โจมตีพูดภาษาจีน เป้าหมายครอบคลุมหน่วยงานทูตในอินโดนีเซีย หน่วยงานรัฐไต้หวัน และบริษัทพัฒนาซอฟต์แวร์หลายประเทศ ใช้ช่องโหว่สาธารณะหลายรายการเจาะระบบ เช่น ProxyLogon, Openfire, GeoServer แล้วใช้เทคนิค Perfect DLL Hijacking โหลด Cobalt Strike เข้าหน่วยความจำเพื่อหลบการตรวจจับ

สมาชิก Scattered Spider สารภาพผิดคดีแฮ็ก Transport for London — สร้างความเสียหาย 29 ล้านปอนด์

Scattered Spider Members Plead Guilty TfL Hack
สมาชิกกลุ่มแฮ็กเกอร์ Scattered Spider 2 ราย อายุ 18 และ 20 ปี สารภาพผิดคดีเจาะระบบ Transport for London เมื่อปี 2567 สร้างความเสียหาย 29 ล้านปอนด์ พนักงาน 28,000 คนต้องรีเซ็ตรหัสผ่าน ยังพบหลักฐานเชื่อมโยงกับการโจมตีองค์กรสาธารณสุขในสหรัฐฯ อีกด้วย

Microsoft โยงเหตุโจมตี Supply Chain ของ Mastra AI กับแฮ็กเกอร์เกาหลีเหนือ Sapphire Sleet — ฝัง malware ใน 140+ npm package

Microsoft links Mastra AI npm supply chain attack to North Korean hackers Sapphire Sleet
บริษัท Microsoft ระบุว่าเหตุโจมตี supply chain ของ Mastra AI ที่ทำให้ npm package กว่า 140 ตัวถูกบุกรุก เป็นฝีมือกลุ่มแฮ็กเกอร์รัฐบาลเกาหลีเหนือ Sapphire Sleet (BlueNoroff) ผู้โจมตียึดบัญชี maintainer ’ehindero’ แล้วปล่อยอัปเดตอันตรายในสโคป @mastra ที่ฝัง dependency ชื่อ easy-day-js ซึ่งเป็น typosquat ของ dayjs เมื่อติดตั้งจะรัน post-install hook ปล่อย infostealer ข้ามแพลตฟอร์มที่ขโมย credential, API key, token และเล็งกระเป๋าคริปโต 166 ตัว

SprySOCKS แบ็กดอร์จีนขยายจาก Linux สู่ Windows — โจมตีหน่วยงานรัฐ 4 ประเทศรวมถึงไทย

SprySOCKS Windows malware Earth Lusca government attack
ESET เปิดเผยมัลแวร์ SprySOCKS เวอร์ชัน Windows สองรุ่นที่กลุ่ม Earth Lusca (FishMonger) จากจีนใช้โจมตีหน่วยงานรัฐใน 4 ประเทศ รวมถึงไทย ระหว่างปี 2023-2024 โดยรุ่น WIN_DRV มี kernel driver ซ่อนตัวระดับ rootkit

แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub

North Korean hackers UNK_DeadDrop malware campaign targeting developers via VS Code
นักวิจัยจาก Proofpoint เปิดโปงแคมเปญ UNK_DeadDrop ที่เชื่อมโยงกับเกาหลีเหนือ โจมตีนักพัฒนาในเกือบ 100 องค์กรด้วยอีเมลฟิชชิงหลอกให้โคลน GitHub Repository อันตรายแล้วเปิดใน VS Code ซึ่งจะรันมัลแวร์อัตโนมัติทั้งบน Windows, macOS และ Linux พร้อมกันนี้ยังพบ VS Code Extension ที่เป็น Backdoor บน Marketplace อย่างเป็นทางการอีกด้วย

แฮ็กเกอร์จีน UNC6508 ฝังมัลแวร์ InfiniteRed ในเซิร์ฟเวอร์ REDCap — ขโมยงานวิจัยทางการแพทย์นานกว่า 1 ปีโดยไม่มีใครรู้

