ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

13 ข่าว

Siggen แบ็กดอร์เจาะนักพัฒนา Windows — ฝังตัวในโปรเจกต์ Visual Studio ขโมยรหัสผ่านและกระเป๋าคริปโต

backdoor credential developer windows siggen backdoor hits windows developers via infected visual studio projects dr sig
นักวิจัยจาก Doctor Web เปิดเผยแบ็กดอร์ตัวใหม่ชื่อ Siggen (BackDoor.Siggen2.5906) ที่เจาะจงเป้าหมายไปที่นักพัฒนาซอฟต์แวร์ โดยแก้ไขโปรเจกต์ C++ และ C# เพื่อแพร่โค้ดอันตรายผ่านซอร์สโค้ดและแอปที่คอมไพล์แล้ว มัลแวร์ขโมยรหัสผ่าน คุกกี้เบราว์เซอร์ โทเคน Discord/Telegram และข้อมูลกระเป๋าคริปโต พร้อมติดตั้งโปรแกรมขุดเหรียญและเปิดรีโมตให้แฮ็กเกอร์ ซ่อนที่อยู่ C2 ไว้ในโปรไฟล์ Steam และไฟล์ GitHub สาธารณะ

ด่วน — Progress สั่งลูกค้า ShareFile ปิด Storage Zone Controller ทันที หลังพบ 'ภัยคุกคามที่น่าเชื่อถือ'

Progress urges ShareFile customers to shut down Storage Zone Controllers over security threat
บริษัท Progress Software สั่งให้ลูกค้า ShareFile ปิดเซิร์ฟเวอร์ Windows ที่รัน Storage Zone Controller ทันที โดยยืนยันว่ากำลังรับมือ ‘ภัยคุกคามจากภายนอกที่น่าเชื่อถือ’ และระงับการเข้าถึงบัญชีที่ได้รับผลกระทบชั่วคราว บริษัทระบุยังไม่พบสัญญาณการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต แต่ไม่เปิดเผยว่าภัยคุกคามคืออะไร การสั่งปิดทั้งระบบแทนการแพตช์บ่งชี้ว่าอาจยังไม่มีตัวแก้ไข กระทบเฉพาะ Storage Zone Controller ไม่ใช่บัญชีคลาวด์ทั่วไป

แฮ็กเกอร์ปลอมตัวติดตั้ง Node.js ผ่าน Google Ads — ปล่อยมัลแวร์ตัวใหม่ OXLOADER ส่ง CASTLESTEALER ขโมยข้อมูล

Hackers impersonate Node.js installer in Google Ads to deploy infostealer malware
แฮ็กเกอร์ใช้โฆษณา Google Ads ปลอมผลักดันตัวโหลดมัลแวร์ตัวใหม่ OXLOADER ที่ปลอมเป็นตัวติดตั้ง Node.js เล็งผู้ใช้ Windows ในสหรัฐ เพียงคลิกผลค้นหาแบบสปอนเซอร์ก็จะถูกเปลี่ยนทางผ่านโดเมนกลางไปดาวน์โหลดสคริปต์ batch อันตรายที่โฮสต์บนบริการคลาวด์ถูกกฎหมาย Elastic Security Labs พบแคมเปญนี้ส่ง infostealer ชื่อ CASTLESTEALER ที่ทำงานบนหน่วยความจำ มีอัตราการตรวจจับต่ำมาก

DPAPISnoop เครื่องมือใหม่ถอดรหัส CREDHIST ของ Windows — กู้คืนรหัสผ่านเก่าทั้งหมดแบบออฟไลน์

DPAPISnoop tool extracting CREDHIST hashes from Windows credentials
เครื่องมือโอเพนซอร์ส DPAPISnoop ได้รับการอัปเดตให้สามารถสกัดข้อมูลจากไฟล์ CREDHIST ของ Windows ซึ่งเก็บประวัติรหัสผ่านเก่าไว้เป็นลูกโซ่ แล้วแปลงเป็นแฮชที่ถอดรหัสออฟไลน์ได้ด้วย Hashcat รองรับทั้ง 3DES/HMAC-SHA1 และ AES-256/SHA-512 ช่วยให้ผู้ทดสอบเจาะระบบวิเคราะห์แพทเทิร์นรหัสผ่านและยกระดับสิทธิ์ได้อย่างมีประสิทธิภาพ

Microsoft Patch Tuesday มิ.ย. 2569 ทุบสถิติ — แพตช์ 206 ช่องโหว่ รวม 3 zero-day และบั๊ก RCE ระดับ CVSS 9.8 หลายตัว

Microsoft June 2026 Patch Tuesday record 206 flaws three zero-days
Microsoft ออกแพตช์มิถุนายน 2569 แก้ช่องโหว่ 206 รายการ มากที่สุดเป็นประวัติการณ์ในรอบเดียว รวม 39 ตัวระดับ Critical และ 3 zero-day ที่ถูกเปิดเผยสู่สาธารณะแล้ว ตัวร้ายแรงสุด CVE-2026-45657 CVSS 9.8 use-after-free ใน Windows Kernel เปิด RCE ผ่าน network packet โดยไม่ต้องล็อกอิน พร้อมบั๊ก HTTP.sys และ DHCP Client ระดับ 9.8 อีกสองตัว Microsoft ระบุจำนวนแพตช์พุ่งเพราะ AI ช่วยค้นช่องโหว่

