ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

7 ข่าว

แฮ็กเกอร์เจาะเราเตอร์ Motorola MR2600 ผ่านกระบวนการอัปเดตเฟิร์มแวร์ — รันโค้ดได้โดยไม่ต้องล็อกอิน

Motorola MR2600 Wi-Fi router firmware update flaw allows unauthenticated remote code execution
นักวิจัย MrBruh เปิดเผยช่องโหว่รันโค้ดจากระยะไกลแบบไม่ต้องยืนยันตัวตนในเราเตอร์ Wi-Fi Motorola MR2600 ที่เปิดให้ผู้โจมตีในเครือข่ายภายในอัปโหลดและติดตั้งเฟิร์มแวร์อันตรายโดยไม่ต้องล็อกอิน อาศัยข้อบกพร่อง 2 จุด คือตัวจัดการอัปโหลดบันทึกไฟล์ก่อนเช็กสิทธิ์ และตรรกะยืนยันตัวตนที่จับคู่ URL ไม่สม่ำเสมอจนถูกข้ามได้ เนื่องจากไม่มีการเซ็นเฟิร์มแวร์ด้วยลายเซ็นดิจิทัล ผู้โจมตีจึงสร้างเฟิร์มแวร์ปลอมที่ผ่านการตรวจได้ อุปกรณ์นี้เป็น End-of-life แนะนำให้ปิด remote management และเปลี่ยนอุปกรณ์

CERT/CC เตือนพบแบ็กดอร์ผู้ดูแลระบบซ่อนในเฟิร์มแวร์เราเตอร์ Tenda — CVE-2026-11405 ยังไม่มีแพตช์

CERT/CC warns of hidden admin backdoor in Tenda router firmware
ศูนย์ CERT/CC เตือนพบแบ็กดอร์ยืนยันตัวตนที่ไม่มีการบันทึกในเฟิร์มแวร์เราเตอร์ของบริษัท Tenda ผู้ผลิตอุปกรณ์เครือข่ายจีน ช่องโหว่ CVE-2026-11405 เปิดให้ผู้โจมตีข้ามการตรวจรหัสผ่านและยึดหน้าจัดการเว็บระดับผู้ดูแลได้เต็มรูปแบบโดยไม่ต้องมีบัญชีที่ถูกต้อง ฟังก์ชัน login() ใน /bin/httpd จะดึงรหัสผ่านสำรอง sys.rzadmin.password มาเทียบแบบข้อความล้วน กระทบเฟิร์มแวร์หลายรุ่นทั้ง AC10, AC5, AC6, W15E และ FH1201 และยังไม่มีแพตช์

RustDuck บอตเน็ตเขียนใหม่ด้วยภาษา Rust ยึดเราเตอร์-กล้อง-เซิร์ฟเวอร์ปล่อย DDoS — พัฒนาเทคนิคหลบการวิเคราะห์ระดับสูง

RustDuck botnet rewritten in Rust hijacking routers and servers for DDoS
นักวิจัยจาก XLab ของ QiAnXin เปิดเผยบอตเน็ตใหม่ชื่อ RustDuck ที่ยึดเราเตอร์บ้าน กล้อง IP กล่อง Android และเซิร์ฟเวอร์ที่ป้องกันหละหลวม เพื่อรวมเป็นเครือข่ายโจมตี DDoS จุดเด่นคือกำลังถูกเขียนใหม่จากภาษา C เป็น Rust ซึ่งวิเคราะห์ยากขึ้น และมีกลไกหลบการวิเคราะห์ขั้นสูง เช่น ตรวจ sandbox เครื่องมือวิเคราะห์ และ VM แพร่ผ่านรหัสผ่านอ่อนและช่องโหว่เก่าหลายตัวรวมถึง CVE-2017-17215 และ CVE-2025-29635 ใช้ ChaCha20-Poly1305 และ duckdns.org เป็นช่องทางควบคุม

AryStinger เปลี่ยนเราเตอร์เก่า 4,300 ตัวเป็นเครือข่ายสอดแนม — ใช้ช่องโหว่ปี 2013-2016 สร้างพร็อกซีซ่อนตัวก่อนเจาะระบบ

