รวมข่าวจากเวบ SecurityOnline
#รวมข่าวIT #20251215 #securityonline
NANOREMOTE: มัลแวร์ใหม่ที่ซ่อนตัวผ่าน Google Drive
เรื่องนี้เป็นการค้นพบของ Elastic Security Labs ที่เจอม้าโทรจันตัวใหม่ชื่อว่า NANOREMOTE ซึ่งทำงานบน Windows และใช้ Google Drive API เป็นช่องทางสื่อสารลับกับผู้โจมตี ทำให้การขโมยข้อมูลและสั่งงานแฝงตัวไปกับทราฟฟิกปกติได้อย่างแนบเนียน จุดเด่นคือมันสามารถใช้ OAuth 2.0 token เพื่อสร้างช่องทางลับในการส่งข้อมูล โดยมีตัวโหลดชื่อ WMLOADER ที่ปลอมตัวเป็นโปรแกรมของ Bitdefender แต่จริง ๆ แล้วเป็นตัวนำมัลแวร์เข้าสู่ระบบ จากนั้นจะถอดรหัสไฟล์ที่ซ่อนอยู่และปล่อยตัว NANOREMOTE ทำงานในหน่วยความจำโดยตรง นักวิจัยยังพบหลักฐานว่ามีการใช้โค้ดและคีย์เข้ารหัสเดียวกันกับมัลแวร์ตระกูล FINALDRAFT ซึ่งบ่งชี้ว่ามีรากฐานการพัฒนาร่วมกัน
https://securityonline.info/new-nanoremote-backdoor-uses-google-drive-api-for-covert-c2-and-links-to-finaldraft-espionage-group
SHADOW-VOID-042: แฮกเกอร์ปลอมตัวเป็น Trend Micro
กลุ่มผู้โจมตีที่ถูกเรียกว่า SHADOW-VOID-042 ใช้ชื่อเสียงของ Trend Micro มาหลอกเหยื่อ โดยส่งอีเมลฟิชชิ่งที่ดูเหมือนเป็นประกาศเตือนด้านความปลอดภัย เหยื่อที่เชื่อจะถูกพาไปยังเว็บไซต์ปลอมที่เลียนแบบสไตล์ของ Trend Micro และถูกติดตั้ง payload แบบเจาะจงเป้าหมาย การโจมตีนี้ไม่ใช่การสุ่ม แต่ถูกปรับแต่งให้เหมาะกับแต่ละเหยื่อ และมีการใช้ทั้งเทคนิคเก่าและใหม่ เช่น exploit ช่องโหว่ Chrome ปี 2018 รวมถึงการใช้ zero-day ที่ใหม่กว่าสำหรับเป้าหมายสำคัญ นักวิจัยเชื่อว่ากลุ่มนี้อาจเชื่อมโยงกับ Void Rabisu ซึ่งมีประวัติทำงานใกล้ชิดกับผลประโยชน์รัสเซีย
https://securityonline.info/shadow-void-042-impersonates-trend-micro-in-phishing-campaign-to-breach-critical-infrastructure
ช่องโหว่ร้ายแรงใน Plesk (CVE-2025-66430)
แพลตฟอร์ม Plesk ที่ใช้กันอย่างแพร่หลายในการโฮสต์เว็บไซต์ ถูกพบช่องโหว่ร้ายแรงที่ทำให้ผู้ใช้ทั่วไปสามารถยกระดับสิทธิ์ขึ้นเป็น root ได้ ช่องโหว่นี้อยู่ในฟีเจอร์ Password-Protected Directories ที่อนุญาตให้ผู้ใช้ฉีดข้อมูลเข้าไปใน Apache configuration ได้โดยตรง ผลคือสามารถสั่งรันคำสั่งใด ๆ ในระดับสูงสุดบนเซิร์ฟเวอร์ ซึ่งเสี่ยงต่อการถูกยึดครองทั้งระบบ Plesk ได้ออก micro-update เร่งด่วนเพื่อแก้ไข และแนะนำให้ผู้ดูแลระบบรีบอัปเดตทันที
https://securityonline.info/critical-plesk-flaw-cve-2025-66430-risks-full-server-takeover-via-lpe-and-apache-config-injection
Ashen Lepus: กลุ่ม APT ที่เชื่อมโยงกับ Hamas เปิดตัว AshTag Malware
