ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

80 ข่าว

Gaslight มัลแวร์ macOS ตัวใหม่ฝัง prompt injection หลอก AI ให้ล้มเลิกการวิเคราะห์ — ฝีมือกลุ่มเกาหลีเหนือ

Gaslight macOS malware uses prompt injection to disrupt AI-assisted analysis
นักวิจัยจาก SentinelOne พบมัลแวร์ macOS ตัวใหม่ชื่อ Gaslight ที่เขียนด้วยภาษา Rust ทำหน้าที่เป็นทั้ง implant และ infostealer เชื่อว่าเป็นฝีมือกลุ่มที่เชื่อมโยงกับเกาหลีเหนือ จุดเด่นคือการฝังข้อความ system ปลอม 38 ข้อความเพื่อทำ prompt injection หลอกเครื่องมือ AI ให้ล้มเลิกการวิเคราะห์ มัลแวร์ใช้ Telegram bot เป็นช่อง C2 และขโมยข้อมูลจากเบราว์เซอร์ Keychain และประวัติคำสั่ง Terminal

LokiBot กลับมาอีกครั้ง ใช้ไฟล์แนบ JScript, .NET injector และ process injection ขโมย credential จากกว่า 100 แอป

LokiBot campaign uses JScript attachment .NET injector and process injection to steal credentials
นักวิจัยจาก LevelBlue พบแคมเปญ LokiBot ระลอกใหม่ มัลแวร์ขโมย credential ที่เก่าแก่ที่สุดตัวหนึ่งซึ่งยังทำงานอยู่ ใช้ไฟล์แนบอีเมล JScript เป็นจุดเริ่มต้น ตามด้วย PowerShell, .NET injector และ process injection เข้าสู่ aspnet_compiler.exe เพื่อหลบการตรวจจับ LokiBot ขโมย credential จากกว่า 100 แอป ทั้งเบราว์เซอร์ กระเป๋าคริปโต อีเมลไคลเอนต์ และ FTP แล้วบีบอัดส่งไป C2 ผู้ใช้และองค์กรเสี่ยงถูกยึดบัญชีและขโมยข้อมูล

Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา

Shai-Hulud payload steals GitHub npm cloud CI/CD and SSH credentials from developers
นักวิจัยจาก JFrog Security Research พบ Shai-Hulud payload ที่พก Hades malware กลับมาอีกระลอก ฝังในแพ็กเกจ npm ที่พุ่งเป้านักพัฒนาสาย cloud และ serverless ขยายไปยังระบบนิเวศ Leo/RStreams ของ AWS เมื่อติดตั้งแพ็กเกจ payload จะขโมย credential จาก GitHub, npm, คลาวด์, CI/CD และ SSH ส่งไปยัง repository ของผู้โจมตี แพ็กเกจที่กระทบมียอดดาวน์โหลดราว 45,000 ครั้งต่อเดือน ใช้ไฟล์ binding.gyp ซ่อนโค้ดหลบ scanner

ส่วนขยาย Edge อันตราย 'Edgecution' ใช้ Native Messaging เป็นสะพานสู่มัลแวร์ — เชื่อมโยง ransomware Payouts Kings

Malicious Microsoft Edge extension Edgecution abusing Native Messaging
Zscaler เปิดเผยส่วนขยาย Microsoft Edge อันตรายชื่อ Edgecution ที่ถูกใช้ในการโจมตี ransomware เพื่อหลุดออกจาก sandbox ของเบราว์เซอร์และวาง backdoor ที่เขียนด้วย Python มัลแวร์อาศัยโปรโตคอล Chrome Native Messaging เป็นสะพานเชื่อมส่วนขยายกับแอปบนเครื่อง การโจมตีเริ่มจากผู้โจมตีปลอมเป็นทีม IT บน Microsoft Teams เชื่อว่าเป็นฝีมือ initial access broker ที่เชื่อมโยงกับกลุ่ม Payouts Kings

GhostShell มัลแวร์ใหม่เจาะอุตสาหกรรมโดรนยูเครน — ใช้ mTLS implant และ Telegram เป็น dead-drop

GhostShell malware mTLS implant Telegram dead-drop targets Ukrainian drone operations
นักวิจัย Synaptic Security เปิดโปงมัลแวร์คลัสเตอร์ใหม่ชื่อ GhostShell (MB-0009) ที่พุ่งเป้าอุตสาหกรรมโดรนและซัพพลายเชนกลาโหมยูเครน ส่งผ่านไฟล์ RAR ปลอมเอกสารบริษัท Besomar ที่ใช้ช่องโหว่ CVE-2025-8088/6218 ฝัง 3 payload ใช้ mutual TLS, ช่อง Telegram เป็น dead-drop resolver และอุโมงค์เข้ารหัสส่ง Vidar v2 ทำงานปฏิบัติการมาตั้งแต่ ก.พ. 2026

