ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

80 ข่าว

SHub Reaper — มัลแวร์ macOS สายพันธุ์ใหม่ใช้ ClickFix อัตโนมัติ เปิด Script Editor ขโมยเบราว์เซอร์และกระเป๋าคริปโต

SHub Reaper macOS stealer ClickFix Script Editor crypto wallet
บริษัท Moonlock พบ SHub Stealer สายพันธุ์ใหม่ชื่อ Reaper แพร่ผ่านเว็บปลอมที่เลียนแบบซอฟต์แวร์ยอดนิยม ใช้ ClickFix อัตโนมัติเปิด Script Editor ของ macOS โดยไม่ต้องให้ผู้ใช้วางโค้ดเอง ขโมยข้อมูลเบราว์เซอร์ 8 ยี่ห้อ กระเป๋าคริปโต 5 ตัว และฝัง backdoor ปลอมตัวเป็น Google Update ผู้ใช้ Mac ที่ดาวน์โหลดซอฟต์แวร์นอก App Store ควรระวังเป็นพิเศษ

VerdantBamboo APT จีน — ซ่อนตัวในเครือข่ายองค์กรนาน 18 เดือน ด้วยมัลแวร์ BRICKSTORM เจาะ Firewall, NAS และ Appliance

VerdantBamboo APT BRICKSTORM malware firewall NAS
กลุ่ม APT สายจีน VerdantBamboo หรือ WARP PANDA ใช้มัลแวร์ BRICKSTORM ที่เขียนด้วย Golang แฝงตัวในเครือข่ายองค์กรเป้าหมายนานกว่า 18 เดือนโดยไม่ถูกตรวจพบ บุกรุกผ่านเครื่อง Egnyte Storage Sync appliance และ MSP ก่อนฝาก backdoor บน pfSense และ Synology NAS นักวิจัย Volexity ยังพบมัลแวร์ใหม่ 2 ตัว คือ PLENET และ AGENTPSD องค์กรที่ใช้อุปกรณ์ edge และ NAS ที่ไม่สามารถติดตั้ง EDR ควรเร่งตรวจสอบด่วน

เอ็กซ์เทนชัน Chrome ปลอม — Urban VPN, Smart Sidebar, Chat AI แอบขโมยบทสนทนา ChatGPT, Claude, Gemini จากผู้ใช้ 115 ล้านคน

Malicious Chrome extensions steal ChatGPT Claude Gemini conversations
นักวิจัย G Data เปิดเผยว่าเอ็กซ์เทนชัน Chrome 3 ตัว ได้แก่ Urban VPN, Smart Sidebar และ Chat AI แอบดักข้อมูลบทสนทนาจาก ChatGPT, Claude, Copilot, Gemini และ DeepSeek โดยส่งข้อมูลออกแบบ Base64 ไปยังเซิร์ฟเวอร์ภายนอก เอ็กซ์เทนชัน AI บน Chrome มีผู้ใช้รวมกว่า 115 ล้านคนทั่วโลก ณ มีนาคม 2569 ผู้ใช้แพลตฟอร์ม AI ควรถอนเอ็กซ์เทนชันที่ไม่จำเป็นออกและตรวจสอบ permission ที่มอบให้ทันที

SmartApeSG กลับมาอีกครั้ง — ใช้ ClickFix ล่อเหยื่อติดตั้ง RAT บน Windows

SmartApeSG ClickFix campaign delivers RAT malware on Windows
แคมเปญ SmartApeSG กลับมาพร้อมเทคนิค ClickFix ใหม่ โดยหลอกเหยื่อผ่านหน้าเว็บปลอมที่อ้างว่าให้ยืนยันตัวตน จากนั้นบังคับให้รันสคริปต์อันตรายโดยไม่รู้ตัว ผลลัพธ์คือการติดตั้ง Remote Access Trojan (RAT) บนเครื่อง Windows ที่น่าเป็นห่วงเป็นพิเศษคือการโจมตีไม่หยุดแค่มัลแวร์ตัวเดียว แต่ดาวน์โหลดเครื่องมือที่มีประสิทธิภาพสูงกว่าเพิ่มเติมหลังได้ที่มั่นในระบบ เทคนิค ClickFix ถูกใช้อย่างแพร่หลายมากขึ้นในปี 2569

GreyVibe กลุ่มแฮ็กเกอร์เชื่อมโยงรัสเซีย ใช้ ChatGPT และ Gemini เสริมพลังโจมตีไซเบอร์ — เหยื่อหลักคือยูเครน

GreyVibe Russia-linked hackers using AI ChatGPT Gemini for cyberattacks
WithSecure เปิดโปงกลุ่มแฮ็กเกอร์ GreyVibe ที่คาดว่าเชื่อมโยงรัสเซีย ใช้ AI หลายตัวอย่าง ChatGPT, Gemini และ Ideogram สร้างเหยื่อล่อคุณภาพสูงและช่วยพัฒนามัลแวร์ พุ่งเป้าหน่วยงานทหาร รัฐบาล และธุรกิจที่เกี่ยวข้องกับยูเครน ปฏิบัติการนี้เริ่มตั้งแต่สิงหาคม 2568 ใช้หลายห่วงโซ่การโจมตีทั้งฟิชชิง ClickFix และ Android spyware FallSpy แต่ขาดความแนบเนียนแบบรัฐชาติเต็มตัว คาดมีอดีตอาชญากรไซเบอร์ร่วมทีม

