ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

27 ข่าว

Gaslight มัลแวร์ macOS ตัวใหม่ฝัง prompt injection หลอก AI ให้ล้มเลิกการวิเคราะห์ — ฝีมือกลุ่มเกาหลีเหนือ

Gaslight macOS malware uses prompt injection to disrupt AI-assisted analysis
นักวิจัยจาก SentinelOne พบมัลแวร์ macOS ตัวใหม่ชื่อ Gaslight ที่เขียนด้วยภาษา Rust ทำหน้าที่เป็นทั้ง implant และ infostealer เชื่อว่าเป็นฝีมือกลุ่มที่เชื่อมโยงกับเกาหลีเหนือ จุดเด่นคือการฝังข้อความ system ปลอม 38 ข้อความเพื่อทำ prompt injection หลอกเครื่องมือ AI ให้ล้มเลิกการวิเคราะห์ มัลแวร์ใช้ Telegram bot เป็นช่อง C2 และขโมยข้อมูลจากเบราว์เซอร์ Keychain และประวัติคำสั่ง Terminal

LokiBot กลับมาอีกครั้ง ใช้ไฟล์แนบ JScript, .NET injector และ process injection ขโมย credential จากกว่า 100 แอป

LokiBot campaign uses JScript attachment .NET injector and process injection to steal credentials
นักวิจัยจาก LevelBlue พบแคมเปญ LokiBot ระลอกใหม่ มัลแวร์ขโมย credential ที่เก่าแก่ที่สุดตัวหนึ่งซึ่งยังทำงานอยู่ ใช้ไฟล์แนบอีเมล JScript เป็นจุดเริ่มต้น ตามด้วย PowerShell, .NET injector และ process injection เข้าสู่ aspnet_compiler.exe เพื่อหลบการตรวจจับ LokiBot ขโมย credential จากกว่า 100 แอป ทั้งเบราว์เซอร์ กระเป๋าคริปโต อีเมลไคลเอนต์ และ FTP แล้วบีบอัดส่งไป C2 ผู้ใช้และองค์กรเสี่ยงถูกยึดบัญชีและขโมยข้อมูล

ระบบเตือนภัยฉุกเฉินบราซิลถูกแฮ็ก ส่งข้อความเตือนปลอมเข้ามือถือทั่วประเทศ — ต้นเหตุจากรหัสผ่านที่ไม่เปลี่ยนนาน 10 ปี

Suspected cyberattack sends fake emergency alert to phones across Brazil
ระบบเตือนภัยฉุกเฉินของบราซิลถูกปิดชั่วคราวหลังถูกสงสัยว่าโดนแฮ็ก ส่งข้อความเตือนปลอมคำว่า misantropi4 เข้ามือถือประชาชนหลายภูมิภาคในเช้าวันเสาร์ ข้อความแพร่จากรัฐ Parana ไปถึง Sao Paulo และ Rio de Janeiro ภายในไม่กี่นาที สาเหตุมาจากพนักงานรัฐติดมัลแวร์ infostealer ตั้งแต่ปี 2016 และไม่เคยเปลี่ยนรหัสผ่านนานกว่า 10 ปี อีกทั้งระบบยังไม่มี VPN ไม่มี MFA และ CAPTCHA ที่ถามคำถามเดิมตลอด

GhostShell มัลแวร์ใหม่เจาะอุตสาหกรรมโดรนยูเครน — ใช้ mTLS implant และ Telegram เป็น dead-drop

GhostShell malware mTLS implant Telegram dead-drop targets Ukrainian drone operations
นักวิจัย Synaptic Security เปิดโปงมัลแวร์คลัสเตอร์ใหม่ชื่อ GhostShell (MB-0009) ที่พุ่งเป้าอุตสาหกรรมโดรนและซัพพลายเชนกลาโหมยูเครน ส่งผ่านไฟล์ RAR ปลอมเอกสารบริษัท Besomar ที่ใช้ช่องโหว่ CVE-2025-8088/6218 ฝัง 3 payload ใช้ mutual TLS, ช่อง Telegram เป็น dead-drop resolver และอุโมงค์เข้ารหัสส่ง Vidar v2 ทำงานปฏิบัติการมาตั้งแต่ ก.พ. 2026

แฮ็กเกอร์ปลอมตัวติดตั้ง Node.js ผ่าน Google Ads — ปล่อยมัลแวร์ตัวใหม่ OXLOADER ส่ง CASTLESTEALER ขโมยข้อมูล

Hackers impersonate Node.js installer in Google Ads to deploy infostealer malware
แฮ็กเกอร์ใช้โฆษณา Google Ads ปลอมผลักดันตัวโหลดมัลแวร์ตัวใหม่ OXLOADER ที่ปลอมเป็นตัวติดตั้ง Node.js เล็งผู้ใช้ Windows ในสหรัฐ เพียงคลิกผลค้นหาแบบสปอนเซอร์ก็จะถูกเปลี่ยนทางผ่านโดเมนกลางไปดาวน์โหลดสคริปต์ batch อันตรายที่โฮสต์บนบริการคลาวด์ถูกกฎหมาย Elastic Security Labs พบแคมเปญนี้ส่ง infostealer ชื่อ CASTLESTEALER ที่ทำงานบนหน่วยความจำ มีอัตราการตรวจจับต่ำมาก

