ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

18 ข่าว

มัลแวร์ RAT ตัวใหม่ MODBEACON ของกลุ่ม Silver Fox ใช้ gRPC streaming เข้ารหัสทราฟฟิก C2

Silver Fox MODBEACON Rust RAT gRPC streaming encrypted C2
บริษัท QiAnXin เปิดเผยว่ากลุ่มอาชญากรไซเบอร์ Silver Fox ที่เชื่อมโยงกับจีนอยู่เบื้องหลังมัลแวร์ RAT ตัวใหม่ที่เขียนด้วยภาษา Rust ชื่อ MODBEACON กระจายผ่านตัวติดตั้งปลอมด้วยเทคนิค SEO poisoning โดยมีผู้กระจายหลายราย ตัวมัลแวร์เป็น RAT แบบโมดูลที่รันในหน่วยความจำ ใช้ gRPC tunnel streaming สื่อสารกับ C2 และนำ transport layer จากเฟรมเวิร์ก proxy โอเพนซอร์ส Xray/V2Ray มาใช้เป็นช่องทางควบคุม พุ่งเป้าองค์กรเทคโนโลยี การศึกษา และรัฐวิสาหกิจในจีน

Banana RAT ใช้เครื่องสร้าง payload ที่หลุดออกมา ผลิตมัลแวร์ธนาคารแบบ polymorphic หลบ blocklist

Banana RAT uses exposed payload generator to create polymorphic banking malware variants
นักวิจัย Moises Cerqueira พบเซิร์ฟเวอร์ที่เปิดโล่งบนอินเทอร์เน็ตซึ่งใช้สร้างมัลแวร์ Banana RAT โทรจันขโมยข้อมูลธนาคารสายบราซิล โดยไม่ได้เป็นแค่ที่เก็บไฟล์ แต่รันสคริปต์ payload generator และ obfuscator ที่ผลิต payload หน้าตาต่างกันได้ทุกครั้ง รายงานจาก ANY.RUN ระบุว่าโครงสร้างเดียวกันผลิต Banana RAT ได้ 2 เวอร์ชันในไม่กี่สัปดาห์ เวอร์ชันใหม่สุ่มชื่อโฟลเดอร์/ไฟล์ต่อเครื่องและใช้ WebSocket เข้ารหัสเป็น C2 ทำให้การบล็อกด้วยรายชื่อ indicator ได้ผลน้อยลง

หนังสือแจ้งภาษี ITR ปลอมของอินเดีย ปล่อย RAT สองตัวผ่านห่วงโซ่ติดมัลแวร์ 6 ขั้น

Fake Indian ITR notice delivers dual RAT malware through six-stage infection chain
บริษัท Cyderes เปิดเผยแคมเปญมัลแวร์ที่ใช้หนังสือแจ้งภาษีปลอมของกรมสรรพากรอินเดีย (ITR) หลอกเหยื่อให้ติดตั้ง RAT พร้อมกันสองตัว โดยข่มขู่เรื่องค่าปรับให้ดาวน์โหลดไฟล์ ผ่านหน้า Microsoft ปลอมก่อนโหลด ZIP ที่มี exe ของแท้กับ DLL อันตราย nvdaHelperRemote.dll ใช้เทคนิค DLL sideloading ห่วงโซ่ 6 ขั้นจบด้วยการฉีด Gh0st RAT (พอร์ต 6666) และ Quasar/AsyncRAT (พอร์ต 6351) เข้า svchost.exe แต่ละตัวต่อ C2 คนละเครื่องเป็นช่องสำรอง ใช้ polyglot JPEG และรันในหน่วยความจำหลบการตรวจจับ

กลุ่ม SilverFox ปล่อยมัลแวร์ ValleyRAT 8 สเตจ — ผสาน Go RAT, ตัวฆ่า AV และรูตคิตระดับเคอร์เนล

valleyrat rat malware cybersecurity av killer kernel rootkit
บริษัท Gen Threat Labs เปิดโปงแคมเปญมัลแวร์ ValleyRAT ของกลุ่ม SilverFox ที่ทำงานถึง 8 สเตจ ซ่อนเพย์โหลดในภาพ PNG ด้วย steganography ปิด AV และติดตั้งรูตคิตระดับเคอร์เนลที่รับคำสั่งจาก RAT เขียนด้วยภาษา Go มัลแวร์เริ่มด้วย DLL sideloading ผ่านโปรแกรมที่มีลายเซ็นถูกต้อง สลับที่อยู่กระเป๋าคริปโตในคลิปบอร์ด และขโมยข้อมูล Telegram แคมเปญยังทำงานอยู่ พร้อมตัวอย่าง polymorphic 13 ชุด

แฮ็กเกอร์จีนปลอมโปรแกรมยื่นภาษีของอินเดีย ปล่อย DcRAT ใน Operation DragonReturn

phishing china india ise dcrat deploy dcrat a
บริษัท Seqrite Labs เปิดโปงปฏิบัติการ DragonReturn ที่ต้องสงสัยว่าเป็นกลุ่มแฮ็กเกอร์เชื่อมโยงจีน เล็งเป้าผู้เสียภาษีและทีมการเงินองค์กรในอินเดีย ด้วยอีเมลฟิชชิงปลอมเป็นกรมสรรพากรอินเดีย หลอกให้ดาวน์โหลดโปรแกรมยื่นภาษีปลอมที่ sideload DLL อันตราย ฝังตัวเป็น Windows service แล้วปล่อย DcRAT ขโมยข้อมูล ตรวจพบครั้งแรก 18 พ.ค. 2026 พบร่องรอยทับซ้อนกับกลุ่ม Silver Fox ของจีน

