ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

20 ข่าว

กลุ่ม APT จีนปล่อยแบ็กดอร์ใหม่ TinyRCT โจมตีหน่วยงานรัฐในเอเชียตะวันออกเฉียงใต้

Chinese-speaking APT deploys new TinyRCT backdoor in Southeast Asia campaign
Palo Alto Networks Unit 42 เผยกลุ่ม APT พูดภาษาจีน CL-STA-1062 ใช้แบ็กดอร์ใหม่ TinyRCT โจมตีหน่วยงานรัฐและโครงสร้างพื้นฐานสำคัญในเอเชียตะวันออกเฉียงใต้ เน้นรัฐวิสาหกิจด้านพลังงานและภาครัฐ พบเจาะอย่างน้อย 10 องค์กรในภูมิภาคช่วงปลายปี 2025 ขโมยซอร์สโค้ดเว็บเซิร์ฟเวอร์ทั้งไดเรกทอรี TinyRCT รันคำสั่ง ขโมยไฟล์ จับภาพหน้าจอ และลบตัวเองได้

ส่วนขยาย Edge อันตราย 'Edgecution' ใช้ Native Messaging เป็นสะพานสู่มัลแวร์ — เชื่อมโยง ransomware Payouts Kings

Malicious Microsoft Edge extension Edgecution abusing Native Messaging
Zscaler เปิดเผยส่วนขยาย Microsoft Edge อันตรายชื่อ Edgecution ที่ถูกใช้ในการโจมตี ransomware เพื่อหลุดออกจาก sandbox ของเบราว์เซอร์และวาง backdoor ที่เขียนด้วย Python มัลแวร์อาศัยโปรโตคอล Chrome Native Messaging เป็นสะพานเชื่อมส่วนขยายกับแอปบนเครื่อง การโจมตีเริ่มจากผู้โจมตีปลอมเป็นทีม IT บน Microsoft Teams เชื่อว่าเป็นฝีมือ initial access broker ที่เชื่อมโยงกับกลุ่ม Payouts Kings

แฮ็กเกอร์เจาะเซิร์ฟเวอร์ SharePoint ที่ไม่แพตช์ ติดตั้ง ransomware และ backdoor — พบ 2 กลุ่มลงมือพร้อมกัน

Hackers exploit unpatched SharePoint servers to deploy ransomware and backdoors
Microsoft DART เปิดเผยการโจมตีเซิร์ฟเวอร์ SharePoint on-premises ที่ไม่แพตช์ โดยกลุ่ม Storm-2603 ใช้ช่องโหว่ CVE-2025-49706 และ CVE-2025-49704 เจาะเข้าระบบตั้งแต่กลางปี 2025 ติดตั้ง ransomware พร้อม backdoor และใช้เทคนิค BYOVD ปิดระบบป้องกัน ที่ซับซ้อนคือพบกลุ่มที่สองทำงานคู่ขนานในเครือข่ายเดียวกันพร้อมขโมยไฟล์ NTDS.dit องค์กรที่ใช้ SharePoint รุ่นเก่าเสี่ยงสูง

DragonForce Ransomware ใช้ Microsoft Teams Relay ซ่อนการสื่อสาร C2 — เทคนิคใหม่ที่พบครั้งแรกในโลกจริง

DragonForce ransomware Microsoft Teams TURN relay C2 traffic hiding
กลุ่ม DragonForce ransomware ใช้มัลแวร์ชื่อ Backdoor.Turn ซ่อนการสื่อสาร C2 ในโครงสร้าง TURN relay ของ Microsoft Teams เป็นครั้งแรกที่พบในโลกจริง ทำให้ defender เห็นเป็นทราฟฟิก Teams ปกติ พร้อมใช้เทคนิค BYOVD ผ่าน driver หลายตัวเพื่อปิดเครื่องมือรักษาความปลอดภัย

SprySOCKS แบ็กดอร์จีนขยายจาก Linux สู่ Windows — โจมตีหน่วยงานรัฐ 4 ประเทศรวมถึงไทย

SprySOCKS Windows malware Earth Lusca government attack
ESET เปิดเผยมัลแวร์ SprySOCKS เวอร์ชัน Windows สองรุ่นที่กลุ่ม Earth Lusca (FishMonger) จากจีนใช้โจมตีหน่วยงานรัฐใน 4 ประเทศ รวมถึงไทย ระหว่างปี 2023-2024 โดยรุ่น WIN_DRV มี kernel driver ซ่อนตัวระดับ rootkit

Velvet Ant แฮ็กเกอร์จีนฝัง Backdoor ใน PAM และ OpenSSH บน Linux ซ่อนตัวเกือบ 10 ปี — ขโมย Credential และสั่งงานจากระบบล็อกอินที่เชื่อถือ