ในขณะที่สงครามกาซายังคงดำเนินอยู่ กลุ่มแฮกเกอร์ Ashen Lepus หรือ WIRTE ที่เชื่อมโยงกับ Hamas ยังคงทำงานด้านไซเบอร์สอดแนมอย่างต่อเนื่อง และได้พัฒนาเครื่องมือใหม่ชื่อว่า AshTag ซึ่งเป็นชุดมัลแวร์แบบโมดูลาร์ที่ซ่อนตัวเก่งมาก ใช้ไฟล์ PDF หลอกเหยื่อให้เปิดเอกสารทางการทูตปลอม แล้วโหลด DLL อันตรายเข้ามา จากนั้น payload จะถูกดึงจาก HTML ที่ซ่อนอยู่และทำงานในหน่วยความจำโดยไม่แตะดิสก์ ทำให้ตรวจจับได้ยาก กลุ่มนี้ยังขยายเป้าหมายไปยังประเทศอาหรับอื่น ๆ เช่น โอมานและโมร็อกโก โดยมุ่งเน้นข้อมูลทางการทูตและความสัมพันธ์ระหว่างประเทศ
https://securityonline.info/hamas-affiliated-apt-ashen-lepus-unveils-ashtag-malware-suite-for-wider-cyber-espionage
ช่องโหว่ RasMan บน Windows ที่ยังไม่ได้แพตช์
นักวิจัยจาก 0patch พบช่องโหว่ใหม่ในบริการ Remote Access Connection Manager (RasMan) ของ Windows ที่ยังไม่ได้รับการแก้ไข แม้ Microsoft จะเพิ่งแพตช์ช่องโหว่อื่นที่เกี่ยวข้องไปแล้ว แต่พบว่ามีบั๊กที่ทำให้ผู้ใช้ทั่วไปสามารถทำให้บริการ RasMan crash ได้ และใช้ช่องทางนี้เพื่อยึดสิทธิ์ Local System ได้ ช่องโหว่นี้เกิดจากการจัดการ linked list ที่ผิดพลาด ทำให้เกิด NULL pointer และ crash ทันที 0patch ได้ออก micropatch ชั่วคราวเพื่อแก้ไข แต่ Microsoft ยังต้องออกแพตช์อย่างเป็นทางการในอนาคต
https://securityonline.info/unpatched-windows-rasman-flaw-allows-unprivileged-crash-enabling-local-system-privilege-escalation-exploit
ImageMagick พบช่องโหว่ร้ายแรง เสี่ยงเปิดเผยข้อมูลหน่วยความจำ
เรื่องนี้เป็นการค้นพบช่องโหว่ใน ImageMagick ซึ่งเป็นเครื่องมือโอเพ่นซอร์สที่ใช้กันอย่างแพร่หลายในการประมวลผลภาพ ช่องโหว่นี้เกิดขึ้นจากการจัดการไฟล์รูปแบบ PSX TIM ที่มาจากยุคเครื่อง PlayStation รุ่นแรก แต่กลับสร้างความเสี่ยงในระบบ 32-bit ปัจจุบัน เนื่องจากการคำนวณขนาดภาพโดยไม่ตรวจสอบการ overflow ทำให้ผู้โจมตีสามารถสร้างไฟล์ที่บิดเบือนค่าและนำไปสู่การอ่านข้อมูลหน่วยความจำที่ไม่ควรเข้าถึงได้ ข้อมูลที่รั่วไหลอาจรวมถึงรหัสผ่านหรือคีย์สำคัญต่าง ๆ ทีมพัฒนาได้แก้ไขแล้วในเวอร์ชัน 7.1.2-10 และแนะนำให้ผู้ดูแลระบบรีบอัปเดตทันที
https://securityonline.info/imagemagick-flaw-risks-arbitrary-memory-disclosure-via-psx-tim-file-integer-overflow-on-32-bit-systems
GOLD SALEM ใช้เครื่องมือ Velociraptor เป็นตัวช่วยโจมตี ransomware กลุ่มอาชญากรไซเบอร์ที่ชื่อ GOLD SALEM ถูกพบว่ามีการนำเครื่องมือด้านดิจิทัลฟอเรนสิกอย่าง Velociraptor ซึ่งปกติใช้สำหรับการตรวจสอบและตอบสนองเหตุการณ์ มาใช้เป็นเครื่องมือเตรียมการโจมตี ransomware โดยพวกเขาใช้วิธีดาวน์โหลดตัวติดตั้งจากโดเมนที่ควบคุมเอง และนำไปใช้สร้างช่องทางควบคุมระบบ รวมถึงการเจาะช่องโหว่ใน SharePoint ที่เรียกว่า ToolShell เพื่อเข้าถึงระบบองค์กร เป้าหมายของพวกเขาไม่ใช่แค่การเงิน แต่ยังรวมถึงองค์กรในด้านโทรคมนาคม พลังงานนิวเคลียร์ และอุตสาหกรรมการบิน ซึ่งมีนัยยะด้านการสอดแนมด้วย