Operation Endgame ทลายโครงสร้าง Amadey และ StealC — ยึด 326 เซิร์ฟเวอร์ กู้คืนข้อมูล 27 ล้านรายการที่ถูกขโมยจากระบบ

Operation Endgame disrupts Amadey and StealC malware infrastructure
Microsoft, Europol และพันธมิตรนานาชาติร่วมทลายโครงสร้างพื้นฐานของมัลแวร์ Amadey และ StealC ภายใต้ Operation Endgame ยึด 326 เซิร์ฟเวอร์ 142 โดเมน พบคริปโตเชื่อมโยงอาชญากรรมกว่า 41 ล้านยูโร และกู้คืนข้อมูลที่ถูกขโมยราว 27 ล้านรายการจากเครื่องที่ติดเชื้อกว่า 385,000 เครื่อง พร้อมเล่นงาน SocGholish (FakeUpdates) ในคราวเดียวกัน

ชุดเครื่องมือโจมตี Browser-in-the-Browser ใช้ข้อความ error ปลอม หลอกเหยื่อโหลดตัวติดตั้งมัลแวร์

Browser-in-the-Browser kit fake software error delivers malware installers
นักวิจัย Unit 42 ของ Palo Alto Networks พบแคมเปญใหม่ที่ใช้ชุดโจมตี Browser-in-the-Browser (BitB) สร้างหน้าต่างเบราว์เซอร์ปลอมในเว็บเพจ พร้อมข้อความ error ซอฟต์แวร์ปลอม หลอกให้เหยื่อดาวน์โหลดไฟล์ติดตั้งที่จริงคือมัลแวร์ จุดเด่นคือไม่ขโมยรหัสผ่านแต่ผลักไฟล์ติดตั้งมุ่งร้ายลงเครื่องโดยตรง เครื่องมือความปลอดภัยเดิมตรวจจับยากเพราะเริ่มจากการโต้ตอบในเว็บเพจปกติ

พบ RAT ตัวใหม่ 'Mistic' เปิดประตูสู่ ransomware หลายตระกูล — IAB Woodgnat เชื่อมโยง Qilin, Akira, Black Basta

New Mistic RAT opens door to several ransomware families
Symantec และ Carbon Black ของ Broadcom เปิดเผยว่า initial access broker ชื่อ Woodgnat (หรือ KongTuke) ที่เคลื่อนไหวตั้งแต่พฤษภาคม 2024 กำลังใช้ RAT ตัวใหม่ชื่อ Backdoor.Mistic โจมตีองค์กรหลายอุตสาหกรรมตั้งแต่เมษายน 2026 กลุ่มนี้เชื่อมโยงกับ ransomware อย่าง Qilin, Interlock, Rhysida, Akira, 8Base และ Black Basta ใช้เทคนิค ClickFix, FileFix และ Microsoft Teams หลอกให้เหยื่อรันคำสั่ง PowerShell

แคมเปญฟิชชิงผ่าน WhatsApp แพร่ VBScript ปลอมเป็นเอกสารธุรกิจ — ติดตั้ง Remote Admin เข้าควบคุมเครื่องเหยื่อ

WhatsApp phishing campaign distributing VBScript malware
แคมเปญมัลแวร์ใหม่กระจายผ่าน WhatsApp โดยส่งไฟล์ VBScript ปลอมเป็นเอกสารการเงินจากบัญชีที่ถูกยึด เมื่อเหยื่อเปิดไฟล์จะดาวน์โหลดและติดตั้ง ManageEngine Endpoint Central แบบเงียบ เชื่อมต่อกับเซิร์ฟเวอร์ของผู้โจมตีเพื่อควบคุมเครื่องจากระยะไกล พบเหยื่อกระจายใน 11 ประเทศรวมถึงสิงคโปร์และมาเลเซีย พบร่องรอยเชื่อมโยงกับโครงสร้างพื้นฐานของ ValleyRAT และ Gh0st RAT

AryStinger เปลี่ยนเราเตอร์เก่า 4,300 ตัวเป็นเครือข่ายสอดแนม — ใช้ช่องโหว่ปี 2013-2016 สร้างพร็อกซีซ่อนตัวก่อนเจาะระบบ

AryStinger malware infects 4300 legacy routers reconnaissance proxy network
นักวิจัย XLab ของ QiAnXin พบมัลแวร์ตระกูลใหม่ AryStinger เปลี่ยนเราเตอร์บ้านเก่าอย่างน้อย 4,300 ตัวให้เป็นเครือข่ายสอดแนมและพร็อกซี ไม่ใช่บอตเน็ต DDoS ทั่วไป มันโจมตีเราเตอร์ชิป Realtek RTL819X ผ่าน CVE-2013-3307 และ CVE-2016-5681 และ QNAP NAS ผ่าน CVE-2025-11837 อุปกรณ์ติดมัลแวร์ทำหน้าที่สแกน ฟิงเกอร์พรินต์บริการ และซ่อนตำแหน่งผู้โจมตีจริงก่อนการบุกรุก