VIP Keylogger แพร่ผ่านอีเมลฟิชชิงปลอมเป็นเอกสารธุรกิจ — ซ่อนเพย์โหลดในรูปภาพด้วย Steganography

VIP Keylogger spread through phishing emails masquerading as business documents using steganography
Splunk Threat Research Team เปิดเผยแคมเปญ VIP Keylogger ที่แพร่ผ่านอีเมลฟิชชิงปลอมเป็นใบแจ้งชำระเงิน ใบสั่งซื้อ และข้อมูลขนส่ง มัลแวร์ใช้ script loader หลายชั้น (.vbs .js .bat) ที่ obfuscate หนัก แล้วซ่อนเพย์โหลดในไฟล์ภาพ .png ด้วย steganography ก่อนฉีดเข้าโพรเซส Windows ที่ถูกต้อง ความสามารถรวมถึงบันทึกคีย์ จับภาพหน้าจอ ขโมยรหัสผ่าน และสลับที่อยู่กระเป๋าคริปโตในคลิปบอร์ด ส่งข้อมูลออกผ่าน Telegram bot

แฮ็กเกอร์ใช้ลิงก์แชร์ ChatGPT โฮสต์หน้า outage ปลอม หลอกดาวน์โหลดมัลแวร์ผ่านโดเมน OpenAI จริง

ChatGPT share links abused to host fake outage pages delivering malware
Push Security เปิดโปงแคมเปญ LLMShare ที่แฮ็กเกอร์ใช้ฟีเจอร์แชร์เนื้อหาของ ChatGPT สร้างหน้า outage ปลอมบนโดเมน chatgpt.com จริง อ้างว่าเว็บล่มให้ดาวน์โหลดแอปเดสก์ท็อปแทน ใช้ Google ads ดึงผู้ค้นหา ChatGPT มายังลิงก์แชร์ที่ render หน้าปลอมด้วย HTML/CSS เมื่อคลิกดาวน์โหลดจะถูกพาไป openew[.]app ปลอมเป็นพอร์ทัลของ OpenAI แจกมัลแวร์ทั้ง macOS และ Windows พร้อมใช้ cloaking หลบเครื่องมือสแกน และยังพบการใช้ Claude Artifacts ทำ ClickFix ด้วย

ทลาย GlassWorm — CrowdStrike ปิด C2 ทั้ง 4 ช่องพร้อมกัน หยุดมัลแวร์ Supply Chain ที่ซ่อน C2 ในบล็อกเชน Solana

GlassWorm malware supply chain takedown CrowdStrike disrupts C2 infrastructure Solana blockchain BitTorrent
CrowdStrike ร่วมกับ Google และ Shadowserver Foundation ปิด C2 infrastructure ทั้ง 4 ช่องของ GlassWorm พร้อมกัน มัลแวร์ตัวนี้โจมตี developer ผ่าน VS Code extension ปลอม, npm และ Python package เป็นเวลากว่าหนึ่งปี ปนเปื้อน GitHub repository กว่า 300 แห่งด้วย credential ที่ขโมยมา โดดเด่นด้วยการซ่อน C2 address ไว้บน Solana blockchain, BitTorrent DHT และ Google Calendar เพื่อต้านการถูก Takedown

Lazarus ใช้ RemotePE — RAT รันใน Memory เท่านั้น โจมตีบริษัทการเงินและ Crypto ไม่ทิ้งร่องรอยบนดิสก์

Lazarus Group deploys RemotePE memory-only RAT targeting crypto and financial firms
กลุ่ม Lazarus ของเกาหลีเหนือใช้มัลแวร์ชื่อ RemotePE ซึ่งรันทั้งหมดใน Memory ไม่มีไฟล์บนดิสก์เลย ทำให้ตรวจจับยากมาก โดยใช้ Loader chain สองชั้นคือ DPAPILoader และ RemotePELoader ก่อนโหลด RAT เต็มรูปแบบจาก C2 มาทำงานในหน่วยความจำ นักวิจัยจาก Fox-IT พบว่าเครื่องมือชุดนี้ถูกพัฒนาระหว่างปี 2566-2567 และไม่เคยปรากฏใน VirusTotal ก่อนการเปิดเผย บ่งชี้ว่าถูกสงวนไว้สำหรับเป้าหมายมูลค่าสูงโดยเฉพาะ

Packagist Supply Chain Attack — แฮ็กเกอร์ฝัง Linux Binary ใน 8 PHP Package ผ่าน package.json Postinstall Hook

Packagist supply chain attack infects 8 PHP packages with Linux malware via postinstall hook
แคมเปญ Supply Chain Attack ใหม่โจมตี Packagist ซึ่งเป็น Package Registry หลักของ PHP โดยฝังโค้ดอันตรายใน 8 แพ็กเกจ Composer แต่ซ่อนไว้ใน package.json แทน composer.json ทำให้ทีม Security ที่สแกนเฉพาะ PHP dependency อาจมองข้าม Postinstall Script ดาวน์โหลด Linux Binary จาก GitHub Releases แล้วรันในพื้นหลัง บริษัท Socket พบร่องรอยของ payload เดียวกันในไฟล์บน GitHub กว่า 777 ไฟล์ ชี้ว่าแคมเปญนี้อาจกว้างกว่าที่เห็น