ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

6 ข่าว

หนังสือแจ้งภาษี ITR ปลอมของอินเดีย ปล่อย RAT สองตัวผ่านห่วงโซ่ติดมัลแวร์ 6 ขั้น

Fake Indian ITR notice delivers dual RAT malware through six-stage infection chain
บริษัท Cyderes เปิดเผยแคมเปญมัลแวร์ที่ใช้หนังสือแจ้งภาษีปลอมของกรมสรรพากรอินเดีย (ITR) หลอกเหยื่อให้ติดตั้ง RAT พร้อมกันสองตัว โดยข่มขู่เรื่องค่าปรับให้ดาวน์โหลดไฟล์ ผ่านหน้า Microsoft ปลอมก่อนโหลด ZIP ที่มี exe ของแท้กับ DLL อันตราย nvdaHelperRemote.dll ใช้เทคนิค DLL sideloading ห่วงโซ่ 6 ขั้นจบด้วยการฉีด Gh0st RAT (พอร์ต 6666) และ Quasar/AsyncRAT (พอร์ต 6351) เข้า svchost.exe แต่ละตัวต่อ C2 คนละเครื่องเป็นช่องสำรอง ใช้ polyglot JPEG และรันในหน่วยความจำหลบการตรวจจับ

กลุ่ม SilverFox ปล่อยมัลแวร์ ValleyRAT 8 สเตจ — ผสาน Go RAT, ตัวฆ่า AV และรูตคิตระดับเคอร์เนล

valleyrat rat malware cybersecurity av killer kernel rootkit
บริษัท Gen Threat Labs เปิดโปงแคมเปญมัลแวร์ ValleyRAT ของกลุ่ม SilverFox ที่ทำงานถึง 8 สเตจ ซ่อนเพย์โหลดในภาพ PNG ด้วย steganography ปิด AV และติดตั้งรูตคิตระดับเคอร์เนลที่รับคำสั่งจาก RAT เขียนด้วยภาษา Go มัลแวร์เริ่มด้วย DLL sideloading ผ่านโปรแกรมที่มีลายเซ็นถูกต้อง สลับที่อยู่กระเป๋าคริปโตในคลิปบอร์ด และขโมยข้อมูล Telegram แคมเปญยังทำงานอยู่ พร้อมตัวอย่าง polymorphic 13 ชุด

Mustang Panda ใช้ Zoho WorkDrive เป็นช่องทางสั่งการ โจมตีหน่วยงานรัฐอินเดีย

Mustang Panda uses Zoho WorkDrive as command channel in Indian government attacks
Acronis Threat Research Unit พบกลุ่มจารกรรม Mustang Panda ที่จีนหนุนหลัง รันสองแคมเปญโจมตีหน่วยงานรัฐและเป้าหมายด้านพลังงานน้ำของอินเดีย ใช้มัลแวร์ใหม่และเปลี่ยน Zoho WorkDrive บริการคลาวด์ที่ถูกต้องให้เป็นช่องทางสั่งการ ทำให้ทราฟฟิกดูเหมือนกิจกรรมคลาวด์ปกติ Acronis ตั้งชื่อเครื่องมือใหม่ 3 ตัวคือ SHARDLOADER, MINIRECON และ ZOHOMURK ทั้งสองแคมเปญมาในรูป ZIP ส่งผ่าน spear-phishing ทำงานช่วง 12-22 มิ.ย. 2026 เป้าหมายคือข่าวกรองด้านพลังงานน้ำและความสัมพันธ์กลาโหมอินเดีย-ไต้หวัน

มัลแวร์ใหม่ SharkLoader ปล่อย Cobalt Strike ในปฏิบัติการ StrikeShark โจมตีหน่วยงานรัฐในเอเชีย

New SharkLoader malware deploys Cobalt Strike in StrikeShark cyberattacks
Kaspersky เปิดเผยมัลแวร์ใหม่ SharkLoader ที่ทำหน้าที่เป็น loader ปล่อย Cobalt Strike Beacon ลงเครื่องเหยื่อ ภายใต้ปฏิบัติการชื่อ StrikeShark เชื่อว่าเป็นฝีมือผู้โจมตีพูดภาษาจีน เป้าหมายครอบคลุมหน่วยงานทูตในอินโดนีเซีย หน่วยงานรัฐไต้หวัน และบริษัทพัฒนาซอฟต์แวร์หลายประเทศ ใช้ช่องโหว่สาธารณะหลายรายการเจาะระบบ เช่น ProxyLogon, Openfire, GeoServer แล้วใช้เทคนิค Perfect DLL Hijacking โหลด Cobalt Strike เข้าหน่วยความจำเพื่อหลบการตรวจจับ

OnyxC2 — มัลแวร์ขโมยข้อมูลแบบ MaaS ราคา 250 ดอลลาร์ต่อเดือน โจมตีแอปกว่า 210 ตัว

OnyxC2 malware-as-a-service stealer targeting over 210 applications including browsers and crypto wallets
OnyxC2 คือมัลแวร์ขโมยข้อมูลแบบ Malware-as-a-Service (MaaS) ที่วางขายในราคา 250 ดอลลาร์ต่อเดือน สามารถโจมตีแอปพลิเคชันกว่า 210 ตัว รวมถึงเบราว์เซอร์ ส่วนขยาย กระเป๋าคริปโต และเครื่องมือ 2FA. เขียนด้วย C++ ผสม assembly และ mutate ทุก build ทำให้หลบ AV ได้เกือบ 100% โดย VirusTotal ตรวจไม่พบทั้งสอง build ที่วิเคราะห์. มัลแวร์แพร่กระจายผ่านแพ็กเกจตัวติดตั้งปลอมที่ใช้เทคนิค DLL sideloading โหลด DLL อันตรายขนาดกว่า 120 MB. จากเครื่องเหยื่อเพียงเครื่องเดียว ผู้โจมตีสามารถขโมยรหัสผ่าน 55 รายการ คุกกี้ 4,717 รายการ และข้อมูลบัตรเครดิต.

Mustang Panda ปล่อย PlugX RAT ผ่านห่วงโซ่ LNK และ PowerShell หลายชั้น — ปลอมอัปเดตเบราว์เซอร์ลวงเหยื่อ

Mustang Panda deploys PlugX RAT through multi-stage LNK and PowerShell attack chain
BlueCyber เปิดเผยแคมเปญของกลุ่ม Mustang Panda ที่รัฐจีนหนุนหลัง ใช้ PlugX RAT ผ่านห่วงโซ่การติดเชื้อมัลแวร์หลายชั้น เริ่มจากอัปเดตเบราว์เซอร์ปลอมสไตล์ Adobe Acrobat ดาวน์โหลดไฟล์ JPEG ที่แท้จริงเป็น MSI ซ่อนอยู่ ใช้ไบนารี G DATA AntiVirus ที่ถูกต้องทำ DLL sideloading โหลด payload ที่เข้ารหัส XOR+RC4 เข้าหน่วยความจำโดยไม่แตะดิสก์ เชื่อมต่อ C2 ที่ fruitbrat[.]com ผ่าน HTTPS ปลอมเป็นทราฟฟิก Microsoft Edge ฝังตัวถาวรผ่าน Run registry key