RoguePlanet — Zero-Day ตัวที่ 4 ใน Microsoft Defender จากนักวิจัยนิรนาม ได้ shell สิทธิ์ SYSTEM บน Windows ที่แพตช์ล่าสุดแล้ว

Microsoft Defender RoguePlanet zero-day exploit
นักวิจัยนิรนาม Chaotic Eclipse ปล่อย PoC exploit ชื่อ RoguePlanet โจมตี zero-day ใน Microsoft Defender ผ่านเทคนิค race condition ได้ shell สิทธิ์ SYSTEM บน Windows 10/11 ที่ติดตั้งแพตช์มิถุนายน 2569 ครบแล้ว นับเป็นช่องโหว่ Defender ตัวที่ 4 ต่อจาก BlueHammer, UnDefend และ RedSun ซึ่งทั้งหมดถูกโจมตีจริงแล้ว การเปิดเผยแบบไม่ประสานงานนี้เกิดจากความขัดแย้งระหว่างนักวิจัยกับ Microsoft นักวิจัยอิสระยืนยันว่า exploit ใช้งานได้จริง องค์กรควรเฝ้าระวังการยกระดับสิทธิ์ผิดปกติ

Microsoft Defender เพิ่มการ Monitor RPC Protocol — จับการโจมตี Impacket, DCsync, Authentication Coercion ระดับ OpNum

Microsoft Defender now monitors RPC protocol abuse OpNum granularity lateral movement
บริษัท Microsoft ขยายความสามารถของ Defender ให้ monitor detect และ disrupt การโจมตีที่ abuse Remote Procedure Call (RPC) ซึ่งเป็น protocol หลักของ Windows ที่ผู้โจมตีใช้สำหรับ lateral movement, credential theft และ privilege escalation ผ่านการ integrate กับ Windows Filtering Platform ระดับ OpNum สามารถจับ Impacket, DCsync, Service Control Manager, Task Scheduler และ WMI ได้แม้ traffic จะถูก SMB3 encrypt

เครื่องมือของ red team ใหม่ชื่อ EDRChoker ใช้ QoS ของ Windows ในการบีบแบนด์วิดท์ทำให้ EDR agent ไม่สามารถเชื่อมต่อระบบได้ ทำให้ไม่พบความผิดปกติของการโจมตีระบบ

EDRChoker tool uses QoS to block EDR processes
เครื่องมือโอเพนซอร์ส red team ตัวใหม่ชื่อ EDRChoker เปิดเทคนิคใหม่ในการปิดการทำงาน EDR ที่เชื่อมต่อด้วยระบบคลาวด์ ไม่ใช่วิธีการ kill process หรือ Code Injection แต่ใช้วิธีบีบแบนด์วิดท์เครือข่ายของ process EDR ให้เหลือเกือบศูนย์ด้วย Policy-Based QoS ของ Windows ที่ 8 bps ทำให้ TLS handshake ทำไม่สำเร็จ ผลคือ EDR ตัดขาดจากเซิร์ฟเวอร์คลาวด์และไม่สามารถดำเนินการทำงานตามปกติได้ เทคนิคนี้ทำงานผ่าน pacer.sys ที่อยู่ลึกกว่าระดับ WFP ในสแตกเครือข่าย ทำให้หลบ detection rule ที่ตรวจจับการบล็อกแบบ WFP ได้

SmartApeSG กลับมาอีกครั้ง — ใช้ ClickFix ล่อเหยื่อติดตั้ง RAT บน Windows

SmartApeSG ClickFix campaign delivers RAT malware on Windows
แคมเปญ SmartApeSG กลับมาพร้อมเทคนิค ClickFix ใหม่ โดยหลอกเหยื่อผ่านหน้าเว็บปลอมที่อ้างว่าให้ยืนยันตัวตน จากนั้นบังคับให้รันสคริปต์อันตรายโดยไม่รู้ตัว ผลลัพธ์คือการติดตั้ง Remote Access Trojan (RAT) บนเครื่อง Windows ที่น่าเป็นห่วงเป็นพิเศษคือการโจมตีไม่หยุดแค่มัลแวร์ตัวเดียว แต่ดาวน์โหลดเครื่องมือที่มีประสิทธิภาพสูงกว่าเพิ่มเติมหลังได้ที่มั่นในระบบ เทคนิค ClickFix ถูกใช้อย่างแพร่หลายมากขึ้นในปี 2569

The Gentlemen: แรนซัมแวร์ใช้ SYSTEM Scheduled Task ยกสิทธิ์เข้ารหัสไดรฟ์ — แพร่ตัวเองทั่วเครือข่ายแบบ worm

The Gentlemen ransomware SYSTEM scheduled task self-propagating worm
นักวิจัยวิเคราะห์แรนซัมแวร์สายพันธุ์ใหม่ The Gentlemen ที่เขียนด้วย Go และ obfuscate ด้วย Garble ทำงานแบบ RaaS ขโมยข้อมูลคู่กับเข้ารหัสเพื่อกรรโชกสองชั้น จุดเด่นคือใช้ SYSTEM scheduled task ยกสิทธิ์สูงสุดก่อนเข้ารหัสไดรฟ์ และแพร่ตัวเองทั่วเครือข่ายแบบ worm ผ่าน PsExec, WMI, scheduled task, Windows service และ PowerShell remoting พร้อมปิด AV ลบ backup ล้าง log และทำลายร่องรอย forensic ก่อนเข้ารหัส