ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

5 ข่าว

Microsoft Defender เพิ่มการ Monitor RPC Protocol — จับการโจมตี Impacket, DCsync, Authentication Coercion ระดับ OpNum

Microsoft Defender now monitors RPC protocol abuse OpNum granularity lateral movement
บริษัท Microsoft ขยายความสามารถของ Defender ให้ monitor detect และ disrupt การโจมตีที่ abuse Remote Procedure Call (RPC) ซึ่งเป็น protocol หลักของ Windows ที่ผู้โจมตีใช้สำหรับ lateral movement, credential theft และ privilege escalation ผ่านการ integrate กับ Windows Filtering Platform ระดับ OpNum สามารถจับ Impacket, DCsync, Service Control Manager, Task Scheduler และ WMI ได้แม้ traffic จะถูก SMB3 encrypt

เครื่องมือของ red team ใหม่ชื่อ EDRChoker ใช้ QoS ของ Windows ในการบีบแบนด์วิดท์ทำให้ EDR agent ไม่สามารถเชื่อมต่อระบบได้ ทำให้ไม่พบความผิดปกติของการโจมตีระบบ

EDRChoker tool uses QoS to block EDR processes
เครื่องมือโอเพนซอร์ส red team ตัวใหม่ชื่อ EDRChoker เปิดเทคนิคใหม่ในการปิดการทำงาน EDR ที่เชื่อมต่อด้วยระบบคลาวด์ ไม่ใช่วิธีการ kill process หรือ Code Injection แต่ใช้วิธีบีบแบนด์วิดท์เครือข่ายของ process EDR ให้เหลือเกือบศูนย์ด้วย Policy-Based QoS ของ Windows ที่ 8 bps ทำให้ TLS handshake ทำไม่สำเร็จ ผลคือ EDR ตัดขาดจากเซิร์ฟเวอร์คลาวด์และไม่สามารถดำเนินการทำงานตามปกติได้ เทคนิคนี้ทำงานผ่าน pacer.sys ที่อยู่ลึกกว่าระดับ WFP ในสแตกเครือข่าย ทำให้หลบ detection rule ที่ตรวจจับการบล็อกแบบ WFP ได้

CVE-2026-35616: แฮ็กเกอร์เจาะ FortiClient EMS ส่งมัลแวร์ขโมยรหัสผ่านปลอมเป็นแพตช์ Fortinet

FortiClient EMS CVE-2026-35616 exploited to deploy credential stealer disguised as Fortinet patch
Arctic Wolf พบแคมเปญโจมตีช่องโหว่ร้ายแรง CVE-2026-35616 (CVSS 9.1) ใน FortiClient EMS เพื่อส่งมัลแวร์ขโมยรหัสผ่านปลอมเป็นแพตช์ Fortinet ช่องโหว่เป็นแบบ pre-authentication API bypass นำสู่ privilege escalation แฮ็กเกอร์ใช้เส้นทางจัดการ endpoint ของ EMS เองสั่ง PowerShell รันบนทุกเครื่องที่ควบคุม มัลแวร์ FortiEndpoint_Patch.exe ขโมยรหัสผ่าน คุกกี้ และข้อมูล autofill จากเบราว์เซอร์ Fortinet แก้ไขแล้วในเวอร์ชัน 7.4.7

Microsoft Defender for Endpoint ตัดเครือข่ายอัตโนมัติเมื่อตรวจพบ Ransomware — ไม่ต้องรอคนกด

Microsoft Defender for Endpoint automatically isolates compromised devices to stop ransomware spread
Microsoft Defender for Endpoint เพิ่มฟีเจอร์ Automatic Device Isolation ที่ตัดการเชื่อมต่อเครือข่ายของ endpoint ที่ถูกโจมตีทันทีเมื่อตรวจพบสัญญาณ ransomware หรือการบุกรุกระดับสูง โดยไม่ต้องรอให้เจ้าหน้าที่กดคำสั่ง ยังคงสื่อสารกับ Defender service เพื่อ telemetry และ SOC team ยังสามารถสั่ง release isolation ได้ตลอดเวลา

Trend Micro Apex One Zero-Day ถูกโจมตีจริง — CVE-2026-34926 ให้แฮ็กเกอร์ฝังโค้ดอันตรายแพร่กระจายไปทุก Endpoint ที่ Apex One ดูแล

Trend Micro Apex One zero-day CVE-2026-34926 exploited in the wild
Trend Micro ออกแพตช์แก้ไขช่องโหว่ zero-day CVE-2026-34926 ใน Apex One (on-premises) ที่ถูกโจมตีจริงแล้ว เป็นช่องโหว่ directory traversal บนเซิร์ฟเวอร์ที่ผู้โจมตีที่มี admin credentials สามารถฝังโค้ดอันตรายลงในตารางคำสั่ง แล้วแพร่กระจายไปยังทุก endpoint ที่ Apex One ดูแล CISA สั่งหน่วยงานรัฐบาลสหรัฐฯ แพตช์ภายใน 4 มิถุนายน