ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

16 ข่าว

EU และอังกฤษคว่ำบาตรครั้งแรกร่วมกัน — เล่นงานแฮ็กเกอร์ทหาร GRU รัสเซียและเครือข่าย FSB คุม Turla

europe hacking military rat gru russian gru
สหภาพยุโรป (EU) และสหราชอาณาจักรออกมาตรการคว่ำบาตรร่วมกันครั้งแรก เล่นงานบุคคลและองค์กรรัสเซียหลายสิบราย พร้อมกล่าวหารัสเซียว่าประสานเครือข่ายกลุ่มแฮ็กเกอร์ก่อเหตุโจมตีทั่วยุโรป EU ระบุชื่อหน่วย 16th Centre ของ FSB ว่าควบคุมกลุ่มภัยคุกคามหลายกลุ่มรวมถึง Turla ส่วนอังกฤษคว่ำบาตร 24 รายรวมนายทหาร GRU ระดับสูงและผู้เกี่ยวข้องกับมัลแวร์ Lumma Stealer ครอบคลุมปฏิบัติการจารกรรมโครงสร้างพื้นฐานสำคัญ

Turla กลุ่มจารกรรมรัสเซียเจาะช่องโหว่ SharePoint เข้าถึงบัญชีผู้ใช้ในฝรั่งเศสหลายพันราย

Turla Russian espionage hackers exploit SharePoint flaw to access thousands of French user accounts
หน่วยงานฝรั่งเศส C4 และ CERT-FR เปิดรายงานการเจาะระบบโดยกลุ่มจารกรรมไซเบอร์ Turla ที่เชื่อมโยงกับหน่วยงานความมั่นคง FSB ของรัสเซีย กลุ่มนี้เคลื่อนไหวมากว่าสองทศวรรษ ขโมยข้อมูลอ่อนไหวจากหน่วยงานรัฐ การทูต กลาโหม กระบวนการยุติธรรม และบริษัทเทคโนโลยี ในปี 2019 Turla เจาะเซิร์ฟเวอร์ขององค์กรภาคยุติธรรมฝรั่งเศสผ่านช่องโหว่ Microsoft SharePoint อาจเข้าถึงข้อมูลบัญชีผู้ใช้หลายพันราย กลุ่มยังใช้เหยื่อรายย่อยเป็นจุดพักส่งต่อการโจมตี ทำให้ตรวจจับได้ยาก

กลุ่ม Armored Likho โจมตีหน่วยงานรัฐและภาคพลังงานด้วย BusySnake Stealer — ใช้ช่องโหว่ LNK CVE-2025-9491 และ AI ช่วยสร้างมัลแวร์

armored likho busysnake stealer espionage kaspersky government power sector
บริษัท Kaspersky เปิดเผยกลุ่มภัยคุกคามใหม่ชื่อ Armored Likho ที่โจมตีหน่วยงานรัฐและภาคไฟฟ้าในรัสเซีย บราซิล และคาซัคสถาน ผสมเป้าหมายจารกรรมกับการขโมยเงิน กลุ่มนี้ใช้มัลแวร์ขโมยข้อมูลตัวใหม่ชื่อ BusySnake ที่เขียนด้วย Python พร้อมใช้ช่องโหว่ LNK CVE-2025-9491 และมีร่องรอยว่าใช้ AI ช่วยสร้างโค้ดโหลดเดอร์ เชื่อมโยงกับกลุ่ม Eagle Werewolf

Gamaredon ขยายการโจมตียูเครน เพิ่มมัลแวร์ใหม่และใช้บริการคลาวด์บังหน้า

Gamaredon expands Ukraine attacks with new malware and cloud service abuse
ESET รายงานว่ากลุ่ม APT รัสเซีย Gamaredon ยังคงพัฒนาคลังมัลแวร์อย่างต่อเนื่องตลอดปี 2025 พบ 35 แคมเปญ spear-phishing มุ่งเป้าหน่วยงานรัฐและทหารยูเครนโดยเฉพาะ ใช้ HTML smuggling ปล่อย HTA downloader และอาวุธช่องโหว่ WinRAR (CVE-2025-8088) ฝังตัวใน Startup folder กลุ่มเพิ่มเครื่องมือ PowerShell ใหม่ 6 ตัว (PteroDee, PteroCache, PteroDum, PteroOdd, PteroEffigy, PteroPaste) และพึ่งพาบริการคลาวด์กับ tunnel/serverless worker มากขึ้นเพื่อซ่อนโครงสร้างพื้นฐานเบื้องหลัง

Turla กลุ่มจารกรรมรัสเซียใช้โครงสร้างที่ถูกยึดปล่อยแบ็กดอร์ STOCKSTAY โจมตียูเครน

Russia-linked Turla STOCKSTAY backdoor espionage Ukraine
กลุ่มภัยคุกคามที่เชื่อมโยงกับรัสเซีย Turla ขยายคลังเครื่องมือจารกรรมด้วยแบ็กดอร์ตัวใหม่ชื่อ STOCKSTAY โจมตีหน่วยงานรัฐและทหารในยูเครนตั้งแต่ปลายปี 2022 มัลแวร์เขียนด้วย .NET สื่อสารผ่าน WebSocket ที่เข้ารหัส ทำให้ตรวจจับยากในทราฟฟิกปกติ Turla ใช้โครงสร้างพื้นฐานของยูเครนที่ถูกยึด เช่น เว็บหน่วยงานรัฐและเซิร์ฟเวอร์บริษัทไอที เพื่อ stage และส่งเพย์โหลด นักวิจัย Google ระบุว่ามันมีความเชื่อมโยงกับชุดเครื่องมือ KAZUAR ของกลุ่มเดียวกัน

