ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

30 ข่าว

EU และอังกฤษคว่ำบาตรครั้งแรกร่วมกัน — เล่นงานแฮ็กเกอร์ทหาร GRU รัสเซียและเครือข่าย FSB คุม Turla

europe hacking military rat gru russian gru
สหภาพยุโรป (EU) และสหราชอาณาจักรออกมาตรการคว่ำบาตรร่วมกันครั้งแรก เล่นงานบุคคลและองค์กรรัสเซียหลายสิบราย พร้อมกล่าวหารัสเซียว่าประสานเครือข่ายกลุ่มแฮ็กเกอร์ก่อเหตุโจมตีทั่วยุโรป EU ระบุชื่อหน่วย 16th Centre ของ FSB ว่าควบคุมกลุ่มภัยคุกคามหลายกลุ่มรวมถึง Turla ส่วนอังกฤษคว่ำบาตร 24 รายรวมนายทหาร GRU ระดับสูงและผู้เกี่ยวข้องกับมัลแวร์ Lumma Stealer ครอบคลุมปฏิบัติการจารกรรมโครงสร้างพื้นฐานสำคัญ

NSA เตือนองค์กรปิด Cisco Smart Install ด่วน — แฮ็กเกอร์รัสเซีย FSB Center 16 เล็งเจาะเราเตอร์โครงสร้างพื้นฐานสำคัญ

NSA urges organizations to disable Cisco Smart Install as Russian FSB hackers target routers
NSA พร้อมหน่วยงานพันธมิตร 17 ประเทศออกคำแนะนำร่วมด้านความมั่นคงปลอดภัย เตือนว่าแฮ็กเกอร์รัสเซียที่รัฐหนุนหลังยังคงโจมตีเราเตอร์และสวิตช์ที่ตั้งค่าไม่ปลอดภัย ระบุกลุ่ม FSB Center 16 อยู่เบื้องหลังการเจาะโครงสร้างพื้นฐานสำคัญทั้งกลาโหม พลังงาน การเงิน และสาธารณสุข จุดสำคัญคือช่องโหว่ CVE-2018-0171 (CVSS 9.8) ใน Cisco Smart Install ที่เปิดทางรันโค้ดจากระยะไกลผ่านพอร์ต TCP 4786 NSA แนะนำ 5 มาตรการ รวมถึงการปิด Smart Install ทั้งหมด เพราะแทบไม่มีการใช้งานที่จำเป็นในระบบจริง

Turla กลุ่มจารกรรมรัสเซียเจาะช่องโหว่ SharePoint เข้าถึงบัญชีผู้ใช้ในฝรั่งเศสหลายพันราย

Turla Russian espionage hackers exploit SharePoint flaw to access thousands of French user accounts
หน่วยงานฝรั่งเศส C4 และ CERT-FR เปิดรายงานการเจาะระบบโดยกลุ่มจารกรรมไซเบอร์ Turla ที่เชื่อมโยงกับหน่วยงานความมั่นคง FSB ของรัสเซีย กลุ่มนี้เคลื่อนไหวมากว่าสองทศวรรษ ขโมยข้อมูลอ่อนไหวจากหน่วยงานรัฐ การทูต กลาโหม กระบวนการยุติธรรม และบริษัทเทคโนโลยี ในปี 2019 Turla เจาะเซิร์ฟเวอร์ขององค์กรภาคยุติธรรมฝรั่งเศสผ่านช่องโหว่ Microsoft SharePoint อาจเข้าถึงข้อมูลบัญชีผู้ใช้หลายพันราย กลุ่มยังใช้เหยื่อรายย่อยเป็นจุดพักส่งต่อการโจมตี ทำให้ตรวจจับได้ยาก

แฮ็กเกอร์เชื่อมโยงจีนและอินเดียเจาะตำรวจปากีสถานกลุ่มเดียวกันนานกว่า 2 ปี ตำรวจบาลูจิสถานโดนหนักสุด

