ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

5 ข่าว

Microsoft เปิดเผยแคมเปญ Clipper malware แพร่ผ่าน USB ใช้ Tor hidden service เป็น C2 — ขโมย crypto wallet และรันโค้ดจากระยะไกล

Microsoft Windows Clipper malware campaign using USB LNK worm and Tor C2
บริษัท Microsoft เปิดเผยรายละเอียดแคมเปญ Clipper malware บน Windows ที่โจมตีผู้ใช้มาตั้งแต่กุมภาพันธ์ 2569 แพร่กระจายผ่านไฟล์ LNK shortcut ใน USB drive โดย deploy Tor client แบบ portable เชื่อมต่อ C2 ผ่าน hidden service ตรวจจับ clipboard ทุก 500 มิลลิวินาทีเพื่อขโมย seed phrase, private key และแทนที่ wallet address ของเหยื่อ พร้อมถ่ายภาพหน้าจอส่งผ่าน Tor และรันโค้ดจากระยะไกลได้

The Gentlemen Ransomware มีเหยื่อ 478 ราย — ใช้ AI พัฒนามัลแวร์ แพร่กระจายแบบ Worm ข้ามเครือข่ายได้เอง

The Gentlemen ransomware operation analysis
PRODAFT เปิดเบื้องหลังกลุ่ม The Gentlemen (Phantom Mantis) ที่มีเหยื่อ 478 รายแล้ว นำโดยอาชญากรไซเบอร์ชาวรัสเซียที่ใช้ AI ช่วยพัฒนา ransomware เวอร์ชันใหม่มีความสามารถแพร่กระจายแบบ worm ข้ามเครือข่ายผ่าน SSH ได้เอง เหยื่อส่วนใหญ่กระจายอยู่ในไทย สหราชอาณาจักร บราซิล เยอรมนี และอินเดีย

Phantom Gyp — เวิร์ม Miasma สายพันธุ์ใหม่ใช้ไฟล์ binding.gyp เจาะ 57 แพ็กเกจ npm ใน 2 ชั่วโมง

binding.gyp Phantom Gyp supply chain attack compromises dozens of npm packages
บริษัท StepSecurity เปิดเผยเวิร์มแพร่ตัวเองสายพันธุ์ใหม่ของ Miasma ตั้งชื่อเทคนิคว่า Phantom Gyp ที่ใช้ไฟล์ตั้งค่าเล็ก ๆ ชื่อ binding.gyp (157 ไบต์) กระตุ้นโค้ดอันตรายตอน npm install แทนการซ่อนใน package.json เลี่ยง preinstall/postinstall ที่ scanner ส่วนใหญ่ตรวจ เจาะ 57 แพ็กเกจ 286+ เวอร์ชันใน 2 ชั่วโมงเมื่อ 3 มิ.ย. เป้าใหญ่สุดคือ @vapi-ai/server-sdk (408,000 ดาวน์โหลด/เดือน) ขโมย credential คลาวด์ใน CI/CD ฝัง backdoor ใน Claude Code/Cursor/Gemini ทิ้งข้อความเย้ย Shai-Hulud

Miasma — Supply Chain Attack โจมตี npm ของ Red Hat ขโมย credentials จาก CI/CD pipeline

Miasma supply chain attack compromises Red Hat npm packages with credential-stealing worm
แคมเปญ supply chain attack ชื่อ Miasma โจมตี npm packages ในกลุ่ม @redhat-cloud-services จำนวน 32 packages กว่า 96 เวอร์ชัน ซึ่งมียอดดาวน์โหลดรวมกันกว่า 117,000 ครั้งต่อสัปดาห์ มัลแวร์เป็น variant ใหม่ของ Mini Shai-Hulud worm ที่แพร่กระจายตัวเองโดยขโมย credentials จาก developer machine และ CI/CD pipeline ผู้โจมตีเจาะเข้าระบบผ่าน GitHub Actions OIDC token ของพนักงาน Red Hat ทำให้ commit ที่อันตรายปรากฏเป็น verified และ signed เสมือนถูกกฎหมาย

The Gentlemen: แรนซัมแวร์ใช้ SYSTEM Scheduled Task ยกสิทธิ์เข้ารหัสไดรฟ์ — แพร่ตัวเองทั่วเครือข่ายแบบ worm

The Gentlemen ransomware SYSTEM scheduled task self-propagating worm
นักวิจัยวิเคราะห์แรนซัมแวร์สายพันธุ์ใหม่ The Gentlemen ที่เขียนด้วย Go และ obfuscate ด้วย Garble ทำงานแบบ RaaS ขโมยข้อมูลคู่กับเข้ารหัสเพื่อกรรโชกสองชั้น จุดเด่นคือใช้ SYSTEM scheduled task ยกสิทธิ์สูงสุดก่อนเข้ารหัสไดรฟ์ และแพร่ตัวเองทั่วเครือข่ายแบบ worm ผ่าน PsExec, WMI, scheduled task, Windows service และ PowerShell remoting พร้อมปิด AV ลบ backup ล้าง log และทำลายร่องรอย forensic ก่อนเข้ารหัส