ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

25 ข่าว

SCMBANKER มัลแวร์ธนาคารตัวใหม่ ใช้กลลวง ClickFix เจาะลูกค้าธนาคารเม็กซิโก

powershell clickfix malware apt captcha elastic security labs
มัลแวร์ธนาคารตัวใหม่ SCMBANKER พุ่งเป้าลูกค้าธนาคาร ฟินเทค และกระดานเทรดคริปโตในเม็กซิโก ใช้กลลวง ClickFix ผ่านหน้า CAPTCHA ปลอมหลอกให้เหยื่อรันคำสั่งติดตั้งเอง ทีมวิจัย Elastic Security Labs ที่ติดตามในชื่อ REF6045 พบว่าเป็นชุดเครื่องมือ PowerShell ที่ใช้ AI ช่วยเขียน เฝ้าดูเซสชันธนาคาร สลับเลขบัญชีในคลิปบอร์ด และเปิดทางรีโมตเข้าเครื่องได้เต็มรูปแบบ

แฮ็กเกอร์ปลอมเป็นทีมไอทีโทรผ่าน Microsoft Teams หลอกติดตั้งมัลแวร์ EtherRAT — ใช้สัญญาอัจฉริยะ Ethereum ซ่อนเซิร์ฟเวอร์ควบคุม

fake it support microsoft teams call pushing etherrat malware
บริษัท Palo Alto Networks (Unit 42) เปิดเผยแคมเปญที่ปลอมเป็นทีมไอทีซัพพอร์ตโทรผ่าน Microsoft Teams หลอกพนักงานให้ติดตั้งมัลแวร์ EtherRAT ผู้โจมตีเริ่มจากอีเมลฟิชชิงแนบ PDF แล้วโทรจากบัญชีภายนอกอ้างเป็นผู้ดูแลระบบ ก่อนหลอกให้เปิดสิทธิ์ควบคุมเครื่องและติดตั้งเครื่องมือรีโมตจริงอย่าง AnyDesk สุดท้ายรัน EtherRAT ที่ใช้สัญญาอัจฉริยะ Ethereum ซ่อนเซิร์ฟเวอร์ควบคุมสั่งการ ทำให้ปิดกั้นได้ยาก

จ้างงานข้ามพรมแดนยุค AI — เมื่อผู้สมัครที่ไม่เคยเจอตัวจริงอาจเป็นสายลับเกาหลีเหนือ ไทยติดกลุ่มปลายทางจ้างงานยอดนิยม

Remote cross-border hiring security risks including North Korean operatives and deepfake interviews
รายงานจาก Hackread ชี้ว่าการจ้างงานทีมข้ามพรมแดนกลายเป็นเรื่องปกติของสตาร์ตอัป AI แต่มาพร้อมความเสี่ยงด้านความปลอดภัยที่รุนแรงขึ้น เมื่อผู้สมัครที่ไม่เคยเจอตัวจริงอาจใช้ตัวตนปลอม การสัมภาษณ์ที่ถูกปลอมด้วย deepfake และฟาร์มโน้ตบุ๊กเพื่อซ่อนที่อยู่จริง Hackread เคยบันทึกกรณีที่คาดว่าเป็นสายลับเกาหลีเหนือได้งานไอทีระยะไกลโดยผ่านการตรวจสอบมาตรฐาน ไทยถูกระบุเป็นหนึ่งในปลายทางจ้างงานข้ามพรมแดนยอดนิยมในเอเชียตะวันออกเฉียงใต้

Opera เปิดตัว Paste Protect สกัดการโจมตี ClickFix ตั้งแต่ต้นทาง

clickfix social engineering security soc paste protect
Opera เปิดตัวฟีเจอร์ความปลอดภัย Paste Protect ที่ออกแบบมาสกัดการโจมตีแบบ ClickFix ซึ่งหลอกให้ผู้ใช้คัดลอกและรันคำสั่งอันตราย ฟีเจอร์นี้บล็อกคำสั่งที่เป็นอันตรายก่อนถูกคัดลอกลงคลิปบอร์ด ใช้ทั้ง Hijack protection เดิมและ Injection protection ตัวใหม่ รองรับ Windows, macOS และ Linux เมื่อพบเนื้อหาน่าสงสัยจะบล็อกและแสดงคำเตือนพร้อมไอคอนสีแดง ผู้ใช้ตั้ง allow-list เว็บที่เชื่อถือได้ ฟีเจอร์เปิดใช้งานเป็นค่าเริ่มต้นในเวอร์ชันล่าสุด

สหรัฐฯ ส่งผู้ต้องสงสัยกลุ่ม Scattered Spider วัย 19 ปีข้ามแดนจากฟินแลนด์ ขึ้นศาลข้อหาแฮ็กและฉ้อโกง

19-year-old Scattered Spider suspect extradited to face US hacking charges
กระทรวงยุติธรรมสหรัฐฯ ประกาศส่งตัวนาย Peter Stokes วัย 19 ปี ผู้ต้องสงสัยสมาชิกกลุ่ม Scattered Spider ข้ามแดนจากฟินแลนด์มาขึ้นศาลชิคาโก ข้อหาสมคบคิด บุกรุกคอมพิวเตอร์ และฉ้อโกง เอกสารศาลระบุการบุกรุกอย่างน้อย 4 ครั้ง รวมกรณีเรียกค่าไถ่ราว 8 ล้านดอลลาร์ ถือเป็นส่วนหนึ่งของการกวาดล้างเครือข่ายที่โจมตีคาสิโน ค้าปลีก และสายการบิน