Microsoft โยงเหตุโจมตี Supply Chain ของ Mastra AI กับแฮ็กเกอร์เกาหลีเหนือ Sapphire Sleet — ฝัง malware ใน 140+ npm package

Microsoft links Mastra AI npm supply chain attack to North Korean hackers Sapphire Sleet
บริษัท Microsoft ระบุว่าเหตุโจมตี supply chain ของ Mastra AI ที่ทำให้ npm package กว่า 140 ตัวถูกบุกรุก เป็นฝีมือกลุ่มแฮ็กเกอร์รัฐบาลเกาหลีเหนือ Sapphire Sleet (BlueNoroff) ผู้โจมตียึดบัญชี maintainer ’ehindero’ แล้วปล่อยอัปเดตอันตรายในสโคป @mastra ที่ฝัง dependency ชื่อ easy-day-js ซึ่งเป็น typosquat ของ dayjs เมื่อติดตั้งจะรัน post-install hook ปล่อย infostealer ข้ามแพลตฟอร์มที่ขโมย credential, API key, token และเล็งกระเป๋าคริปโต 166 ตัว

แรนซัมแวร์ The Gentlemen แจก GentleKiller — ชุดเครื่องมือฆ่า EDR เล็ง 400 โปรเซสความปลอดภัยให้สมาชิกใช้ฟรี

The Gentlemen RaaS uses GentleKiller EDR killer framework targeting 400 security processes
บริษัท ESET เปิดโปงปฏิบัติการแรนซัมแวร์ The Gentlemen ที่พัฒนาชุดเครื่องมือฆ่า EDR ชื่อ GentleKiller แจกให้สมาชิก (affiliate) ใช้ปิดระบบป้องกันก่อนปล่อยตัวเข้ารหัส GentleKiller มี 8 รูปแบบ แต่ละแบบปลอมเป็นผลิตภัณฑ์ถูกกฎหมายและใช้เทคนิค BYOVD เล็งหา 400 โปรเซสจาก 48 โปรแกรมความปลอดภัย กลุ่มนี้อ้างเหยื่อ 504 รายส่วนใหญ่ในเอเชียตะวันออกเฉียงใต้ และยังพบ infostealer ชื่อ OxideHarvest ขโมยข้อมูลจากเบราว์เซอร์

แฮ็กเกอร์ใช้ Claude.ai shared chat เป็นแพลตฟอร์มหลอก ClickFix — ปลอม Apple Support และเครื่องมือ AI ติดตั้ง MacSync infostealer บน macOS

Hackers abuse Claude.ai shared chat for ClickFix attacks delivering MacSync infostealer
แฮ็กเกอร์ใช้ฟีเจอร์ shared chat ของ Claude.ai เป็นแพลตฟอร์มโฮสต์คำสั่ง ClickFix อันตราย โดยสร้างหน้า chat ปลอมที่ปลอมเป็น Apple Support หรือทีมพัฒนาซอฟต์แวร์ หลอกเหยื่อรันคำสั่ง terminal ที่ดาวน์โหลด MacSync infostealer บน macOS นักวิจัยจากบริษัท TrendAI พบ hostname อันตราย 106 รายการใน 6 wave ภายใน 7 สัปดาห์ เอเชียแปซิฟิกตกเป็นเป้ากว่า 67% โดยไต้หวันเป็นอันดับ 1

Amos Stealer มัลแวร์ขโมยข้อมูล macOS — ดึงรหัสผ่านจาก Keychain และเบราว์เซอร์อย่างเงียบเชียบ

Amos Stealer macOS Keychain browser password theft malware
CyberProof เปิดเผยรายละเอียดแคมเปญ Amos Stealer ที่เล็งเป้ามัลแวร์ขโมยข้อมูลบน macOS ดึงรหัสผ่านจาก Keychain, cookie และ autofill จาก Chrome และ Edge ใช้ curl ดาวน์โหลด payload แบบเงียบเชียบ บีบอัดข้อมูลด้วย ditto แล้วส่งออกผ่าน HTTP PUT พร้อม retry สูงสุด 8 ครั้ง

OnyxC2 — มัลแวร์ขโมยข้อมูลแบบ MaaS ราคา 250 ดอลลาร์ต่อเดือน โจมตีแอปกว่า 210 ตัว

OnyxC2 malware-as-a-service stealer targeting over 210 applications including browsers and crypto wallets
OnyxC2 คือมัลแวร์ขโมยข้อมูลแบบ Malware-as-a-Service (MaaS) ที่วางขายในราคา 250 ดอลลาร์ต่อเดือน สามารถโจมตีแอปพลิเคชันกว่า 210 ตัว รวมถึงเบราว์เซอร์ ส่วนขยาย กระเป๋าคริปโต และเครื่องมือ 2FA. เขียนด้วย C++ ผสม assembly และ mutate ทุก build ทำให้หลบ AV ได้เกือบ 100% โดย VirusTotal ตรวจไม่พบทั้งสอง build ที่วิเคราะห์. มัลแวร์แพร่กระจายผ่านแพ็กเกจตัวติดตั้งปลอมที่ใช้เทคนิค DLL sideloading โหลด DLL อันตรายขนาดกว่า 120 MB. จากเครื่องเหยื่อเพียงเครื่องเดียว ผู้โจมตีสามารถขโมยรหัสผ่าน 55 รายการ คุกกี้ 4,717 รายการ และข้อมูลบัตรเครดิต.