ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

7 ข่าว

Microsoft แกะมัลแวร์ทำลายล้าง 'GigaWiper' — รวมไวเปอร์ล้างดิสก์ แรนซัมแวร์ปลอม และสปายแวร์ในตัวเดียว โยงกลุ่มอิหร่าน

Microsoft dissects GigaWiper Windows backdoor linked to Iran-nexus group
บริษัท Microsoft แกะมัลแวร์ทำลายล้างบน Windows ชื่อ GigaWiper ที่รวมเครื่องมือทำลายเก่า 3 ตัวไว้เป็นแพลตฟอร์มเดียวให้ผู้โจมตีเลือกสั่งได้ ทั้งล้างดิสก์ทั้งลูก เขียนทับไดรฟ์ Windows และแรนซัมแวร์ปลอมที่ไม่เคยเก็บกุญแจ นอกจากนี้ยังแอบดูจอ อัดหน้าจอ และเปิด VNC ซ่อน โดยปลอมตัวเป็น OneDrive และส่งข้อมูลผ่าน RabbitMQ/Redis/MinIO ไฟล์ชุดเดียวกันถูก Binary Defense เรียกว่า BLUERABBIT และโยงกับกลุ่มอิหร่าน CyberAv3ngers ที่เชื่อมโยงกับ IRGC

Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล

iran linked cavern manticore hackers use new cavern c2 framework to target israeli organizations
Check Point Research เปิดเผยว่ากลุ่มแฮ็กเกอร์อิหร่านในเครือกระทรวงข่าวกรอง (MOIS) ที่ชื่อ Cavern Manticore ใช้เฟรมเวิร์ก command-and-control ตัวใหม่ชื่อ Cavern โจมตีองค์กรไอทีและภาครัฐในอิสราเอล กลุ่มนี้อาศัยฟีเจอร์อัปเดตของ SysAid ทำ DLL side-loading โหลด Cavern Agent แล้วดึงโมดูล 5 ตัวมาขโมยไฟล์ ฐานข้อมูล และสอดแนม Active Directory จุดเด่นคือใช้รูปแบบคอมไพล์ .NET หลายชนิดเป็นเกราะกันการวิเคราะห์ มีความทับซ้อนกับ MuddyWater และ Lyceum

กลุ่มแฮ็กเกอร์อิหร่าน Handala อ้างแฮ็กระบบน้ำประปาแคลิฟอร์เนีย — ปล่อยข้อมูล 5 GB

Iranian Handala hackers claim Cal Water breach leaking 5GB data including PII and RTKBase credentials
กลุ่มแฮ็กเกอร์ Handala ที่เชื่อมโยงกับหน่วยข่าวกรอง MOIS ของอิหร่านอ้างว่าเจาะระบบของบริษัท California Water Service (Cal Water) สาธารณูปโภคน้ำประปาที่ใหญ่ที่สุดแห่งหนึ่งของสหรัฐฯ และเผยแพร่ข้อมูลขนาด 5 GB. ข้อมูลที่รั่วไหลประกอบด้วยข้อมูลส่วนบุคคลของลูกค้า ประวัติการชำระเงิน และ credentials ของระบบ RTKBase. การวิเคราะห์โดย Dataminr ชี้ว่าผู้โจมตีน่าจะเจาะเข้าผ่านแพลตฟอร์ม RTKBase แล้วเคลื่อนย้ายไปยังระบบเรียกเก็บเงิน. กลุ่ม Handala เป็นที่รู้จักในเรื่องความสามารถด้านมัลแวร์ wiper และมีชื่อเรียกอื่น ๆ เช่น Void Manticore และ Banished Kitten.