https://securityonline.info/gold-salem-abuses-velociraptor-dfir-tool-as-ransomware-precursor-following-sharepoint-toolshell-exploitation
Apache StreamPark พบการใช้ key แบบ hard-coded และโหมดเข้ารหัสที่ล้าสมัย
แพลตฟอร์ม Apache StreamPark ซึ่งใช้สำหรับพัฒนาแอปพลิเคชันสตรีมมิ่ง ถูกพบว่ามีการใช้คีย์เข้ารหัสที่ถูกฝังตายตัวในซอฟต์แวร์ และยังใช้โหมด AES ECB ที่ไม่ปลอดภัย ทำให้ผู้โจมตีสามารถปลอมแปลงโทเคนและถอดรหัสข้อมูลได้ง่าย ช่องโหว่นี้กระทบตั้งแต่เวอร์ชัน 2.0.0 ถึง 2.1.7 และอาจส่งผลต่อระบบคลาวด์ที่ใช้แพลตฟอร์มนี้ ผู้ดูแลระบบถูกแนะนำให้อัปเดตเป็นเวอร์ชันล่าสุดเพื่อป้องกันความเสี่ยง
https://securityonline.info/apache-streampark-flaw-risks-data-decryption-token-forgery-via-hard-coded-key-and-aes-ecb-mode
Storm-0249 ใช้ DLL sideloading แฝงตัวในกระบวนการ EDR เพื่อเปิดทาง ransomware
กลุ่ม Storm-0249 ซึ่งเป็น initial access broker ได้เปลี่ยนกลยุทธ์จากการส่งฟิชชิ่งทั่วไปมาเป็นการโจมตีแบบเจาะจง โดยใช้ DLL sideloading กับโปรเซสของ SentinelOne ที่เป็นเครื่องมือรักษาความปลอดภัย ทำให้ดูเหมือนเป็นการทำงานปกติของระบบ แต่จริง ๆ แล้วเป็นการเปิดทางให้มัลแวร์เข้ามาได้ พวกเขายังใช้เทคนิค “living off the land” เช่นการใช้ curl.exe และ PowerShell เพื่อรันโค้ดโดยไม่ทิ้งร่องรอยในดิสก์ เป้าหมายคือการขายสิทธิ์เข้าถึงให้กับกลุ่ม ransomware อย่าง LockBit และ ALPHV
https://securityonline.info/storm-0249-abuses-edr-process-via-dll-sideloading-to-cloak-ransomware-access
VS Code Marketplace ถูกโจมตี supply chain ผ่าน 19 extensions ปลอม
นักวิจัยพบว่ามีการปล่อยส่วนขยาย VS Code ที่แฝงมัลแวร์จำนวน 19 ตัว โดยใช้เทคนิค typosquatting และ steganography ซ่อนโค้ดอันตรายในไฟล์ dependency ภายใน node_modules รวมถึงการปลอมไฟล์ภาพ banner.png ที่จริงเป็น archive บรรจุ binary อันตราย เมื่อส่วนขยายถูกใช้งาน มัลแวร์จะถูกโหลดขึ้นมาและใช้เครื่องมือของ Windows อย่าง cmstp.exe เพื่อรันโค้ดโดยเลี่ยงการตรวจจับ หนึ่งใน payload เป็น Rust trojan ที่ซับซ้อนและยังอยู่ระหว่างการวิเคราะห์ เหตุการณ์นี้สะท้อนถึงความเสี่ยงในห่วงโซ่อุปทานซอฟต์แวร์ที่นักพัฒนาต้องระวัง