นักวิจัยผ่า 3,000 เพย์โหลด ClickFix เผยเบื้องหลังเป็นเซิร์ฟเวอร์แจกมัลแวร์ผ่าน API

clickfix malware ise office driven malware delivery clickfix exposing api
นักวิจัย Bert-Jan Pals ถอดรหัสแพลตฟอร์ม ClickFix หลายตัวและวิเคราะห์เพย์โหลดกว่า 3,000 ตัวจากแคมเปญจริง พบว่าคำสั่งอันตรายเบื้องหลังหน้า CAPTCHA ปลอมถูกจ่ายผ่านเซิร์ฟเวอร์ API ที่ส่งมัลแวร์ตัวเดียวกันในรูปพรางต่างกันทุกครั้ง พร้อมพบวิธีส่งใหม่ที่ดาวน์โหลดไฟล์ลงโฟลเดอร์ Downloads เพื่อเลี่ยง AMSI ของ Windows ClickFix เติบโตขึ้น 517% และคิดเป็น 47% ของเคส initial access ที่ Microsoft พบ ผู้ดูแลระบบควรเฝ้าระวัง process chain ไม่ใช่แค่ clipboard

FBI เตือนสายลับรัสเซียล้วง Signal Backup Recovery Key เพื่อยึดบัญชีเป้าหมายข่าวกรอง

FBI warns Russian intelligence hackers target Signal backup recovery keys
FBI และ CISA อัปเดตคำเตือนเรื่องสายลับรัสเซียฟิชชิงบัญชี Signal โดยเพิ่มขั้นตอนใหม่ หลอกเหยื่อให้ส่งมอบ Signal Backup Recovery Key เมื่อได้คีย์ไป ผู้โจมตีสามารถกู้คืนแบ็กอัป อ่านประวัติข้อความ และยึดบัญชีได้ แม้สร้างบัญชีใหม่บนเบอร์เดิมคีย์เก่ายังใช้ได้ การโจมตีไม่ได้เจาะการเข้ารหัส แต่ใช้ social engineering เป้าหมายคือเจ้าหน้าที่รัฐ ทหาร นักข่าว

SSU ยูเครนผนึก FBI แฉปฏิบัติการข่าวกรองรัสเซีย — ส่ง SMS ปลอมเป็นฝ่ายสนับสนุนล้วงบัญชีแอปแชต

Russian intelligence fake support texts steal messaging credentials Ukraine
หน่วยความมั่นคงยูเครน (SSU) ร่วมกับ FBI เปิดโปงปฏิบัติการระยะยาวของหน่วยข่าวกรองรัสเซียที่เจาะบัญชีแอปแชตของเจ้าหน้าที่รัฐ ทหาร นักการเมือง และนักเคลื่อนไหวในยูเครน ยุโรป และสหรัฐฯ ด้วยการส่ง SMS ปลอมเป็นบอทฝ่ายสนับสนุนของแพลตฟอร์มหลอกขอข้อมูลล็อกอิน เป้าหมายคือล้วงข้อมูลทางทหาร การเมือง และเศรษฐกิจที่อ่อนไหว คลื่นโจมตีคล้ายกันถูกเชื่อมโยงกับกลุ่ม Star Blizzard, UNC5792 และ UNC4221

บริษัทไซเบอร์ถูกเล็งเป้า — แฮ็กเกอร์สร้างองค์กร OpenAI ปลอมหลอกเชิญพนักงานเข้าร่วม ล้วงข้อมูลลับผ่าน ChatGPT

fraudulent OpenAI organization invites phishing cybersecurity firms
บริษัท Push Security เปิดโปงแคมเปญ Poisoned Tenant ที่แฮ็กเกอร์สร้างองค์กร OpenAI ปลอมแอบอ้างชื่อบริษัทจริง แล้วส่งคำเชิญเข้าร่วม ChatGPT workspace ไปยังพนักงานที่เลือกเป้าหมายไว้ คำเชิญส่งจากอีเมลจริงของ OpenAI ผ่านการตรวจสอบ authentication ทุกขั้น เป้าหมายคือหลอกให้พนักงานใช้ workspace ปลอมเสมือนแพลตฟอร์มองค์กรจริงเพื่อดักข้อมูลอ่อนไหวที่พิมพ์ลง prompt เหยื่อที่ตกเป็นเป้าล้วนอยู่ในวงการไซเบอร์และเทคโนโลยี

แคมเปญปลอมเป็น Microsoft Teams หลอกติดตั้ง RMM — ฝังตัวลึกขโมยรหัสผ่านระดับล็อกอิน

Microsoft Teams impersonation campaign delivering remote access tool
Cyfirma เปิดเผยแคมเปญฟิชชิงที่ปลอมเป็นการแจ้งเตือนจาก Microsoft Teams หลอกพนักงานให้ดาวน์โหลดเครื่องมือ RMM ที่ตั้งค่าให้เชื่อมต่อกลับเซิร์ฟเวอร์ของผู้โจมตี ตัวติดตั้งถูกเซ็นด้วยใบรับรองถูกต้องจึงหลบ AV ได้ และใช้เว็บไซต์ธุรกิจที่ถูกเจาะร่วมกับ Cloudflare Workers/Pages เป็นโครงสร้างพื้นฐาน เมื่อติดตั้งแล้วผู้โจมตีฝังตัวหลายชั้นและลงทะเบียน credential provider DLL เพื่อดักรหัสผ่านที่หน้าจอล็อกอิน