ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

27 ข่าว

CVE-2026-35616: แฮ็กเกอร์เจาะ FortiClient EMS ส่งมัลแวร์ขโมยรหัสผ่านปลอมเป็นแพตช์ Fortinet

FortiClient EMS CVE-2026-35616 exploited to deploy credential stealer disguised as Fortinet patch
Arctic Wolf พบแคมเปญโจมตีช่องโหว่ร้ายแรง CVE-2026-35616 (CVSS 9.1) ใน FortiClient EMS เพื่อส่งมัลแวร์ขโมยรหัสผ่านปลอมเป็นแพตช์ Fortinet ช่องโหว่เป็นแบบ pre-authentication API bypass นำสู่ privilege escalation แฮ็กเกอร์ใช้เส้นทางจัดการ endpoint ของ EMS เองสั่ง PowerShell รันบนทุกเครื่องที่ควบคุม มัลแวร์ FortiEndpoint_Patch.exe ขโมยรหัสผ่าน คุกกี้ และข้อมูล autofill จากเบราว์เซอร์ Fortinet แก้ไขแล้วในเวอร์ชัน 7.4.7

แพ็กเกจ NuGet ปลอมเป็น Sicoob SDK ขโมยรหัสผ่านธนาคาร — ใช้ Sentry ลอบส่งข้อมูลแทน C2

Malicious NuGet package Sicoob SDK exfiltrates banking credentials via Sentry
นักวิจัย Socket พบแพ็กเกจ NuGet ประสงค์ร้ายชื่อ Sicoob.Sdk ปลอมเป็น SDK ทางการของธนาคาร Sicoob ในบราซิล ลอบขโมยใบรับรอง PFX พร้อมรหัสผ่านและ client ID ของนักพัฒนาแล้วส่งออกไปยัง Sentry ซึ่งเป็นแพลตฟอร์มมอนิเตอร์ที่น่าเชื่อถือ เพื่อให้กลมกลืนกับ telemetry ปกติและหลบการตรวจจับ แพ็กเกจปล่อยหลายเวอร์ชัน 2.0.0–2.0.4 มียอดดาวน์โหลด 484 ครั้งก่อนถูกถอด เป็นการโจมตี supply chain ที่ repo GitHub ดูสะอาดแต่ binary ถูกฝังโค้ดร้าย

MuddyWater ใช้ DLL Side-Loading จารกรรม 9 องค์กรใน 9 ประเทศ — โจมตีผู้ผลิตในอาเซียนด้วย

muddywater seedworm dll side-loading espionage campaign targeting nine countries
Symantec และ Carbon Black เปิดเผยว่ากลุ่มแฮ็กเกอร์อิหร่าน MuddyWater (Seedworm) โจมตีอย่างน้อย 9 องค์กรใน 9 ประเทศ 4 ทวีปช่วงไตรมาสแรกปี 2026 รวมถึงผู้ผลิตอุตสาหกรรมในเอเชียตะวันออกเฉียงใต้และสนามบินในตะวันออกกลาง ใช้เทคนิค DLL side-loading ผ่านไฟล์ที่เซ็นรับรองถูกต้องของ Fortemedia และ SentinelOne เพื่อรันมัลแวร์และฝัง ChromElevator ขโมยรหัสผ่าน คุกกี้ และข้อมูลบัตรจากเบราว์เซอร์ เลี่ยงการตรวจจับ

Laravel-Lang ถูกโจมตี Supply Chain — แฮ็กเกอร์ยึด GitHub Repo 700 แห่ง ฝัง Backdoor ใน 233 เวอร์ชัน ขโมย Credential นักพัฒนา

Laravel-Lang supply chain attack 233 versions compromised
นักวิจัยจาก Socket และ Aikido เปิดเผยการโจมตี supply chain ต่อระบบนิเวศ Laravel-Lang ที่ฝัง backdoor สำหรับขโมย credential ลงใน 233 เวอร์ชันของแพ็กเกจผ่าน GitHub repository 700 แห่ง ผู้โจมตีใช้เทคนิคปลอม Git tag ชี้ไปยัง fork ที่มีมัลแวร์ ทำให้นักพัฒนาที่ติดตั้งผ่าน Composer ได้รับ payload ที่ขโมย AWS keys, SSH keys, database credentials และอื่นๆ

เว็บปลอม Gemini CLI และ Claude Code แพร่ Infostealer ผ่าน SEO Poisoning — ขโมย Session ของ Slack, Teams, Zoom และอีกหลายแพลตฟอร์ม

Fake Gemini CLI and Claude Code sites spread infostealers via SEO poisoning
นักวิจัยจาก EclecticIQ เปิดเผยแคมเปญที่สร้างเว็บไซต์ปลอมของ Google Gemini CLI และ Anthropic Claude Code แล้วใช้ SEO poisoning ดันให้ขึ้นอันดับแรกในผลค้นหา เมื่อเหยื่อรัน PowerShell command ที่แสดงบนหน้าเว็บปลอม จะดาวน์โหลด infostealer ที่ทำงานในหน่วยความจำ ขโมย session cookies ของ Slack, Teams, Zoom, Discord และข้อมูลเบราว์เซอร์

GitHub Actions ถูกโจมตี Supply Chain — แฮ็กเกอร์เปลี่ยน Tag ชี้ไปโค้ดอันตราย ขโมย Credentials จาก CI/CD Pipeline

GitHub Actions supply chain attack stealing CI/CD credentials
GitHub Action ยอดนิยม actions-cool/issues-helper ถูกโจมตีแบบ supply chain โดยแฮ็กเกอร์เปลี่ยน tag ทุกตัวให้ชี้ไป imposter commit ที่ฝังโค้ดอันตราย เมื่อ workflow ทำงานจะดาวน์โหลด Bun runtime อ่านหน่วยความจำของ Runner.Worker เพื่อขโมย credentials แล้วส่งข้อมูลออกไปยังเซิร์ฟเวอร์ของผู้โจมตีผ่าน HTTPS

APT28 แฮ็ก Router บ้าน-ออฟฟิศ 18,000 เครือข่าย — ดูด Microsoft Office Token โดยไม่ต้องลงมัลแวร์

APT28 Russia SOHO Router DNS Hijacking Microsoft Office Token Theft
กลุ่ม APT28 (Fancy Bear) ของหน่วยข่าวกรองทหารรัสเซีย GRU ใช้ช่องโหว่ที่รู้กันอยู่แล้วใน router รุ่นเก่าของ Mikrotik และ TP-Link เปลี่ยนค่า DNS ให้ชี้ไปยังเซิร์ฟเวอร์ที่ควบคุม ดูด authentication token ของ Microsoft Office จากผู้ใช้กว่า 18,000 เครือข่ายทั่วโลกโดยไม่ต้องติดตั้งมัลแวร์ใด ๆ Microsoft ระบุว่าพบองค์กรกว่า 200 แห่งและอุปกรณ์ผู้บริโภค 5,000 เครื่องที่ได้รับผลกระทบ