ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

50 ข่าว

ช็อตคัต Windows อันตรายใช้ PowerShell และ Node.js เปิดทางรันโค้ดระยะไกล ซ่อน C2 บนบล็อกเชน TON

malicious Windows LNK shortcut PowerShell Node.js backdoor TON blockchain C2
นักวิจัยจากบริษัท LevelBlue เปิดโปงแคมเปญที่ใช้ไฟล์ช็อตคัต (LNK) อันตรายบน Windows เปลี่ยนการดาวน์โหลดธรรมดาให้กลายเป็นช่องทางรันโค้ดระยะไกล เริ่มจากอีเมลสแปมธีมจองที่พักหลอกให้เปิด ZIP ที่ซ่อน LNK ปลอมเป็นรูปภาพ เมื่อคลิกจะรัน PowerShell ที่ติดตั้ง Node.js ของแท้มาใช้เป็นสภาพแวดล้อมรันแบ็กดอร์แบบ fileless ผู้โจมตีดึงที่อยู่เซิร์ฟเวอร์ควบคุมผ่าน smart contract บนบล็อกเชน TON ด้วยเทคนิค EtherHiding เพื่อเลี่ยงการบล็อก นักวิจัยพบตัวอย่างใหม่ทุกวันและเชื่อมโยงกว่า 400 ตัวอย่างเข้ากับเครื่องเดียวกัน

ตำรวจเนเธอร์แลนด์พบหลักฐานชี้แฮ็กเกอร์ชาวดัตช์เอี่ยวเหตุเจาะข้อมูล Odido — เริ่มจากโทรปลอมเป็นพนักงานไอที

Dutch National Police investigating Odido telecom data breach linked to Dutch hackers
ตำรวจแห่งชาติเนเธอร์แลนด์เผยพบหลักฐานบ่งชี้ชัดเจนว่าแฮ็กเกอร์ชาวดัตช์มีส่วนเกี่ยวข้องกับเหตุเจาะระบบผู้ให้บริการโทรคมนาคม Odido เมื่อเดือนกุมภาพันธ์ หลักฐานสำคัญคือบทสนทนาทางโทรศัพท์ที่ชายพูดภาษาดัตช์ปลอมเป็นพนักงานไอทีของบริษัทก่อนเกิดเหตุ จากนั้นใช้ฟิชชิงหลอกจนขโมยข้อมูลสำเร็จ เหตุการณ์นี้กระทบลูกค้า 6.2 ล้านราย ข้อมูลที่หลุดรวมชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล เลขบัญชี IBAN และเลขเอกสารระบุตัวตน กลุ่ม ShinyHunters อ้างความรับผิดชอบและปล่อยไฟล์ 88GB กว่า 15 ล้านรายการบนดาร์กเว็บ

หนังสือแจ้งภาษี ITR ปลอมของอินเดีย ปล่อย RAT สองตัวผ่านห่วงโซ่ติดมัลแวร์ 6 ขั้น

Fake Indian ITR notice delivers dual RAT malware through six-stage infection chain
บริษัท Cyderes เปิดเผยแคมเปญมัลแวร์ที่ใช้หนังสือแจ้งภาษีปลอมของกรมสรรพากรอินเดีย (ITR) หลอกเหยื่อให้ติดตั้ง RAT พร้อมกันสองตัว โดยข่มขู่เรื่องค่าปรับให้ดาวน์โหลดไฟล์ ผ่านหน้า Microsoft ปลอมก่อนโหลด ZIP ที่มี exe ของแท้กับ DLL อันตราย nvdaHelperRemote.dll ใช้เทคนิค DLL sideloading ห่วงโซ่ 6 ขั้นจบด้วยการฉีด Gh0st RAT (พอร์ต 6666) และ Quasar/AsyncRAT (พอร์ต 6351) เข้า svchost.exe แต่ละตัวต่อ C2 คนละเครื่องเป็นช่องสำรอง ใช้ polyglot JPEG และรันในหน่วยความจำหลบการตรวจจับ

แคมเปญฟิชชิงปลอมใบแจ้งหนี้เปลี่ยน AnyDesk เป็นแบ็กดอร์ — Rare Werewolf จารกรรมอุตสาหกรรมการบิน ใช้ Scheduled Task ฝังตัวแล้วลบร่องรอย

phishing malware espionage ace anydesk anydesk phishing attack uses scheduled task persistence
นักวิจัยจาก Seqrite เปิดเผยแคมเปญฟิชชิงที่เปลี่ยนเครื่องมือรีโมตยอดนิยม AnyDesk ให้กลายเป็นแบ็กดอร์จารกรรมระยะยาว โจมตีองค์กรอุตสาหกรรมการบินและอวกาศในรัสเซีย ผู้โจมตีใช้อีเมลปลอมเป็นใบแจ้งหนี้แนบไฟล์ ZIP ใส่รหัสผ่านเลี่ยงการสแกน เมื่อเปิดจะติดตั้ง AnyDesk แบบไร้การควบคุมพร้อมรหัสผ่านที่ตั้งไว้ล่วงหน้า สร้าง scheduled task ปลอมเป็นงานอัปเดตเพื่อฝังตัว แล้วลบไฟล์และล็อกทั้งหมดเพื่อกลบร่องรอย พฤติกรรมเข้ากับกลุ่ม Rare Werewolf หรือ Librarian Ghouls

