ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

50 ข่าว

JS.MonoGlyphRAT — แฮ็กเกอร์ใช้ใบสั่งซื้อปลอมส่งมัลแวร์ JavaScript ที่ AV ตรวจไม่เจอ เจาะองค์กรสหรัฐฯ

Hackers use fake purchase orders to deploy JS.MonoGlyphRAT targeting US enterprises
บริษัท ANY.RUN เปิดเผยมัลแวร์ใหม่ JS.MonoGlyphRAT ที่ปลอมเป็นเอกสารธุรกิจอย่างใบสั่งซื้อหรือใบเสนอราคา ส่งเป็นไฟล์ JavaScript แนบอีเมลฟิชชิง เมื่อพนักงานเปิด ผู้โจมตีได้เข้าถึงเครือข่ายแบบถาวร จุดเด่นคือใช้ obfuscation สร้างชื่อตัวแปรจากอักขระซ้ำสลับพิมพ์เล็กใหญ่ ทำให้อ่านโค้ดยากมาก และยังขึ้นเป็น Unknown malware บน VirusTotal/ThreatFox ทำให้ AV แบบ signature ตรวจไม่เจอ มุ่งเป้าองค์กรสหรัฐฯ ในภาคเทคโนโลยี MSSP โทรคมนาคม การศึกษา พบในเยอรมนี สวีเดน ออสเตรเลียด้วย

TA4922 กลุ่มเชื่อมโยงจีนขยายเป้าโจมตี UK และยุโรป ด้วยมัลแวร์ใหม่ SilentRunLoader — ใช้เหยื่อล่อธีมภาษี/เงินเดือน

China-linked TA4922 hackers target UK Europe with new SilentRunLoader malware
บริษัท Proofpoint เผยกลุ่มอาชญากรไซเบอร์ที่คาดว่าเชื่อมโยงจีน TA4922 ซึ่งเคยมุ่งเป้าเอเชียตะวันออก กำลังขยายโจมตีองค์กรใน UK, เยอรมนี, อิตาลี และแอฟริกาใต้ ด้วยฟิชชิงธีมภาษี เงินเดือน และสวัสดิการที่เลียนแบบหน่วยงานรัฐ คลังมัลแวร์รวม ValleyRAT (Winos4.0), Atlas RAT, RomulusLoader และตัวใหม่ SilentRunLoader ซึ่งเป็น stealer/loader บน Python ที่คาดว่าพัฒนาด้วยความช่วยเหลือของ LLM มุ่งขโมย credential, cookie และข้อมูลจาก Google Chrome พร้อมใช้ DLL sideloading และเครื่องมือ remote อย่าง AnyDesk

แฮ็กเกอร์ใช้โดเมน Google DoubleClick บังการโจมตี ส่งมัลแวร์ DesckVB RAT ผ่าน Malspam ปรับหน้าเพจอัตโนมัติ

Google DoubleClick abused in new malspam campaign to deliver DesckVB RAT
บริษัท Huntress เปิดเผยแคมเปญ malspam ใหม่ที่ใช้โดเมน Google DoubleClick บังการตรวจจับ เพื่อส่งมัลแวร์ DesckVB RAT ก่อนเหยื่อจะถึงโครงสร้างของผู้โจมตี ลิงก์จะวิ่งผ่าน DoubleClick ที่เป็นโดเมนของ Google ซึ่งเครื่องมือความปลอดภัยมักไม่สงสัย จากนั้นเข้าสู่ malspam kit ที่ปรับหน้าเพจอัตโนมัติตามอีเมลเหยื่อ ดึงโลโก้บริษัทและที่ตั้งมาทำให้น่าเชื่อถือ โดยไม่ต้องสร้างเหยื่อล่อทีละราย ปลายทางคือ DesckVB RAT มัลแวร์ .NET ที่ใช้ process hollowing ฉีดเข้า process ที่ Microsoft เซ็น พร้อมปิด AMSI/ETW

Operation Dragon Weave — กลุ่มแฮ็กเกอร์ที่เชื่อมโยงจีนโจมตีเช็กและไต้หวันด้วย AdaptixC2 ซ่อนใน Azure

China-aligned cyber espionage Operation Dragon Weave targeting Czech Republic and Taiwan
นักวิจัยจาก Seqrite Labs เปิดเผยแคมเปญจารกรรมไซเบอร์ชื่อ Operation Dragon Weave ที่มุ่งเป้าหน่วยงานรัฐ วิชาการ และการเงินในสาธารณรัฐเช็กและไต้หวัน โดยใช้อีเมลฟิชชิงแนบไฟล์ ZIP เพื่อติดตั้ง Rust loader แล้วนำไปสู่ payload ชื่อ AZUREVEIL ที่ซ่อนช่องทาง C2 ไว้ใน Microsoft Azure Blob Storage เพื่อหลีกเลี่ยงการตรวจจับ ESET ยังรายงานว่ากลุ่ม China-aligned threat actors ยังคง active สูงทั่วโลกตั้งแต่ ต.ค. 2568 ถึง มี.ค. 2569 พร้อมพบกลุ่มใหม่อีกหลายกลุ่ม เช่น SteppeDriver และ NegativeGlimmer

แฮ็กเกอร์ซ่อนทราฟฟิกอันตรายในคลาวด์ที่เชื่อถือได้ — AWS, Google Cloud, Cloudflare, Microsoft, GitHub กลายเป็นเกราะกำบัง C2

