ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

7 ข่าว

Microsoft เปิดแผนที่ 3 เส้นทางโจมตี Salesforce ของ ShinyHunters — เจาะได้ทั้งปีโดยไม่ใช้ช่องโหว่สักตัว

shinyhunters vulnerability exploit extortion linked salesforce data theft across three paths attackers long shinyhunters
Microsoft เผยแพร่งานวิจัยที่ทำแผนที่แคมเปญขโมยข้อมูล Salesforce ตลอดกว่า 1 ปี ซึ่งเชื่อมโยงกับกลุ่มรีดไถ ShinyHunters โดยไม่ได้เจาะช่องโหว่ของแพลตฟอร์มเลย แต่อาศัยความไว้วางใจผ่านการเชื่อมต่อ OAuth แบ่งเป็น 3 เส้นทาง คือ vishing หลอกพนักงานอนุมัติแอป, ขโมยโทเคน OAuth จากผู้ให้บริการที่ถูกเจาะ (Salesloft Drift, Gainsight, Klue) และการตั้งค่า guest access ผิดพลาด Microsoft ร่วมกับ Salesforce ออกเครื่องมือตรวจจับและกำกับดูแลใหม่

ช่องโหว่ RabbitMQ CVE-2026-5721 เปิดเผย OAuth Secret ให้ใครก็ได้ — เสี่ยงยึดสิทธิ์แอดมินทั้งระบบ

RabbitMQ CVE-2026-5721 vulnerability exposes OAuth secret threatens enterprise systems
บริษัท Miggo เปิดเผยช่องโหว่ CVE-2026-5721 (CVSS 8.7) ใน RabbitMQ message broker โอเพนซอร์สยอดนิยม ปัญหาอยู่ที่ endpoint จัดการที่ล้าสมัยซึ่งคืนค่า OAuth Secret ให้ทุกคนโดยไม่ต้องยืนยันตัวตน ผู้โจมตีที่เข้าถึงพอร์ตจัดการได้สามารถดึง Secret ไปสวมรอย broker เพื่อขอโทเคนแอดมิน แล้วยึดควบคุมผู้ใช้ ข้อความ คิว และการตั้งค่าทั้งหมด กระทบเวอร์ชัน 3.13.0 ขึ้นไปที่ตั้งค่า OAuth 2/OIDC แก้แล้วในเวอร์ชัน 4.3.0, 4.2.6, 4.1.11, 4.0.20 และ 3.13.15 ยังไม่พบการโจมตีจริง

บัญชี GitHub 'ผี' อายุหลายปีถูกปลุกมากวาดข้อมูลองค์กร — Datadog เตือนแคมเปญสำรวจ repo/สมาชิก บางเคสโคลน repo ส่วนตัวสำเร็จ

Dormant GitHub ghost accounts used to enumerate corporate organizations
บริษัท Datadog เตือนหลายแคมเปญที่ทำงานทับซ้อนกัน กำลังกวาดข้อมูลองค์กร repository และบัญชีผู้ใช้บน GitHub อย่างเป็นระบบผ่าน GitHub API โดยใช้บัญชี ‘ผี’ ที่สร้างทิ้งไว้ 2-5 ปีก่อนปลุกมาใช้ รวมกับ OAuth token และ PAT ที่หลุดของผู้ใช้จริงกว่า 50 บัญชี เนื่องจากพื้นผิว API ส่วนใหญ่เข้าถึงได้โดยไม่ต้องยืนยันตัวตน คำสั่งสำรวจจึงกลืนไปกับการใช้งานปกติ ส่วนใหญ่โจมตีข้อมูลสาธารณะ แต่บางเคสถึงขั้นโคลน repository ส่วนตัวได้สำเร็จ

ToddyCat ปล่อยมัลแวร์ Umbrij ฉวย OAuth เจาะ Gmail ผ่าน Google API

ToddyCat-linked Umbrij malware abuses OAuth to access Gmail via Google API
บริษัท Kaspersky เผยกลุ่ม APT ToddyCat พัฒนามัลแวร์ใหม่ชื่อ Umbrij ที่ฉวยโปรโตคอล OAuth 2.0 เจาะ Gmail ขององค์กรผ่าน Google API ด้วยเทคนิค Shadow Token via Remote Debug (STRD) โดยเปิดเบราว์เซอร์ Chromium ในโหมด headless แล้วเชื่อมผ่าน remote debugging port เพื่อฉวยเซสชัน Gmail ที่ล็อกอินอยู่ ดึง OAuth token ไปเข้าถึงอีเมลองค์กร มัลแวร์ถูกปล่อยผ่าน DLL side-loading จากไบนารีที่ถูกต้อง 3 ตัว

บทเรียนจากคลื่นการแฮ็กของ ShinyHunters — แฮ็กเกอร์เลิกเจาะช่องโหว่ หันมา 'ล็อกอิน' ผ่าน identity และ OAuth token แทน

What the latest ShinyHunters breaches reveal about modern cyberattacks
SecurityWeek วิเคราะห์คลื่นการแฮ็กล่าสุดของกลุ่ม ShinyHunters ที่กระทบ University of Nottingham, DentaQuest, 7-Eleven, Medtronic และ Wynn Resorts ชี้ว่าผู้โจมตีเลี่ยงการป้องกันขอบเขตเครือข่ายแบบเดิม หันมาเล็ง identity เวิร์กโฟลว์ยืนยันตัวตน การเชื่อม SaaS และ OAuth token แทนการเจาะช่องโหว่ซอฟต์แวร์โดยตรง identity จึงกลายเป็นสมรภูมิหลักขององค์กร

Klue ถูกเจาะ OAuth token — กลุ่ม Icarus ขโมยข้อมูล Salesforce CRM จากหลายองค์กรและเรียกค่าไถ่

Klue OAuth breach enables Icarus threat actor to steal Salesforce CRM data
แพลตฟอร์ม market intelligence ของบริษัท Klue ถูกเจาะระบบ backend ทำให้กลุ่มผู้โจมตีใหม่ชื่อ Icarus ขโมย OAuth token ที่ลูกค้าใช้เชื่อมต่อกับ Salesforce CRM แล้วนำไปดึงข้อมูล business contacts, sales communications, price quotes และ competitive intelligence จากหลายองค์กร บริษัท Huntress ยืนยันว่าตนเองก็ตกเป็นเหยื่อ Salesforce ได้ปิดการเชื่อมต่อ Klue Battlecards จากแพลตฟอร์มแล้ว

One-Click GitHub.dev — แค่คลิกลิงก์เดียว แฮ็กเกอร์ขโมย GitHub OAuth Token เข้าถึง repo ส่วนตัวทั้งหมด

One-click GitHub dev attack lets attackers steal full GitHub OAuth tokens
นักวิจัยเปิดเผยการโจมตีแบบ one-click ผ่าน VS Code บน GitHub.dev ที่ขโมย GitHub OAuth token ของผู้ใช้ได้เพียงคลิกลิงก์เดียว token นี้ไม่ได้จำกัดสิทธิ์เฉพาะ repo เดียว แต่เข้าถึงทุก repo ที่เหยื่อมีสิทธิ์ รวมถึง repo ส่วนตัว ผู้โจมตีใช้ extension VS Code อันตรายผ่านกลไก message-passing ระหว่างหน้าต่างหลักกับ webview จำลองการกดปุ่มเปิด Command Palette ติดตั้ง extension ที่ข้าม publisher trust GitHub ได้รับแจ้งวันที่ 2 มิ.ย. 2569 Microsoft กำลังแก้ไข ไม่กระทบ VS Code Desktop