Chinese hackers deploy InfiniteRed malware on REDCap medical research servers
กลุ่มจารกรรมจีน UNC6508 โจมตีเซิร์ฟเวอร์ REDCap ของสถาบันวิจัยการแพทย์ในอเมริกาเหนือ ฝังมัลแวร์ InfiniteRed ที่ออกแบบมาเฉพาะสำหรับระบบ REDCap แฝงตัวอยู่นานกว่า 1 ปี ขโมย credential และใช้ฟีเจอร์ content compliance ส่งข้อมูลออกผ่านอีเมลอัตโนมัติ Google แจ้งเตือนหลายองค์กรในสหรัฐฯ และแคนาดาที่ได้รับผลกระทบ

Velvet Ant แฮ็กเกอร์จีนฝัง Backdoor ใน PAM และ OpenSSH บน Linux ซ่อนตัวเกือบ 10 ปี — ขโมย Credential และสั่งงานจากระบบล็อกอินที่เชื่อถือ

Linux backdoor in PAM and OpenSSH by Velvet Ant
บริษัท Sygnia เปิดปฏิบัติการ Operation Highland พบกลุ่ม Velvet Ant ที่เชื่อมโยงจีนแก้ไขโมดูล PAM และ OpenSSH บนเซิร์ฟเวอร์ Linux เพื่อขโมย credential และเปิดช่องทางเข้าถึงลับตั้งแต่ปี 2016. ผู้โจมตีสร้าง backdoor ถึง 9 เวอร์ชัน ซ่อนในระบบล็อกอินที่ผู้ดูแลไม่เคยตรวจสอบ. ก่อนหน้านี้กลุ่มเดียวกันเคยฝังตัวในอุปกรณ์ F5 BIG-IP และ Cisco NX-OS. เทคนิคนี้ทำให้การรีเซ็ตรหัสผ่านไม่ช่วยอะไร เพราะตัวตรวจสอบ credential ถูกควบคุมโดยผู้โจมตี.

APT28 (Fancy Bear) ยกระดับโจมตีด้วยเราเตอร์ SOHO และบริการคลาวด์ — กระทบ 120 ประเทศ

APT28 Fancy Bear hackers abuse compromised EdgeRouters and cloud services for stealthy cyberattacks
กลุ่มแฮ็กเกอร์ APT28 หรือ Fancy Bear ซึ่งเชื่อมโยงกับหน่วยข่าวกรองทางทหารรัสเซีย GRU Unit 26165 ปรับกลยุทธ์มาใช้เราเตอร์ SOHO ที่ถูกบุกรุกเป็นโครงสร้างพื้นฐานหลักในการโจมตี รายงานจาก Sekoia เผยว่ากลุ่มนี้เข้ายึด botnet MooBot ของเราเตอร์ Ubiquiti EdgeRouter ตั้งแต่ปี 2565 และในปี 2569 เปิดแคมเปญ FrostArmada มุ่งเป้าเราเตอร์ MikroTik และ TP-Link ส่งผลกระทบต่ออุปกรณ์กว่า 18,000 IP ใน 120 ประเทศ กลุ่มนี้ยังพัฒนาเครื่องมือใหม่หลายตัวรวมถึง LameHug ที่ใช้ AI สร้างคำสั่งโจมตีแบบ real-time

OceanLotus โจมตีนักลงทุนเวียดนามผ่าน Supply Chain ฝังแบ็กดอร์ SPECTRALVIPER ในซอฟต์แวร์หุ้น FireAnt Metakit

OceanLotus SPECTRALVIPER supply chain attack on Vietnam
กลุ่ม OceanLotus (APT32) เปลี่ยนเป้าจากต่างชาติมาจารกรรมคนในเวียดนามเอง โดยใช้ supply chain attack ฝังแบ็กดอร์ SPECTRALVIPER ผ่านระบบอัปเดตของซอฟต์แวร์หุ้น FireAnt Metakit ที่นักลงทุนเวียดนามใช้กันแพร่หลาย อีกแคมเปญของ OceanLotus คือ เจาะระบบบริษัทก่อสร้างโครงสร้างพื้นฐานเวียดนามนานกว่า 1 ปี ด้าน ESET ระบุว่าเป็นการเปลี่ยนแปลงทิศทางปฏิบัติการครั้งสำคัญของกลุ่มนี้