https://securityonline.info/vs-code-supply-chain-attack-19-extensions-used-typosquatting-steganography-to-deploy-rust-trojan
#รวมข่าวIT #20251215 #securityonline
NANOREMOTE: มัลแวร์ใหม่ที่ซ่อนตัวผ่าน Google Drive
เรื่องนี้เป็นการค้นพบของ Elastic Security Labs ที่เจอม้าโทรจันตัวใหม่ชื่อว่า NANOREMOTE ซึ่งทำงานบน Windows และใช้ Google Drive API เป็นช่องทางสื่อสารลับกับผู้โจมตี ทำให้การขโมยข้อมูลและสั่งงานแฝงตัวไปกับทราฟฟิกปกติได้อย่างแนบเนียน จุดเด่นคือมันสามารถใช้ OAuth 2.0 token เพื่อสร้างช่องทางลับในการส่งข้อมูล โดยมีตัวโหลดชื่อ WMLOADER ที่ปลอมตัวเป็นโปรแกรมของ Bitdefender แต่จริง ๆ แล้วเป็นตัวนำมัลแวร์เข้าสู่ระบบ จากนั้นจะถอดรหัสไฟล์ที่ซ่อนอยู่และปล่อยตัว NANOREMOTE ทำงานในหน่วยความจำโดยตรง นักวิจัยยังพบหลักฐานว่ามีการใช้โค้ดและคีย์เข้ารหัสเดียวกันกับมัลแวร์ตระกูล FINALDRAFT ซึ่งบ่งชี้ว่ามีรากฐานการพัฒนาร่วมกัน
https://securityonline.info/new-nanoremote-backdoor-uses-google-drive-api-for-covert-c2-and-links-to-finaldraft-espionage-group
SHADOW-VOID-042: แฮกเกอร์ปลอมตัวเป็น Trend Micro
กลุ่มผู้โจมตีที่ถูกเรียกว่า SHADOW-VOID-042 ใช้ชื่อเสียงของ Trend Micro มาหลอกเหยื่อ โดยส่งอีเมลฟิชชิ่งที่ดูเหมือนเป็นประกาศเตือนด้านความปลอดภัย เหยื่อที่เชื่อจะถูกพาไปยังเว็บไซต์ปลอมที่เลียนแบบสไตล์ของ Trend Micro และถูกติดตั้ง payload แบบเจาะจงเป้าหมาย การโจมตีนี้ไม่ใช่การสุ่ม แต่ถูกปรับแต่งให้เหมาะกับแต่ละเหยื่อ และมีการใช้ทั้งเทคนิคเก่าและใหม่ เช่น exploit ช่องโหว่ Chrome ปี 2018 รวมถึงการใช้ zero-day ที่ใหม่กว่าสำหรับเป้าหมายสำคัญ นักวิจัยเชื่อว่ากลุ่มนี้อาจเชื่อมโยงกับ Void Rabisu ซึ่งมีประวัติทำงานใกล้ชิดกับผลประโยชน์รัสเซีย
https://securityonline.info/shadow-void-042-impersonates-trend-micro-in-phishing-campaign-to-breach-critical-infrastructure
ช่องโหว่ร้ายแรงใน Plesk (CVE-2025-66430)
แพลตฟอร์ม Plesk ที่ใช้กันอย่างแพร่หลายในการโฮสต์เว็บไซต์ ถูกพบช่องโหว่ร้ายแรงที่ทำให้ผู้ใช้ทั่วไปสามารถยกระดับสิทธิ์ขึ้นเป็น root ได้ ช่องโหว่นี้อยู่ในฟีเจอร์ Password-Protected Directories ที่อนุญาตให้ผู้ใช้ฉีดข้อมูลเข้าไปใน Apache configuration ได้โดยตรง ผลคือสามารถสั่งรันคำสั่งใด ๆ ในระดับสูงสุดบนเซิร์ฟเวอร์ ซึ่งเสี่ยงต่อการถูกยึดครองทั้งระบบ Plesk ได้ออก micro-update เร่งด่วนเพื่อแก้ไข และแนะนำให้ผู้ดูแลระบบรีบอัปเดตทันที
https://securityonline.info/critical-plesk-flaw-cve-2025-66430-risks-full-server-takeover-via-lpe-and-apache-config-injection
Ashen Lepus: กลุ่ม APT ที่เชื่อมโยงกับ Hamas เปิดตัว AshTag Malware