FBI เตือนสายลับรัสเซียล้วง Signal Backup Recovery Key เพื่อยึดบัญชีเป้าหมายข่าวกรอง

FBI warns Russian intelligence hackers target Signal backup recovery keys
FBI และ CISA อัปเดตคำเตือนเรื่องสายลับรัสเซียฟิชชิงบัญชี Signal โดยเพิ่มขั้นตอนใหม่ หลอกเหยื่อให้ส่งมอบ Signal Backup Recovery Key เมื่อได้คีย์ไป ผู้โจมตีสามารถกู้คืนแบ็กอัป อ่านประวัติข้อความ และยึดบัญชีได้ แม้สร้างบัญชีใหม่บนเบอร์เดิมคีย์เก่ายังใช้ได้ การโจมตีไม่ได้เจาะการเข้ารหัส แต่ใช้ social engineering เป้าหมายคือเจ้าหน้าที่รัฐ ทหาร นักข่าว

SSU ยูเครนผนึก FBI แฉปฏิบัติการข่าวกรองรัสเซีย — ส่ง SMS ปลอมเป็นฝ่ายสนับสนุนล้วงบัญชีแอปแชต

Russian intelligence fake support texts steal messaging credentials Ukraine
หน่วยความมั่นคงยูเครน (SSU) ร่วมกับ FBI เปิดโปงปฏิบัติการระยะยาวของหน่วยข่าวกรองรัสเซียที่เจาะบัญชีแอปแชตของเจ้าหน้าที่รัฐ ทหาร นักการเมือง และนักเคลื่อนไหวในยูเครน ยุโรป และสหรัฐฯ ด้วยการส่ง SMS ปลอมเป็นบอทฝ่ายสนับสนุนของแพลตฟอร์มหลอกขอข้อมูลล็อกอิน เป้าหมายคือล้วงข้อมูลทางทหาร การเมือง และเศรษฐกิจที่อ่อนไหว คลื่นโจมตีคล้ายกันถูกเชื่อมโยงกับกลุ่ม Star Blizzard, UNC5792 และ UNC4221

เปิดโปง Russian IAB เบื้องหลังแคมเปญ FortiBleed — ดักจับ credential จาก FortiGate กว่า 430,000 เครื่องทั่วโลก

FortiBleed Russian Initial Access Broker Campaign
บริษัท SOCRadar เปิดรายงานระบุตัว Russian Initial Access Broker ผู้อยู่เบื้องหลังแคมเปญ FortiBleed ที่กำหนดเป้าหมาย FortiGate firewall กว่า 430,000 เครื่อง ใช้เครื่องมือ FortigateSniffer ดักจับ credential ได้กว่า 110 ล้านรายการ พบโจมตีผู้รับจ้างกลาโหม NATO และกระทบหลายภาคส่วนทั่วโลก

APT28 (Fancy Bear) ยกระดับโจมตีด้วยเราเตอร์ SOHO และบริการคลาวด์ — กระทบ 120 ประเทศ

APT28 Fancy Bear hackers abuse compromised EdgeRouters and cloud services for stealthy cyberattacks
กลุ่มแฮ็กเกอร์ APT28 หรือ Fancy Bear ซึ่งเชื่อมโยงกับหน่วยข่าวกรองทางทหารรัสเซีย GRU Unit 26165 ปรับกลยุทธ์มาใช้เราเตอร์ SOHO ที่ถูกบุกรุกเป็นโครงสร้างพื้นฐานหลักในการโจมตี รายงานจาก Sekoia เผยว่ากลุ่มนี้เข้ายึด botnet MooBot ของเราเตอร์ Ubiquiti EdgeRouter ตั้งแต่ปี 2565 และในปี 2569 เปิดแคมเปญ FrostArmada มุ่งเป้าเราเตอร์ MikroTik และ TP-Link ส่งผลกระทบต่ออุปกรณ์กว่า 18,000 IP ใน 120 ประเทศ กลุ่มนี้ยังพัฒนาเครื่องมือใหม่หลายตัวรวมถึง LameHug ที่ใช้ AI สร้างคำสั่งโจมตีแบบ real-time

Gamaredon ใช้ช่องโหว่ WinRAR ปล่อย GammaWorm และ GammaSteel โจมตียูเครน — ซ่อน C2 ใน Telegram

Gamaredon exploits WinRAR to deliver GammaWorm and GammaSteel against Ukraine
บริษัท Sekoia เปิดเผยว่ากลุ่มแฮ็กเกอร์รัสเซีย Gamaredon ยังใช้ช่องโหว่ WinRAR (CVE-2025-8088) แบบ path traversal ปล่อย payload GammaPhish ที่ดึง VBScript downloader GammaLoad ต่อด้วยเวิร์ม GammaWorm และ infostealer GammaSteel พบในแคมเปญเดือนมกราคม 2569 GammaWorm ฝังตัวผ่าน scheduled task ซ่อนโฟลเดอร์จริงแล้วแทนด้วยไฟล์ LNK อันตราย และ resolve C2 ผ่านช่อง Telegram สาธารณะเพื่อกลมกลืนทราฟฟิก ส่วน GammaSteel ขโมยไฟล์ส่งไป AWS S3 มุ่งเป้าหน่วยงานรัฐและทหารยูเครน