China and India linked hackers both targeted Balochistan Pakistani police
งานวิจัยใหม่จาก SentinelOne เผยว่ากลุ่มจารกรรมไซเบอร์ที่เชื่อมโยงกับทั้งจีนและอินเดียเจาะเครือข่ายตำรวจปากีสถานเงียบ ๆ นานกว่า 2 ปี ตั้งแต่กุมภาพันธ์ 2567 ถึงเมษายน 2569 โดยตำรวจบาลูจิสถานรับกระแสโจมตีหนักสุดจากทั้งสองฝ่าย ผู้โจมตีเข้าถึงเซิร์ฟเวอร์ฐานข้อมูลไบโอเมตริก แฟ้มคดี และประวัติบุคลากร นักวิจัยจัดกลุ่มการบุกรุกเป็น 4 คลัสเตอร์ตามมัลแวร์ PlugX, ShadowPad, Cobalt Strike และ Remcos และยังพบไฟล์อันตรายปลอมเป็นอัปเดตฝังบนระบบร้องเรียนสาธารณะของตำรวจ

APT-C-20 (APT28) ซ่อนเชลล์โค้ดในภาพ PNG ปล่อยแบ็กดอร์ C# แบบไร้ไฟล์

apt28 apt malware backdoor fancy bear hackers hide shellcode
กลุ่มแฮ็กเกอร์ APT-C-20 หรือที่รู้จักในชื่อ APT28 (Fancy Bear) ซ่อนเชลล์โค้ดไว้ในไฟล์ภาพ PNG เพื่อปล่อยแบ็กดอร์ที่เขียนด้วยภาษา C# แบบไร้ไฟล์ (fileless) โดยเริ่มจากเอกสาร Word ที่ฝังมาโคร ปลอมเป็นไฟล์ด้านกลาโหมของรัฐบาลยุโรปตะวันออก อาศัยเทคนิค COM hijacking และ steganography ซ่อนโค้ด ทำให้แอนติไวรัสตรวจจับได้ยาก และสื่อสารกับผู้โจมตีผ่านบริการคลาวด์ Filen.io

Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล

iran linked cavern manticore hackers use new cavern c2 framework to target israeli organizations
Check Point Research เปิดเผยว่ากลุ่มแฮ็กเกอร์อิหร่านในเครือกระทรวงข่าวกรอง (MOIS) ที่ชื่อ Cavern Manticore ใช้เฟรมเวิร์ก command-and-control ตัวใหม่ชื่อ Cavern โจมตีองค์กรไอทีและภาครัฐในอิสราเอล กลุ่มนี้อาศัยฟีเจอร์อัปเดตของ SysAid ทำ DLL side-loading โหลด Cavern Agent แล้วดึงโมดูล 5 ตัวมาขโมยไฟล์ ฐานข้อมูล และสอดแนม Active Directory จุดเด่นคือใช้รูปแบบคอมไพล์ .NET หลายชนิดเป็นเกราะกันการวิเคราะห์ มีความทับซ้อนกับ MuddyWater และ Lyceum

แคมเปญฟิชชิงปลอมใบแจ้งหนี้เปลี่ยน AnyDesk เป็นแบ็กดอร์ — Rare Werewolf จารกรรมอุตสาหกรรมการบิน ใช้ Scheduled Task ฝังตัวแล้วลบร่องรอย