Attackers abuse AWS Google Cloud Cloudflare and Microsoft services to hide malicious traffic
การสืบสวนของ ANY.RUN เผยว่าอาชญากรไซเบอร์ใช้โครงสร้างคลาวด์ที่เชื่อถือได้อย่าง AWS, Google Cloud, Azure, Cloudflare และ GitHub มากขึ้นเพื่อพรางทราฟฟิกอันตราย หลบการตรวจจับ และคง C2 ให้อยู่รอดนาน การค้นด้วย JA3S fingerprint ของ Cobalt Strike พบเหตุการณ์กว่า 1,000 รายการ ส่วนใหญ่วิ่งผ่านพอร์ต 443 ฝัง C2 บนแพลตฟอร์มชื่อดัง ทำให้การบล็อกตาม reputation ใช้ไม่ได้ผล พร้อมพบแคมเปญฟิชชิงและ BEC ที่โฮสต์เอกสารปลอมบน Amazon S3 และโดเมน .top อันตรายจำนวนมาก

BTMOB: บริการมัลแวร์ Android แบบ MaaS สร้างเพย์โหลดฟิชชิงตามสั่งโดยไม่ต้องเขียนโค้ด

BTMOB Android malware-as-a-service generates custom phishing payloads via builder interface
ESET เปิดเผย BTMOB โทรจัน Android ที่เปิดให้เช่าแบบ malware-as-a-service พร้อม builder สร้างเพย์โหลดตามลูกฟิชชิงได้โดยไม่ต้องเขียนโค้ด มัลแวร์ขโมยข้อมูล ดักธุรกรรมการเงิน จับภาพหน้าจอ และควบคุมเครื่องระยะไกล ขายในช่อง Telegram ราคา 700 ดอลลาร์ต่อเดือนหรือ 5,000 ดอลลาร์ตลอดชีพ แพร่ผ่านเว็บปลอมเลียนแบบบริการสตรีมมิงและเหมืองคริปโต และใช้ Accessibility Services ยกระดับสิทธิ์ ปัจจุบันเคลื่อนไหวมากในบราซิลและละตินอเมริกา

VIP Keylogger แพร่ผ่านอีเมลฟิชชิงปลอมเป็นเอกสารธุรกิจ — ซ่อนเพย์โหลดในรูปภาพด้วย Steganography

VIP Keylogger spread through phishing emails masquerading as business documents using steganography
Splunk Threat Research Team เปิดเผยแคมเปญ VIP Keylogger ที่แพร่ผ่านอีเมลฟิชชิงปลอมเป็นใบแจ้งชำระเงิน ใบสั่งซื้อ และข้อมูลขนส่ง มัลแวร์ใช้ script loader หลายชั้น (.vbs .js .bat) ที่ obfuscate หนัก แล้วซ่อนเพย์โหลดในไฟล์ภาพ .png ด้วย steganography ก่อนฉีดเข้าโพรเซส Windows ที่ถูกต้อง ความสามารถรวมถึงบันทึกคีย์ จับภาพหน้าจอ ขโมยรหัสผ่าน และสลับที่อยู่กระเป๋าคริปโตในคลิปบอร์ด ส่งข้อมูลออกผ่าน Telegram bot

แฮ็กเกอร์ใช้ฟีเจอร์ collaboration ของ Microsoft Teams ปลอมเป็นทีม IT Helpdesk หลอก vishing

Hackers exploit Microsoft Teams collaboration features to impersonate IT helpdesk
เกิดคลื่นการโจมตี vishing ที่แฮ็กเกอร์ใช้ฟีเจอร์ collaboration ข้ามองค์กรของ Microsoft Teams ปลอมเป็นเจ้าหน้าที่ IT helpdesk โทรหรือส่งข้อความหาพนักงาน หลอกให้รันคำสั่งหรือติดตั้งเครื่องมือ remote access อย่าง Quick Assist เพราะเกิดในแพลตฟอร์มที่ดูน่าเชื่อถือ ระบบป้องกันฟิชชิงทางอีเมลจึงตรวจไม่เจอ ทีมสืบสวนหันมาใช้ Microsoft 365 Unified Audit Log โดยเฉพาะ event CallParticipantDetail เพื่อปะติดปะต่อไทม์ไลน์การโจมตี

เว็บปลอม Gemini CLI และ Claude Code แพร่ Infostealer ผ่าน SEO Poisoning — ขโมย Session ของ Slack, Teams, Zoom และอีกหลายแพลตฟอร์ม

Fake Gemini CLI and Claude Code sites spread infostealers via SEO poisoning
นักวิจัยจาก EclecticIQ เปิดเผยแคมเปญที่สร้างเว็บไซต์ปลอมของ Google Gemini CLI และ Anthropic Claude Code แล้วใช้ SEO poisoning ดันให้ขึ้นอันดับแรกในผลค้นหา เมื่อเหยื่อรัน PowerShell command ที่แสดงบนหน้าเว็บปลอม จะดาวน์โหลด infostealer ที่ทำงานในหน่วยความจำ ขโมย session cookies ของ Slack, Teams, Zoom, Discord และข้อมูลเบราว์เซอร์

INTERPOL Operation Ramz จับ 201 คนใน 13 ประเทศตะวันออกกลาง — ทลาย Phishing-as-a-Service และพบเหยื่อค้ามนุษย์ในศูนย์หลอกลวง

INTERPOL Operation Ramz arrests 201 suspects across MENA region
INTERPOL ประกาศผลปฏิบัติการ Operation Ramz ที่ดำเนินการร่วมกับ 13 ประเทศในภูมิภาคตะวันออกกลางและแอฟริกาเหนือ จับกุมผู้ต้องสงสัย 201 คน ยึดเซิร์ฟเวอร์ 53 เครื่อง และระบุตัวผู้เสียหาย 3,867 ราย ปฏิบัติการนี้ได้รับการสนับสนุนจากกาตาร์และสหภาพยุโรป โดยพบว่าศูนย์หลอกลวงในจอร์แดนบังคับเหยื่อค้ามนุษย์ให้ทำงานหลอกลวงออนไลน์