Linux backdoor in PAM and OpenSSH by Velvet Ant
บริษัท Sygnia เปิดปฏิบัติการ Operation Highland พบกลุ่ม Velvet Ant ที่เชื่อมโยงจีนแก้ไขโมดูล PAM และ OpenSSH บนเซิร์ฟเวอร์ Linux เพื่อขโมย credential และเปิดช่องทางเข้าถึงลับตั้งแต่ปี 2016. ผู้โจมตีสร้าง backdoor ถึง 9 เวอร์ชัน ซ่อนในระบบล็อกอินที่ผู้ดูแลไม่เคยตรวจสอบ. ก่อนหน้านี้กลุ่มเดียวกันเคยฝังตัวในอุปกรณ์ F5 BIG-IP และ Cisco NX-OS. เทคนิคนี้ทำให้การรีเซ็ตรหัสผ่านไม่ช่วยอะไร เพราะตัวตรวจสอบ credential ถูกควบคุมโดยผู้โจมตี.

Laravel-Lang ถูกโจมตี Supply Chain — แฮ็กเกอร์ยึด GitHub Repo 700 แห่ง ฝัง Backdoor ใน 233 เวอร์ชัน ขโมย Credential นักพัฒนา

Laravel-Lang supply chain attack 233 versions compromised
นักวิจัยจาก Socket และ Aikido เปิดเผยการโจมตี supply chain ต่อระบบนิเวศ Laravel-Lang ที่ฝัง backdoor สำหรับขโมย credential ลงใน 233 เวอร์ชันของแพ็กเกจผ่าน GitHub repository 700 แห่ง ผู้โจมตีใช้เทคนิคปลอม Git tag ชี้ไปยัง fork ที่มีมัลแวร์ ทำให้นักพัฒนาที่ติดตั้งผ่าน Composer ได้รับ payload ที่ขโมย AWS keys, SSH keys, database credentials และอื่นๆ

มัลแวร์ Reaper ใหม่โจมตี macOS — ขโมยรหัสผ่าน คริปโต และข้อมูลเบราว์เซอร์ผ่านโดเมนปลอม Microsoft

Reaper malware targeting macOS users
SentinelLABS ค้นพบมัลแวร์ Reaper ซึ่งเป็นสายพันธุ์ใหม่ของ SHub Infostealer ที่สามารถหลบเลี่ยงการอัปเดตความปลอดภัยของ macOS Tahoe 26.4 ได้ มัลแวร์แพร่กระจายผ่านเว็บไซต์ดาวน์โหลดปลอมของ WeChat และ Miro โดยใช้โดเมน Typosquatting ของ Microsoft ขโมยรหัสผ่าน ข้อมูลเบราว์เซอร์ และคริปโตวอลเล็ต พร้อมฝัง Backdoor ถาวร

DAEMON Tools Supply Chain Attack — ตัวติดตั้งอย่างเป็นทางการถูกฝังมัลแวร์ กระทบไทยโดยตรง

DAEMON Tools Supply Chain Attack compromises official installers
ซอฟต์แวร์ DAEMON Tools Lite เวอร์ชัน Windows ถูกโจมตีแบบ supply chain ตั้งแต่วันที่ 8 เมษายน 2569 โดยผู้โจมตีฝังมัลแวร์ลงในตัวติดตั้งที่มีลายเซ็นดิจิทัลถูกต้องจากเว็บไซต์ทางการ Kaspersky พบว่ามีความพยายามติดมัลแวร์หลายพันครั้งใน 100 กว่าประเทศ แต่ backdoor ถูกส่งไปยังเป้าหมายเพียง 12 ระบบ รวมถึงหน่วยงานในประเทศไทย เบลารุส และรัสเซีย ผู้พัฒนาได้ออกเวอร์ชัน 12.6 แก้ไขปัญหาแล้ว

cPanel CVE-2026-41940 ถูกโจมตีหนัก — แฮ็กเกอร์ Mr_Rot13 ฝัง Backdoor ขโมย Credentials เว็บ Hosting ทั่วโลก

cPanel CVE-2026-41940 Authentication Bypass Active Exploitation
ช่องโหว่ CVE-2026-41940 (CVSS 9.8) ใน cPanel/WHM เป็น authentication bypass ผ่าน CRLF injection ถูกใช้โจมตีจริงตั้งแต่ก่อนเปิดเผย กลุ่ม Mr_Rot13 ฝัง Filemanager backdoor เปลี่ยน root password และขโมย credentials มี IP ผู้โจมตีกว่า 2,000 แห่งสแกนหาเซิร์ฟเวอร์ที่ยังไม่แพตช์