แฮ็กเกอร์ปลอมเป็นทีมไอทีโทรผ่าน Microsoft Teams หลอกติดตั้งมัลแวร์ EtherRAT — ใช้สัญญาอัจฉริยะ Ethereum ซ่อนเซิร์ฟเวอร์ควบคุม

fake it support microsoft teams call pushing etherrat malware
บริษัท Palo Alto Networks (Unit 42) เปิดเผยแคมเปญที่ปลอมเป็นทีมไอทีซัพพอร์ตโทรผ่าน Microsoft Teams หลอกพนักงานให้ติดตั้งมัลแวร์ EtherRAT ผู้โจมตีเริ่มจากอีเมลฟิชชิงแนบ PDF แล้วโทรจากบัญชีภายนอกอ้างเป็นผู้ดูแลระบบ ก่อนหลอกให้เปิดสิทธิ์ควบคุมเครื่องและติดตั้งเครื่องมือรีโมตจริงอย่าง AnyDesk สุดท้ายรัน EtherRAT ที่ใช้สัญญาอัจฉริยะ Ethereum ซ่อนเซิร์ฟเวอร์ควบคุมสั่งการ ทำให้ปิดกั้นได้ยาก

ChocoPoC RAT ตัวใหม่ ล่านักวิจัยช่องโหว่ผ่านรีโป PoC ปลอมบน GitHub

rat malware vulnerability browser chocopoc cves
YesWeHack และ Sekoia เปิดโปงโทรจันขโมยข้อมูลตัวใหม่ชื่อ ChocoPoC ที่ซ่อนอยู่ในโค้ด PoC ปลอมบน GitHub ซึ่งอ้างว่าเจาะ CVE ดัง ๆ เมื่อรัน มันจะขโมยรหัสผ่าน คุกกี้เบราว์เซอร์ และไฟล์ แล้วเปิด shell ให้แฮ็กเกอร์ มัลแวร์ซ่อนในแพ็กเกจ Python ที่ PoC ดึงมาเป็น dependency ทำให้ผ่านการรีวิวโค้ด พบรีโปปลอมอย่างน้อย 7 แห่งผูกกับช่องโหว่ดัง แพ็กเกจ skytext ถูกดาวน์โหลดราว 2,400 ครั้ง นักวิจัยเตือนอย่ารันโค้ดเหล่านี้

เว็บซอฟต์แวร์ปลอมดัน SEO หลอกโหลด — ฝัง ScreenConnect ปล่อย AsyncRAT ทั่วโลก 90+ โดเมน

SEO poisoned fake software sites deploy ScreenConnect and AsyncRAT
Kaspersky เปิดโปงแคมเปญขนาดใหญ่หลายภาษาที่ใช้เว็บปลอมเลียนแบบซอฟต์แวร์ยอดนิยมอย่าง OBS Studio, Bandicam, DS4Windows ดัน SEO ขึ้นอันดับต้นของ Google และ Bing เพื่อหลอกให้เหยื่อโหลดไฟล์ติดตั้งที่ฝังมัลแวร์ ใช้ DLL side-loading ติดตั้ง ScreenConnect แล้วปล่อย AsyncRAT พบกว่า 90 โดเมนใน 10 ภาษา เหยื่อมีทั้งบุคคลทั่วไปและองค์กร

แฮ็กเกอร์ใช้ VLC ปลอมและ libvlc.dll อันตราย ฝัง ValleyRAT ผ่านอีเมลฟิชชิง

Fake VLC executable and malicious libvlc.dll deploy ValleyRAT
LevelBlue เปิดโปงแคมเปญที่ซ่อนมัลแวร์ ValleyRAT ไว้ในโปรแกรม VLC ที่คนไว้ใจ ผู้โจมตีส่งอีเมลฟิชชิงเรื่องโยกย้ายบุคลากรหรือปรับเงินเดือน หลอกให้โหลด ZIP ที่มี VLC.exe ของจริงคู่กับ libvlc.dll อันตราย ใช้ DLL side-loading โหลดโค้ดร้าย รันแบบ fileless ในหน่วยความจำ พุ่งเป้าผู้ใช้ที่พูดภาษาจีนและญี่ปุ่น กิจกรรมเพิ่มเกือบเท่าตัวในปี 2026

พบ RAT ตัวใหม่ 'Mistic' เปิดประตูสู่ ransomware หลายตระกูล — IAB Woodgnat เชื่อมโยง Qilin, Akira, Black Basta

New Mistic RAT opens door to several ransomware families
Symantec และ Carbon Black ของ Broadcom เปิดเผยว่า initial access broker ชื่อ Woodgnat (หรือ KongTuke) ที่เคลื่อนไหวตั้งแต่พฤษภาคม 2024 กำลังใช้ RAT ตัวใหม่ชื่อ Backdoor.Mistic โจมตีองค์กรหลายอุตสาหกรรมตั้งแต่เมษายน 2026 กลุ่มนี้เชื่อมโยงกับ ransomware อย่าง Qilin, Interlock, Rhysida, Akira, 8Base และ Black Basta ใช้เทคนิค ClickFix, FileFix และ Microsoft Teams หลอกให้เหยื่อรันคำสั่ง PowerShell