ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

80 ข่าว

แคมเปญฟิชชิงปลอมใบแจ้งหนี้เปลี่ยน AnyDesk เป็นแบ็กดอร์ — Rare Werewolf จารกรรมอุตสาหกรรมการบิน ใช้ Scheduled Task ฝังตัวแล้วลบร่องรอย

phishing malware espionage ace anydesk anydesk phishing attack uses scheduled task persistence
นักวิจัยจาก Seqrite เปิดเผยแคมเปญฟิชชิงที่เปลี่ยนเครื่องมือรีโมตยอดนิยม AnyDesk ให้กลายเป็นแบ็กดอร์จารกรรมระยะยาว โจมตีองค์กรอุตสาหกรรมการบินและอวกาศในรัสเซีย ผู้โจมตีใช้อีเมลปลอมเป็นใบแจ้งหนี้แนบไฟล์ ZIP ใส่รหัสผ่านเลี่ยงการสแกน เมื่อเปิดจะติดตั้ง AnyDesk แบบไร้การควบคุมพร้อมรหัสผ่านที่ตั้งไว้ล่วงหน้า สร้าง scheduled task ปลอมเป็นงานอัปเดตเพื่อฝังตัว แล้วลบไฟล์และล็อกทั้งหมดเพื่อกลบร่องรอย พฤติกรรมเข้ากับกลุ่ม Rare Werewolf หรือ Librarian Ghouls

กลุ่ม SilverFox ปล่อยมัลแวร์ ValleyRAT 8 สเตจ — ผสาน Go RAT, ตัวฆ่า AV และรูตคิตระดับเคอร์เนล

valleyrat rat malware cybersecurity av killer kernel rootkit
บริษัท Gen Threat Labs เปิดโปงแคมเปญมัลแวร์ ValleyRAT ของกลุ่ม SilverFox ที่ทำงานถึง 8 สเตจ ซ่อนเพย์โหลดในภาพ PNG ด้วย steganography ปิด AV และติดตั้งรูตคิตระดับเคอร์เนลที่รับคำสั่งจาก RAT เขียนด้วยภาษา Go มัลแวร์เริ่มด้วย DLL sideloading ผ่านโปรแกรมที่มีลายเซ็นถูกต้อง สลับที่อยู่กระเป๋าคริปโตในคลิปบอร์ด และขโมยข้อมูล Telegram แคมเปญยังทำงานอยู่ พร้อมตัวอย่าง polymorphic 13 ชุด

แฮ็กเกอร์ปลอมเป็นทีมไอทีโทรผ่าน Microsoft Teams หลอกติดตั้งมัลแวร์ EtherRAT — ใช้สัญญาอัจฉริยะ Ethereum ซ่อนเซิร์ฟเวอร์ควบคุม

fake it support microsoft teams call pushing etherrat malware
บริษัท Palo Alto Networks (Unit 42) เปิดเผยแคมเปญที่ปลอมเป็นทีมไอทีซัพพอร์ตโทรผ่าน Microsoft Teams หลอกพนักงานให้ติดตั้งมัลแวร์ EtherRAT ผู้โจมตีเริ่มจากอีเมลฟิชชิงแนบ PDF แล้วโทรจากบัญชีภายนอกอ้างเป็นผู้ดูแลระบบ ก่อนหลอกให้เปิดสิทธิ์ควบคุมเครื่องและติดตั้งเครื่องมือรีโมตจริงอย่าง AnyDesk สุดท้ายรัน EtherRAT ที่ใช้สัญญาอัจฉริยะ Ethereum ซ่อนเซิร์ฟเวอร์ควบคุมสั่งการ ทำให้ปิดกั้นได้ยาก

PamStealer มัลแวร์ macOS ตัวใหม่ ปลอมเว็บ Maccy หลอกขโมยรหัสผ่านผ่าน PAM

pam apple cybersecurity git applescript jamf threat labs
Jamf Threat Labs พบมัลแวร์ขโมยข้อมูลบน macOS ตัวใหม่ชื่อ PamStealer ที่ปลอมเป็นแอป Maccy โปรแกรมจัดการคลิปบอร์ดโอเพนซอร์ส แจกผ่านเว็บปลอม maccyapp.com ในรูปไฟล์ AppleScript ที่ซ่อนโค้ดใต้บรรทัดว่าง ทำงานได้แม้ไฟล์ยังติด quarantine ใช้ PAM ตรวจสอบรหัสผ่านเหยื่อก่อนขโมย และดึงเพย์โหลด Rust ขโมยข้อมูลเบราว์เซอร์ กระเป๋าคริปโต และ iCloud Keychain

SharkLoader มัลแวร์ใหม่ปลอมเป็นตัวติดตั้ง Cisco AnyConnect และ Google Update ส่ง Cobalt Strike

sharkloader malware cisco cybersecurity anyconnect cobalt strike beacon
นักวิจัยจาก PolySwarm เปิดโปงมัลแวร์ loader ตัวใหม่ชื่อ SharkLoader ที่ซ่อนในตัวติดตั้งปลอมของ Cisco AnyConnect และ Google Update เพื่อส่ง Cobalt Strike Beacon กลุ่ม StrikeShark ใช้ทั้งเจาะช่องโหว่ Exchange, SharePoint, Fortinet, Cisco IOS XE และ dropper ปลอม อาศัย DLL side loading ผ่าน SystemSettings.exe รันในหน่วยความจำเพื่อหลบการตรวจจับ พบเหยื่อในหน่วยงานรัฐและคณะทูตหลายประเทศรวมถึงในเอเชีย

