ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

5 ข่าว

Gamaredon ขยายการโจมตียูเครน เพิ่มมัลแวร์ใหม่และใช้บริการคลาวด์บังหน้า

Gamaredon expands Ukraine attacks with new malware and cloud service abuse
ESET รายงานว่ากลุ่ม APT รัสเซีย Gamaredon ยังคงพัฒนาคลังมัลแวร์อย่างต่อเนื่องตลอดปี 2025 พบ 35 แคมเปญ spear-phishing มุ่งเป้าหน่วยงานรัฐและทหารยูเครนโดยเฉพาะ ใช้ HTML smuggling ปล่อย HTA downloader และอาวุธช่องโหว่ WinRAR (CVE-2025-8088) ฝังตัวใน Startup folder กลุ่มเพิ่มเครื่องมือ PowerShell ใหม่ 6 ตัว (PteroDee, PteroCache, PteroDum, PteroOdd, PteroEffigy, PteroPaste) และพึ่งพาบริการคลาวด์กับ tunnel/serverless worker มากขึ้นเพื่อซ่อนโครงสร้างพื้นฐานเบื้องหลัง

Turla กลุ่มจารกรรมรัสเซียใช้โครงสร้างที่ถูกยึดปล่อยแบ็กดอร์ STOCKSTAY โจมตียูเครน

Russia-linked Turla STOCKSTAY backdoor espionage Ukraine
กลุ่มภัยคุกคามที่เชื่อมโยงกับรัสเซีย Turla ขยายคลังเครื่องมือจารกรรมด้วยแบ็กดอร์ตัวใหม่ชื่อ STOCKSTAY โจมตีหน่วยงานรัฐและทหารในยูเครนตั้งแต่ปลายปี 2022 มัลแวร์เขียนด้วย .NET สื่อสารผ่าน WebSocket ที่เข้ารหัส ทำให้ตรวจจับยากในทราฟฟิกปกติ Turla ใช้โครงสร้างพื้นฐานของยูเครนที่ถูกยึด เช่น เว็บหน่วยงานรัฐและเซิร์ฟเวอร์บริษัทไอที เพื่อ stage และส่งเพย์โหลด นักวิจัย Google ระบุว่ามันมีความเชื่อมโยงกับชุดเครื่องมือ KAZUAR ของกลุ่มเดียวกัน

SSU ยูเครนผนึก FBI แฉปฏิบัติการข่าวกรองรัสเซีย — ส่ง SMS ปลอมเป็นฝ่ายสนับสนุนล้วงบัญชีแอปแชต

Russian intelligence fake support texts steal messaging credentials Ukraine
หน่วยความมั่นคงยูเครน (SSU) ร่วมกับ FBI เปิดโปงปฏิบัติการระยะยาวของหน่วยข่าวกรองรัสเซียที่เจาะบัญชีแอปแชตของเจ้าหน้าที่รัฐ ทหาร นักการเมือง และนักเคลื่อนไหวในยูเครน ยุโรป และสหรัฐฯ ด้วยการส่ง SMS ปลอมเป็นบอทฝ่ายสนับสนุนของแพลตฟอร์มหลอกขอข้อมูลล็อกอิน เป้าหมายคือล้วงข้อมูลทางทหาร การเมือง และเศรษฐกิจที่อ่อนไหว คลื่นโจมตีคล้ายกันถูกเชื่อมโยงกับกลุ่ม Star Blizzard, UNC5792 และ UNC4221

GhostShell มัลแวร์ใหม่เจาะอุตสาหกรรมโดรนยูเครน — ใช้ mTLS implant และ Telegram เป็น dead-drop

GhostShell malware mTLS implant Telegram dead-drop targets Ukrainian drone operations
นักวิจัย Synaptic Security เปิดโปงมัลแวร์คลัสเตอร์ใหม่ชื่อ GhostShell (MB-0009) ที่พุ่งเป้าอุตสาหกรรมโดรนและซัพพลายเชนกลาโหมยูเครน ส่งผ่านไฟล์ RAR ปลอมเอกสารบริษัท Besomar ที่ใช้ช่องโหว่ CVE-2025-8088/6218 ฝัง 3 payload ใช้ mutual TLS, ช่อง Telegram เป็น dead-drop resolver และอุโมงค์เข้ารหัสส่ง Vidar v2 ทำงานปฏิบัติการมาตั้งแต่ ก.พ. 2026

Gamaredon ใช้ช่องโหว่ WinRAR ปล่อย GammaWorm และ GammaSteel โจมตียูเครน — ซ่อน C2 ใน Telegram

Gamaredon exploits WinRAR to deliver GammaWorm and GammaSteel against Ukraine
บริษัท Sekoia เปิดเผยว่ากลุ่มแฮ็กเกอร์รัสเซีย Gamaredon ยังใช้ช่องโหว่ WinRAR (CVE-2025-8088) แบบ path traversal ปล่อย payload GammaPhish ที่ดึง VBScript downloader GammaLoad ต่อด้วยเวิร์ม GammaWorm และ infostealer GammaSteel พบในแคมเปญเดือนมกราคม 2569 GammaWorm ฝังตัวผ่าน scheduled task ซ่อนโฟลเดอร์จริงแล้วแทนด้วยไฟล์ LNK อันตราย และ resolve C2 ผ่านช่อง Telegram สาธารณะเพื่อกลมกลืนทราฟฟิก ส่วน GammaSteel ขโมยไฟล์ส่งไป AWS S3 มุ่งเป้าหน่วยงานรัฐและทหารยูเครน