ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

5 ข่าว

กลุ่ม Armored Likho โจมตีหน่วยงานรัฐและภาคพลังงานด้วย BusySnake Stealer — ใช้ช่องโหว่ LNK CVE-2025-9491 และ AI ช่วยสร้างมัลแวร์

armored likho busysnake stealer espionage kaspersky government power sector
บริษัท Kaspersky เปิดเผยกลุ่มภัยคุกคามใหม่ชื่อ Armored Likho ที่โจมตีหน่วยงานรัฐและภาคไฟฟ้าในรัสเซีย บราซิล และคาซัคสถาน ผสมเป้าหมายจารกรรมกับการขโมยเงิน กลุ่มนี้ใช้มัลแวร์ขโมยข้อมูลตัวใหม่ชื่อ BusySnake ที่เขียนด้วย Python พร้อมใช้ช่องโหว่ LNK CVE-2025-9491 และมีร่องรอยว่าใช้ AI ช่วยสร้างโค้ดโหลดเดอร์ เชื่อมโยงกับกลุ่ม Eagle Werewolf

ToddyCat ปล่อยมัลแวร์ Umbrij ฉวย OAuth เจาะ Gmail ผ่าน Google API

ToddyCat-linked Umbrij malware abuses OAuth to access Gmail via Google API
บริษัท Kaspersky เผยกลุ่ม APT ToddyCat พัฒนามัลแวร์ใหม่ชื่อ Umbrij ที่ฉวยโปรโตคอล OAuth 2.0 เจาะ Gmail ขององค์กรผ่าน Google API ด้วยเทคนิค Shadow Token via Remote Debug (STRD) โดยเปิดเบราว์เซอร์ Chromium ในโหมด headless แล้วเชื่อมผ่าน remote debugging port เพื่อฉวยเซสชัน Gmail ที่ล็อกอินอยู่ ดึง OAuth token ไปเข้าถึงอีเมลองค์กร มัลแวร์ถูกปล่อยผ่าน DLL side-loading จากไบนารีที่ถูกต้อง 3 ตัว

เว็บซอฟต์แวร์ปลอมดัน SEO หลอกโหลด — ฝัง ScreenConnect ปล่อย AsyncRAT ทั่วโลก 90+ โดเมน

SEO poisoned fake software sites deploy ScreenConnect and AsyncRAT
Kaspersky เปิดโปงแคมเปญขนาดใหญ่หลายภาษาที่ใช้เว็บปลอมเลียนแบบซอฟต์แวร์ยอดนิยมอย่าง OBS Studio, Bandicam, DS4Windows ดัน SEO ขึ้นอันดับต้นของ Google และ Bing เพื่อหลอกให้เหยื่อโหลดไฟล์ติดตั้งที่ฝังมัลแวร์ ใช้ DLL side-loading ติดตั้ง ScreenConnect แล้วปล่อย AsyncRAT พบกว่า 90 โดเมนใน 10 ภาษา เหยื่อมีทั้งบุคคลทั่วไปและองค์กร

มัลแวร์ใหม่ SharkLoader ปล่อย Cobalt Strike ในปฏิบัติการ StrikeShark โจมตีหน่วยงานรัฐในเอเชีย

New SharkLoader malware deploys Cobalt Strike in StrikeShark cyberattacks
Kaspersky เปิดเผยมัลแวร์ใหม่ SharkLoader ที่ทำหน้าที่เป็น loader ปล่อย Cobalt Strike Beacon ลงเครื่องเหยื่อ ภายใต้ปฏิบัติการชื่อ StrikeShark เชื่อว่าเป็นฝีมือผู้โจมตีพูดภาษาจีน เป้าหมายครอบคลุมหน่วยงานทูตในอินโดนีเซีย หน่วยงานรัฐไต้หวัน และบริษัทพัฒนาซอฟต์แวร์หลายประเทศ ใช้ช่องโหว่สาธารณะหลายรายการเจาะระบบ เช่น ProxyLogon, Openfire, GeoServer แล้วใช้เทคนิค Perfect DLL Hijacking โหลด Cobalt Strike เข้าหน่วยความจำเพื่อหลบการตรวจจับ

DAEMON Tools Supply Chain Attack — ตัวติดตั้งอย่างเป็นทางการถูกฝังมัลแวร์ กระทบไทยโดยตรง

DAEMON Tools Supply Chain Attack compromises official installers
ซอฟต์แวร์ DAEMON Tools Lite เวอร์ชัน Windows ถูกโจมตีแบบ supply chain ตั้งแต่วันที่ 8 เมษายน 2569 โดยผู้โจมตีฝังมัลแวร์ลงในตัวติดตั้งที่มีลายเซ็นดิจิทัลถูกต้องจากเว็บไซต์ทางการ Kaspersky พบว่ามีความพยายามติดมัลแวร์หลายพันครั้งใน 100 กว่าประเทศ แต่ backdoor ถูกส่งไปยังเป้าหมายเพียง 12 ระบบ รวมถึงหน่วยงานในประเทศไทย เบลารุส และรัสเซีย ผู้พัฒนาได้ออกเวอร์ชัน 12.6 แก้ไขปัญหาแล้ว