phishing malware espionage ace anydesk anydesk phishing attack uses scheduled task persistence
นักวิจัยจาก Seqrite เปิดเผยแคมเปญฟิชชิงที่เปลี่ยนเครื่องมือรีโมตยอดนิยม AnyDesk ให้กลายเป็นแบ็กดอร์จารกรรมระยะยาว โจมตีองค์กรอุตสาหกรรมการบินและอวกาศในรัสเซีย ผู้โจมตีใช้อีเมลปลอมเป็นใบแจ้งหนี้แนบไฟล์ ZIP ใส่รหัสผ่านเลี่ยงการสแกน เมื่อเปิดจะติดตั้ง AnyDesk แบบไร้การควบคุมพร้อมรหัสผ่านที่ตั้งไว้ล่วงหน้า สร้าง scheduled task ปลอมเป็นงานอัปเดตเพื่อฝังตัว แล้วลบไฟล์และล็อกทั้งหมดเพื่อกลบร่องรอย พฤติกรรมเข้ากับกลุ่ม Rare Werewolf หรือ Librarian Ghouls

แฮ็กเกอร์คาดเชื่อมโยงจีน UNK_MassTraction เจาะ Roundcube โจมตีมหาวิทยาลัย — เปิดอีเมลก็ติด ขโมย credential ผ่าน IceCube

Suspected China-aligned UNK_MassTraction exploits Roundcube flaws against universities
บริษัท Proofpoint เปิดเผยกลุ่มจารกรรมที่คาดว่าเชื่อมโยงจีน UNK_MassTraction โจมตีเว็บเมล Roundcube ของภาควิชาฟิสิกส์และวิศวกรรมในมหาวิทยาลัยสหรัฐฯ และแคนาดา ใช้ช่องโหว่ XSS CVE-2024-42009 ที่เพียงเปิดอีเมลก็ถูกเจาะ ปล่อยมัลแวร์ IceCube ขโมย credential, 2FA และคุกกี้ แล้วต่อยอดช่องโหว่ RCE CVE-2025-49113 ฝัง web shell SquareShell หรือ VShell ในหน่วยความจำ นับเป็นครั้งแรกที่กลุ่มจีนถูกโยงกับการเจาะ Roundcube ซึ่งเดิมเป็นแนวถนัดของกลุ่มรัสเซีย

แฮ็กเกอร์จีนปลอมโปรแกรมยื่นภาษีของอินเดีย ปล่อย DcRAT ใน Operation DragonReturn

phishing china india ise dcrat deploy dcrat a
บริษัท Seqrite Labs เปิดโปงปฏิบัติการ DragonReturn ที่ต้องสงสัยว่าเป็นกลุ่มแฮ็กเกอร์เชื่อมโยงจีน เล็งเป้าผู้เสียภาษีและทีมการเงินองค์กรในอินเดีย ด้วยอีเมลฟิชชิงปลอมเป็นกรมสรรพากรอินเดีย หลอกให้ดาวน์โหลดโปรแกรมยื่นภาษีปลอมที่ sideload DLL อันตราย ฝังตัวเป็น Windows service แล้วปล่อย DcRAT ขโมยข้อมูล ตรวจพบครั้งแรก 18 พ.ค. 2026 พบร่องรอยทับซ้อนกับกลุ่ม Silver Fox ของจีน

กลุ่ม Armored Likho โจมตีหน่วยงานรัฐและภาคพลังงานด้วย BusySnake Stealer — ใช้ช่องโหว่ LNK CVE-2025-9491 และ AI ช่วยสร้างมัลแวร์

armored likho busysnake stealer espionage kaspersky government power sector
บริษัท Kaspersky เปิดเผยกลุ่มภัยคุกคามใหม่ชื่อ Armored Likho ที่โจมตีหน่วยงานรัฐและภาคไฟฟ้าในรัสเซีย บราซิล และคาซัคสถาน ผสมเป้าหมายจารกรรมกับการขโมยเงิน กลุ่มนี้ใช้มัลแวร์ขโมยข้อมูลตัวใหม่ชื่อ BusySnake ที่เขียนด้วย Python พร้อมใช้ช่องโหว่ LNK CVE-2025-9491 และมีร่องรอยว่าใช้ AI ช่วยสร้างโค้ดโหลดเดอร์ เชื่อมโยงกับกลุ่ม Eagle Werewolf