ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

4 ข่าว

APT-C-20 (APT28) ซ่อนเชลล์โค้ดในภาพ PNG ปล่อยแบ็กดอร์ C# แบบไร้ไฟล์

apt28 apt malware backdoor fancy bear hackers hide shellcode
กลุ่มแฮ็กเกอร์ APT-C-20 หรือที่รู้จักในชื่อ APT28 (Fancy Bear) ซ่อนเชลล์โค้ดไว้ในไฟล์ภาพ PNG เพื่อปล่อยแบ็กดอร์ที่เขียนด้วยภาษา C# แบบไร้ไฟล์ (fileless) โดยเริ่มจากเอกสาร Word ที่ฝังมาโคร ปลอมเป็นไฟล์ด้านกลาโหมของรัฐบาลยุโรปตะวันออก อาศัยเทคนิค COM hijacking และ steganography ซ่อนโค้ด ทำให้แอนติไวรัสตรวจจับได้ยาก และสื่อสารกับผู้โจมตีผ่านบริการคลาวด์ Filen.io

แฮ็กเกอร์ใช้ VLC ปลอมและ libvlc.dll อันตราย ฝัง ValleyRAT ผ่านอีเมลฟิชชิง

Fake VLC executable and malicious libvlc.dll deploy ValleyRAT
LevelBlue เปิดโปงแคมเปญที่ซ่อนมัลแวร์ ValleyRAT ไว้ในโปรแกรม VLC ที่คนไว้ใจ ผู้โจมตีส่งอีเมลฟิชชิงเรื่องโยกย้ายบุคลากรหรือปรับเงินเดือน หลอกให้โหลด ZIP ที่มี VLC.exe ของจริงคู่กับ libvlc.dll อันตราย ใช้ DLL side-loading โหลดโค้ดร้าย รันแบบ fileless ในหน่วยความจำ พุ่งเป้าผู้ใช้ที่พูดภาษาจีนและญี่ปุ่น กิจกรรมเพิ่มเกือบเท่าตัวในปี 2026

ตัวติดตั้ง Claude Code ปลอมบน Google Sites — ใช้ ClickFix + Steganography รันมัลแวร์ในหน่วยความจำ ขโมย credential

Fake Claude Code installer via Google Sites delivers credential-stealing malware
บริษัท ANY.RUN เปิดเผยแคมเปญ ClickFix ที่ใช้หน้าปลอมเลียนแบบ Claude Code และ OpenAI Codex โฮสต์บน Google Sites ที่น่าเชื่อถือ หลอกให้ผู้ใช้รันคำสั่ง mshta เพื่อ ‘ติดตั้ง’ จากนั้น PowerShell หลายขั้นจะทำงานในหน่วยความจำ ดึง payload ที่ซ่อนในรูปด้วย steganography แล้วรัน shellcode โดยไม่แตะดิสก์ ขโมยรหัสผ่านเบราว์เซอร์ อีเมล และข้อมูล wallet คริปโต เป้าหมายหลักคือนักพัฒนาที่คุ้นเคยกับการติดตั้งผ่าน command line จึงทำตามคำสั่งโดยไม่ลังเล

JS.MonoGlyphRAT — แฮ็กเกอร์ใช้ใบสั่งซื้อปลอมส่งมัลแวร์ JavaScript ที่ AV ตรวจไม่เจอ เจาะองค์กรสหรัฐฯ

Hackers use fake purchase orders to deploy JS.MonoGlyphRAT targeting US enterprises
บริษัท ANY.RUN เปิดเผยมัลแวร์ใหม่ JS.MonoGlyphRAT ที่ปลอมเป็นเอกสารธุรกิจอย่างใบสั่งซื้อหรือใบเสนอราคา ส่งเป็นไฟล์ JavaScript แนบอีเมลฟิชชิง เมื่อพนักงานเปิด ผู้โจมตีได้เข้าถึงเครือข่ายแบบถาวร จุดเด่นคือใช้ obfuscation สร้างชื่อตัวแปรจากอักขระซ้ำสลับพิมพ์เล็กใหญ่ ทำให้อ่านโค้ดยากมาก และยังขึ้นเป็น Unknown malware บน VirusTotal/ThreatFox ทำให้ AV แบบ signature ตรวจไม่เจอ มุ่งเป้าองค์กรสหรัฐฯ ในภาคเทคโนโลยี MSSP โทรคมนาคม การศึกษา พบในเยอรมนี สวีเดน ออสเตรเลียด้วย