แคมเปญ PolinRider กลุ่มเกาหลีเหนือฝัง JavaScript Loader ในคลัง Open Source กว่า 100 แพ็กเกจ

north korea javascript supply chain cybersecurity linked hackers hide javascript loaders north korea
นักวิจัยจาก Socket.dev เปิดโปงแคมเปญ PolinRider ที่เชื่อมโยงกลุ่มเกาหลีเหนือ Contagious Interview/Famous Chollima ซ่อน JavaScript loader ในคลังโค้ด open source พบ 162 artifact ใน 108 แพ็กเกจทั้ง npm, Packagist, Go modules และ Chrome extension มัลแวร์ปลอมเป็นไฟล์ฟอนต์ woff2 ดึงเพย์โหลด DEV#POPPER และ OmniStealer ขโมยข้อมูลรับรองและกระเป๋าคริปโต โดยเล็งเป้าที่ตัวนักพัฒนาโดยตรง

มัลแวร์ Ousaban กลับมา — ใช้ PDF ฟิชชิงและ VBS หลอกลูกค้าธนาคารสเปน-โปรตุเกส

Ousaban banking malware phishing PDF and VBS downloader campaign
FortiGuard Labs เปิดโปงแคมเปญ Ousaban แบงกิงโทรจันสายบราซิลที่กลับมาโจมตีลูกค้าธนาคารในสเปนและโปรตุเกส เริ่มจาก PDF ฟิชชิงที่อ้างว่าไฟล์เสียหายให้กดปุ่ม Update เปิดหน้าเว็บปลอมพอร์ทัลภาษี ใช้ geofencing กรองเหยื่อ ซ่อนเพย์โหลดในภาพด้วย steganography จับเป้ากว่า 24 ธนาคารรวม Santander, BBVA, CaixaBank ขโมยรหัสผ่านผ่านหน้าจอปลอมและคีย์ล็อกเกอร์

ChocoPoC RAT ตัวใหม่ ล่านักวิจัยช่องโหว่ผ่านรีโป PoC ปลอมบน GitHub

rat malware vulnerability browser chocopoc cves
YesWeHack และ Sekoia เปิดโปงโทรจันขโมยข้อมูลตัวใหม่ชื่อ ChocoPoC ที่ซ่อนอยู่ในโค้ด PoC ปลอมบน GitHub ซึ่งอ้างว่าเจาะ CVE ดัง ๆ เมื่อรัน มันจะขโมยรหัสผ่าน คุกกี้เบราว์เซอร์ และไฟล์ แล้วเปิด shell ให้แฮ็กเกอร์ มัลแวร์ซ่อนในแพ็กเกจ Python ที่ PoC ดึงมาเป็น dependency ทำให้ผ่านการรีวิวโค้ด พบรีโปปลอมอย่างน้อย 7 แห่งผูกกับช่องโหว่ดัง แพ็กเกจ skytext ถูกดาวน์โหลดราว 2,400 ครั้ง นักวิจัยเตือนอย่ารันโค้ดเหล่านี้

ToddyCat ปล่อยมัลแวร์ Umbrij ฉวย OAuth เจาะ Gmail ผ่าน Google API

ToddyCat-linked Umbrij malware abuses OAuth to access Gmail via Google API
บริษัท Kaspersky เผยกลุ่ม APT ToddyCat พัฒนามัลแวร์ใหม่ชื่อ Umbrij ที่ฉวยโปรโตคอล OAuth 2.0 เจาะ Gmail ขององค์กรผ่าน Google API ด้วยเทคนิค Shadow Token via Remote Debug (STRD) โดยเปิดเบราว์เซอร์ Chromium ในโหมด headless แล้วเชื่อมผ่าน remote debugging port เพื่อฉวยเซสชัน Gmail ที่ล็อกอินอยู่ ดึง OAuth token ไปเข้าถึงอีเมลองค์กร มัลแวร์ถูกปล่อยผ่าน DLL side-loading จากไบนารีที่ถูกต้อง 3 ตัว

เว็บซอฟต์แวร์ปลอมดัน SEO หลอกโหลด — ฝัง ScreenConnect ปล่อย AsyncRAT ทั่วโลก 90+ โดเมน

SEO poisoned fake software sites deploy ScreenConnect and AsyncRAT
Kaspersky เปิดโปงแคมเปญขนาดใหญ่หลายภาษาที่ใช้เว็บปลอมเลียนแบบซอฟต์แวร์ยอดนิยมอย่าง OBS Studio, Bandicam, DS4Windows ดัน SEO ขึ้นอันดับต้นของ Google และ Bing เพื่อหลอกให้เหยื่อโหลดไฟล์ติดตั้งที่ฝังมัลแวร์ ใช้ DLL side-loading ติดตั้ง ScreenConnect แล้วปล่อย AsyncRAT พบกว่า 90 โดเมนใน 10 ภาษา เหยื่อมีทั้งบุคคลทั่วไปและองค์กร