ฟิชชิงปลอมสัมภาษณ์งานสวมแบรนด์ดัง 30+ ราย ขโมยบัญชี Google — ใช้ Browser-in-the-Browser หลอกหน้าล็อกอินปลอม

phishing fake job interview impersonating big brands to steal google accounts
นักวิจัยจาก Team Cymru เปิดโปงแคมเปญฟิชชิงที่ปลอมเป็นการสัมภาษณ์งานจากแบรนด์ดังกว่า 30 ราย เช่น Adobe, Netflix, Coca-Cola และ OpenAI เพื่อขโมยบัญชี Google ของนักการตลาด ผู้โจมตีฉวยใช้แพลตฟอร์ม HR และบริการคลาวด์ของแท้ทำ redirect ซ้อนหลายชั้น ก่อนพาเหยื่อไปหน้าปลอม แล้วใช้เทคนิค Browser-in-the-Browser สร้างป๊อปอัปล็อกอิน Google ปลอมที่แยกจากของจริงแทบไม่ออก

ฟิชชิงผ่าน Device Code หลอกขโมยโทเคน Microsoft — เหยื่อไม่เคยออกจากหน้าล็อกอินจริง

phishing bec microsoft device code flow steals tokens through legitimate login page
นักวิจัยจาก Securelist เปิดเผยแคมเปญฟิชชิงที่ฉวยใช้ฟีเจอร์ Device Authorization Grant ของ Microsoft หลอกเหยื่อคัดลอกรหัสครั้งเดียวไปวางบนหน้าล็อกอิน Microsoft ของจริง ทำให้ผู้โจมตีได้โทเคนเข้าถึงอีเมล ไฟล์ และแชตโดยไม่ต้องใช้รหัสผ่าน เทคนิคนี้เลี่ยงคำแนะนำให้ตรวจ URL เพราะหน้าสุดท้ายเป็นของแท้ และ MFA แทบช่วยไม่ได้ แคมเปญทำงานช่วงเมษายนถึงกลางพฤษภาคม 2026

แฮ็กเกอร์จีนปลอมโปรแกรมยื่นภาษีของอินเดีย ปล่อย DcRAT ใน Operation DragonReturn

phishing china india ise dcrat deploy dcrat a
บริษัท Seqrite Labs เปิดโปงปฏิบัติการ DragonReturn ที่ต้องสงสัยว่าเป็นกลุ่มแฮ็กเกอร์เชื่อมโยงจีน เล็งเป้าผู้เสียภาษีและทีมการเงินองค์กรในอินเดีย ด้วยอีเมลฟิชชิงปลอมเป็นกรมสรรพากรอินเดีย หลอกให้ดาวน์โหลดโปรแกรมยื่นภาษีปลอมที่ sideload DLL อันตราย ฝังตัวเป็น Windows service แล้วปล่อย DcRAT ขโมยข้อมูล ตรวจพบครั้งแรก 18 พ.ค. 2026 พบร่องรอยทับซ้อนกับกลุ่ม Silver Fox ของจีน

แฮ็กเกอร์ฉวยกระแส FIFA World Cup 2026 ล่อแฟนบอลกรอกข้อมูลส่วนตัวและบัตรเครดิต

fifa world cup world cup phishing cybersecurity fifa fifa world cup
นักวิจัยจากบริษัท Unit42 เปิดโปงปฏิบัติการฟิชชิงที่ฉวยกระแส FIFA World Cup 2026 ล่อแฟนบอลด้วยของรางวัลปลอม เริ่มจากอีเมลที่ผ่านการตรวจสอบยืนยันตัวตนจนรอดตัวกรองสแปม แล้วส่งเหยื่อผ่านการรีไดเรกต์หลายชั้นและ geo-cloaked redirector ที่แสดงเนื้อหาต่างกันตามพิกัดผู้ใช้ ปลายทางเป็นหน้าเช็กเอาต์ปลอมที่ขอชื่อ ที่อยู่ และข้อมูลบัตรเครดิตเต็มรูปแบบ

พบเฟรมเวิร์กมัลแวร์ใหม่ 'Avalon' รวมความสามารถ ransomware CrownX — ขโมยข้อมูล เคลื่อนที่ในเครือข่าย และทำลายระบบกู้คืนในตัวเดียว

avalon malware framework crownx ransomware blackpoint phishing
บริษัท Blackpoint Cyber เปิดเผยเฟรมเวิร์กมัลแวร์แบบโมดูลาร์ใหม่ชื่อ Avalon ที่แพร่ผ่านห่วงโซ่ฟิชชิงหลายขั้นและหลบเลี่ยงการตรวจจับได้ Avalon รวมการขโมยข้อมูลรับรอง การเคลื่อนที่ในเครือข่าย การเข้าถึงระยะไกล การทำลายระบบกู้คืน และการเข้ารหัสเรียกค่าไถ่ไว้ในตัวเดียว โดยมีคอมโพเนนต์ ransomware ชื่อ CrownX พบร่องรอยว่าใช้ AI ช่วยพัฒนา สะท้อนว่า AI กำลังลดกำแพงการสร้างมัลแวร์ซับซ้อน

มัลแวร์ Ousaban กลับมา — ใช้ PDF ฟิชชิงและ VBS หลอกลูกค้าธนาคารสเปน-โปรตุเกส

Ousaban banking malware phishing PDF and VBS downloader campaign
FortiGuard Labs เปิดโปงแคมเปญ Ousaban แบงกิงโทรจันสายบราซิลที่กลับมาโจมตีลูกค้าธนาคารในสเปนและโปรตุเกส เริ่มจาก PDF ฟิชชิงที่อ้างว่าไฟล์เสียหายให้กดปุ่ม Update เปิดหน้าเว็บปลอมพอร์ทัลภาษี ใช้ geofencing กรองเหยื่อ ซ่อนเพย์โหลดในภาพด้วย steganography จับเป้ากว่า 24 ธนาคารรวม Santander, BBVA, CaixaBank ขโมยรหัสผ่านผ่านหน้าจอปลอมและคีย์ล็อกเกอร์