Handala อ้างแฮ็กระบบเรดาร์ทหารอิสราเอล — แต่หลักฐานชี้แค่ admin panel ของระบบโทรศัพท์ Tadiran Aeonix

Handala claims Israeli radar hack but evidence shows Tadiran Aeonix phone admin panel
กลุ่ม Handala ที่เชื่อมโยงอิหร่านอ้างผ่าน Telegram ว่าโจมตีระบบเรดาร์ทหารอิสราเอลและเทศบาล Kfar Yona ตรงกับวันที่อิสราเอลและอิหร่านยิงขีปนาวุธโต้กลับหลังหยุดยิง 2 เดือน บริษัท SOCRadar ตรวจสอบหลักฐานแล้วพบว่าเป็นเพียง screenshot ของ IVR admin panel ของระบบโทรศัพท์ Tadiran Telecom Aeonix Auto Attendant ไม่ใช่ระบบเรดาร์ทหารตามที่อ้าง

Screening Serpens — แฮ็กเกอร์อิหร่านใช้ AppDomainManager Hijacking หลบ EDR โจมตีอุตสาหกรรมป้องกันประเทศ

Iranian hackers Screening Serpens abuse AppDomainManager hijacking to evade EDR detection
Unit 42 เปิดเผยแคมเปญจารกรรมไซเบอร์ของกลุ่ม Screening Serpens (UNC1549/Smoke Sandstorm) ที่เพิ่มความซับซ้อนด้วยเทคนิค AppDomainManager Hijacking เพื่อหลบเลี่ยง EDR โดยรันโค้ดอันตรายก่อนที่แอปพลิเคชัน .NET จะโหลดเสร็จ กลุ่มนี้พัฒนา RAT ใหม่ 6 ตัวระหว่างกุมภาพันธ์ถึงเมษายน 2569 มุ่งเป้าองค์กรด้านอวกาศ การป้องกันประเทศ และโทรคมนาคมในสหรัฐฯ อิสราเอล และสหรัฐอาหรับเอมิเรตส์ โดยใช้ fake job listing และคำเชิญประชุมปลอมเป็นเหยื่อล่อ

MuddyWater ใช้ DLL Side-Loading จารกรรม 9 องค์กรใน 9 ประเทศ — โจมตีผู้ผลิตในอาเซียนด้วย

muddywater seedworm dll side-loading espionage campaign targeting nine countries
Symantec และ Carbon Black เปิดเผยว่ากลุ่มแฮ็กเกอร์อิหร่าน MuddyWater (Seedworm) โจมตีอย่างน้อย 9 องค์กรใน 9 ประเทศ 4 ทวีปช่วงไตรมาสแรกปี 2026 รวมถึงผู้ผลิตอุตสาหกรรมในเอเชียตะวันออกเฉียงใต้และสนามบินในตะวันออกกลาง ใช้เทคนิค DLL side-loading ผ่านไฟล์ที่เซ็นรับรองถูกต้องของ Fortemedia และ SentinelOne เพื่อรันมัลแวร์และฝัง ChromElevator ขโมยรหัสผ่าน คุกกี้ และข้อมูลบัตรจากเบราว์เซอร์ เลี่ยงการตรวจจับ

Nimbus Manticore โจมตี 3 ระลอกไม่หยุด — MiniFast, MiniJunk V2, SEO Poisoning และ ATG Gas Station ในสหรัฐฯ

Iranian APT Nimbus Manticore deploys MiniFast MiniJunk V2 SEO poisoning and attacks US gas station ATG systems
Check Point Research และ Palo Alto Networks Unit 42 รายงานว่า Nimbus Manticore (UNC1549/IRGC) เร่งปฏิบัติการโจมตี 3 ระลอกต่อเนื่องตั้งแต่กุมภาพันธ์–เมษายน 2569 ใช้ MiniJunk ผ่าน AppDomain Hijacking, MiniFast ผ่าน Zoom ปลอม และ SEO Poisoning ผ่านไซต์ getsqldeveloper[.]com รวมถึง MiniJunk V2 โจมตีบริษัท Oil & Gas ในสหรัฐฯ และพบร่องรอยโจมตีระบบ ATG reader ในปั๊มน้ำมันหลายรัฐ โค้ด MiniFast มีรูปแบบบ่งชี้ว่าพัฒนาด้วย AI เพื่อเร่งปฏิบัติการในช่วงสงคราม