ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

47 ข่าว

MuddyWater ใช้ DLL Side-Loading จารกรรม 9 องค์กรใน 9 ประเทศ — โจมตีผู้ผลิตในอาเซียนด้วย

muddywater seedworm dll side-loading espionage campaign targeting nine countries
Symantec และ Carbon Black เปิดเผยว่ากลุ่มแฮ็กเกอร์อิหร่าน MuddyWater (Seedworm) โจมตีอย่างน้อย 9 องค์กรใน 9 ประเทศ 4 ทวีปช่วงไตรมาสแรกปี 2026 รวมถึงผู้ผลิตอุตสาหกรรมในเอเชียตะวันออกเฉียงใต้และสนามบินในตะวันออกกลาง ใช้เทคนิค DLL side-loading ผ่านไฟล์ที่เซ็นรับรองถูกต้องของ Fortemedia และ SentinelOne เพื่อรันมัลแวร์และฝัง ChromElevator ขโมยรหัสผ่าน คุกกี้ และข้อมูลบัตรจากเบราว์เซอร์ เลี่ยงการตรวจจับ

Nimbus Manticore โจมตี 3 ระลอกไม่หยุด — MiniFast, MiniJunk V2, SEO Poisoning และ ATG Gas Station ในสหรัฐฯ

Iranian APT Nimbus Manticore deploys MiniFast MiniJunk V2 SEO poisoning and attacks US gas station ATG systems
Check Point Research และ Palo Alto Networks Unit 42 รายงานว่า Nimbus Manticore (UNC1549/IRGC) เร่งปฏิบัติการโจมตี 3 ระลอกต่อเนื่องตั้งแต่กุมภาพันธ์–เมษายน 2569 ใช้ MiniJunk ผ่าน AppDomain Hijacking, MiniFast ผ่าน Zoom ปลอม และ SEO Poisoning ผ่านไซต์ getsqldeveloper[.]com รวมถึง MiniJunk V2 โจมตีบริษัท Oil & Gas ในสหรัฐฯ และพบร่องรอยโจมตีระบบ ATG reader ในปั๊มน้ำมันหลายรัฐ โค้ด MiniFast มีรูปแบบบ่งชี้ว่าพัฒนาด้วย AI เพื่อเร่งปฏิบัติการในช่วงสงคราม

Lazarus ใช้ RemotePE — RAT รันใน Memory เท่านั้น โจมตีบริษัทการเงินและ Crypto ไม่ทิ้งร่องรอยบนดิสก์

Lazarus Group deploys RemotePE memory-only RAT targeting crypto and financial firms
กลุ่ม Lazarus ของเกาหลีเหนือใช้มัลแวร์ชื่อ RemotePE ซึ่งรันทั้งหมดใน Memory ไม่มีไฟล์บนดิสก์เลย ทำให้ตรวจจับยากมาก โดยใช้ Loader chain สองชั้นคือ DPAPILoader และ RemotePELoader ก่อนโหลด RAT เต็มรูปแบบจาก C2 มาทำงานในหน่วยความจำ นักวิจัยจาก Fox-IT พบว่าเครื่องมือชุดนี้ถูกพัฒนาระหว่างปี 2566-2567 และไม่เคยปรากฏใน VirusTotal ก่อนการเปิดเผย บ่งชี้ว่าถูกสงวนไว้สำหรับเป้าหมายมูลค่าสูงโดยเฉพาะ

Showboat มัลแวร์ Linux ตัวใหม่จากจีน โจมตีโทรคมนาคมตะวันออกกลาง — กลุ่ม Calypso ที่เคยเจาะไทยอยู่เบื้องหลัง

Showboat Linux malware targeting telecom infrastructure
Lumen Black Lotus Labs เปิดเผยมัลแวร์ Linux ชื่อ Showboat ที่โจมตีผู้ให้บริการโทรคมนาคมตะวันออกกลางตั้งแต่กลางปี 2565 เป็น post-exploitation framework ที่เปิด remote shell และทำ SOCKS5 proxy เชื่อมโยงกับกลุ่ม Calypso จากจีนที่เคยโจมตีหน่วยงานรัฐในไทย

APT28 แฮ็ก Router บ้าน-ออฟฟิศ 18,000 เครือข่าย — ดูด Microsoft Office Token โดยไม่ต้องลงมัลแวร์

APT28 Russia SOHO Router DNS Hijacking Microsoft Office Token Theft
กลุ่ม APT28 (Fancy Bear) ของหน่วยข่าวกรองทหารรัสเซีย GRU ใช้ช่องโหว่ที่รู้กันอยู่แล้วใน router รุ่นเก่าของ Mikrotik และ TP-Link เปลี่ยนค่า DNS ให้ชี้ไปยังเซิร์ฟเวอร์ที่ควบคุม ดูด authentication token ของ Microsoft Office จากผู้ใช้กว่า 18,000 เครือข่ายทั่วโลกโดยไม่ต้องติดตั้งมัลแวร์ใด ๆ Microsoft ระบุว่าพบองค์กรกว่า 200 แห่งและอุปกรณ์ผู้บริโภค 5,000 เครื่องที่ได้รับผลกระทบ

Dell RecoverPoint Zero-Day CVSS 10.0 — แฮ็กเกอร์จีนแฝงตัวนาน 18 เดือนด้วย Brickstorm และ Grimbolt

Dell RecoverPoint Zero-Day CVE-2026-22769 Chinese APT Brickstorm Grimbolt
กลุ่มแฮ็กเกอร์จีน UNC6201 ใช้ช่องโหว่ CVE-2026-22769 (CVSS 10.0) ใน Dell RecoverPoint for Virtual Machines ที่มี hardcoded password ของ Apache Tomcat เข้าถึงระบบด้วยสิทธิ์ root มาตั้งแต่กลางปี 2024 โดยไม่มีใครตรวจพบ ผู้โจมตีใช้มัลแวร์ Brickstorm และเวอร์ชันใหม่ Grimbolt ที่ตรวจจับยากขึ้น Dell ออกแพตช์แล้วและ CISA สั่งให้หน่วยงานรัฐบาลแก้ไขภายใน 3 วัน

Turla แปลง Kazuar Backdoor เป็น Modular P2P Botnet — แฮ็กเกอร์รัสเซียยกระดับการซ่อนตัวในเครือข่ายเป้าหมาย

Turla Kazuar P2P Modular Botnet
กลุ่ม Turla (Secret Blizzard) ที่เชื่อมโยงกับ FSB รัสเซีย พัฒนา Kazuar backdoor จากเฟรมเวิร์กขนาดใหญ่ให้เป็น modular P2P botnet แบ่งเป็น 3 ส่วน Kernel, Bridge และ Worker ลดร่องรอยบนเครื่องเป้าหมาย ทำให้ตรวจจับยากขึ้นมาก Microsoft แนะนำใช้ behavioral detection แทน static signatures