AryStinger malware infects 4300 legacy routers reconnaissance proxy network
นักวิจัย XLab ของ QiAnXin พบมัลแวร์ตระกูลใหม่ AryStinger เปลี่ยนเราเตอร์บ้านเก่าอย่างน้อย 4,300 ตัวให้เป็นเครือข่ายสอดแนมและพร็อกซี ไม่ใช่บอตเน็ต DDoS ทั่วไป มันโจมตีเราเตอร์ชิป Realtek RTL819X ผ่าน CVE-2013-3307 และ CVE-2016-5681 และ QNAP NAS ผ่าน CVE-2025-11837 อุปกรณ์ติดมัลแวร์ทำหน้าที่สแกน ฟิงเกอร์พรินต์บริการ และซ่อนตำแหน่งผู้โจมตีจริงก่อนการบุกรุก

หน่วยข่าวกรองแคนาดาใช้หมายศาลครั้งแรก เข้าล้างบอตเน็ตในอุปกรณ์ IoT/เราเตอร์บนแผ่นดินตัวเอง — ทลายเครือข่ายรัฐต่างชาติ 2 กลุ่ม

Canadian Security Intelligence Service used first-of-its-kind warrant to clean botnet-infected devices
ศาลกลางแคนาดาเปิดเผยคำพิพากษาเมื่อ 15 มิถุนายน 2026 ว่าหน่วยข่าวกรอง CSIS ได้รับอนุญาตใช้หมายลดภัยคุกคามเป็นครั้งแรก เข้าแก้ไข ลดทอน และทำลายข้อมูลบอตเน็ตในเซิร์ฟเวอร์ เราเตอร์ SOHO และอุปกรณ์ IoT บนแผ่นดินแคนาดา เพื่อตัดอุปกรณ์ออกจากเครือข่ายรัฐต่างชาติ 2 กลุ่ม เป้าหมายรวมถึง Ring doorbell กล้องวงจรปิด และทีวี Wi-Fi คดีนี้คล้ายปฏิบัติการ FBI ล้าง KV-botnet ของ Volt Typhoon

C0XMO บอตเน็ตสายพันธุ์ Gafgyt — เจาะ DD-WRT ผ่าน CVE-2021-27137 ลามข้ามสถาปัตยกรรม พร้อมฆ่ามัลแวร์คู่แข่ง

C0XMO botnet spreads via DD-WRT router flaw
Fortinet พบบอตเน็ตสายพันธุ์ใหม่ของ Gafgyt ชื่อ C0XMO มุ่งเป้าเฟิร์มแวร์เราเตอร์ DD-WRT และลามไปยังอุปกรณ์หลายสถาปัตยกรรมทั้ง ARM, MIPS, PowerPC, x86 มันแพร่ผ่านการเจาะ CVE-2021-27137 ช่องโหว่ buffer overflow ที่รันโค้ดได้โดยไม่ต้องยืนยันตัวตน รองรับการโจมตี DDoS ถึง 19 วิธี ใช้สแกนเนอร์ Python brute-force SSH/Telnet ฝังตัวด้วย cron ทุก 15 นาที และไล่ฆ่ามัลแวร์คู่แข่งกับเครื่องมือ red team บนเครื่องเหยื่อ

แฮ็กเกอร์จีนฝัง Linux Implant ในเราเตอร์ขอบเครือข่ายทั่วเอเชียตะวันออกเฉียงใต้ — ไทยเสี่ยงโดยตรง

China-linked APT deploys router.elf Linux implant on Southeast Asian edge routers with Cobalt Strike on Windows
กลุ่ม APT ที่เชื่อมโยงกับจีนถูกพบฝัง Linux implant ชื่อ router.elf ในเราเตอร์ขอบเครือข่ายทั่วเอเชียตะวันออกเฉียงใต้ ระบบ C2 ใช้ HTTPS port 443 และหลีกเลี่ยง DNS monitoring ผ่าน Cloudflare DNS over HTTPS ขณะที่ Windows endpoint ในเครือข่ายเดียวกันถูกโจมตีด้วย Cobalt Strike Beacon ผ่าน DLL sideloading IoC ชี้ไปที่จีนจากภาษา Mandarin ในโค้ด และ license ID ที่เชื่อมโยงกับปฏิบัติการจีนมาโดยตลอด