ในขณะที่สงครามกาซายังคงดำเนินอยู่ กลุ่มแฮกเกอร์ Ashen Lepus หรือ WIRTE ที่เชื่อมโยงกับ Hamas ยังคงทำงานด้านไซเบอร์สอดแนมอย่างต่อเนื่อง และได้พัฒนาเครื่องมือใหม่ชื่อว่า AshTag ซึ่งเป็นชุดมัลแวร์แบบโมดูลาร์ที่ซ่อนตัวเก่งมาก ใช้ไฟล์ PDF หลอกเหยื่อให้เปิดเอกสารทางการทูตปลอม แล้วโหลด DLL อันตรายเข้ามา จากนั้น payload จะถูกดึงจาก HTML ที่ซ่อนอยู่และทำงานในหน่วยความจำโดยไม่แตะดิสก์ ทำให้ตรวจจับได้ยาก กลุ่มนี้ยังขยายเป้าหมายไปยังประเทศอาหรับอื่น ๆ เช่น โอมานและโมร็อกโก โดยมุ่งเน้นข้อมูลทางการทูตและความสัมพันธ์ระหว่างประเทศ
https://securityonline.info/hamas-affiliated-apt-ashen-lepus-unveils-ashtag-malware-suite-for-wider-cyber-espionage
ช่องโหว่ RasMan บน Windows ที่ยังไม่ได้แพตช์
นักวิจัยจาก 0patch พบช่องโหว่ใหม่ในบริการ Remote Access Connection Manager (RasMan) ของ Windows ที่ยังไม่ได้รับการแก้ไข แม้ Microsoft จะเพิ่งแพตช์ช่องโหว่อื่นที่เกี่ยวข้องไปแล้ว แต่พบว่ามีบั๊กที่ทำให้ผู้ใช้ทั่วไปสามารถทำให้บริการ RasMan crash ได้ และใช้ช่องทางนี้เพื่อยึดสิทธิ์ Local System ได้ ช่องโหว่นี้เกิดจากการจัดการ linked list ที่ผิดพลาด ทำให้เกิด NULL pointer และ crash ทันที 0patch ได้ออก micropatch ชั่วคราวเพื่อแก้ไข แต่ Microsoft ยังต้องออกแพตช์อย่างเป็นทางการในอนาคต
https://securityonline.info/unpatched-windows-rasman-flaw-allows-unprivileged-crash-enabling-local-system-privilege-escalation-exploit
ImageMagick พบช่องโหว่ร้ายแรง เสี่ยงเปิดเผยข้อมูลหน่วยความจำ
เรื่องนี้เป็นการค้นพบช่องโหว่ใน ImageMagick ซึ่งเป็นเครื่องมือโอเพ่นซอร์สที่ใช้กันอย่างแพร่หลายในการประมวลผลภาพ ช่องโหว่นี้เกิดขึ้นจากการจัดการไฟล์รูปแบบ PSX TIM ที่มาจากยุคเครื่อง PlayStation รุ่นแรก แต่กลับสร้างความเสี่ยงในระบบ 32-bit ปัจจุบัน เนื่องจากการคำนวณขนาดภาพโดยไม่ตรวจสอบการ overflow ทำให้ผู้โจมตีสามารถสร้างไฟล์ที่บิดเบือนค่าและนำไปสู่การอ่านข้อมูลหน่วยความจำที่ไม่ควรเข้าถึงได้ ข้อมูลที่รั่วไหลอาจรวมถึงรหัสผ่านหรือคีย์สำคัญต่าง ๆ ทีมพัฒนาได้แก้ไขแล้วในเวอร์ชัน 7.1.2-10 และแนะนำให้ผู้ดูแลระบบรีบอัปเดตทันที
https://securityonline.info/imagemagick-flaw-risks-arbitrary-memory-disclosure-via-psx-tim-file-integer-overflow-on-32-bit-systems
GOLD SALEM ใช้เครื่องมือ Velociraptor เป็นตัวช่วยโจมตี ransomware กลุ่มอาชญากรไซเบอร์ที่ชื่อ GOLD SALEM ถูกพบว่ามีการนำเครื่องมือด้านดิจิทัลฟอเรนสิกอย่าง Velociraptor ซึ่งปกติใช้สำหรับการตรวจสอบและตอบสนองเหตุการณ์ มาใช้เป็นเครื่องมือเตรียมการโจมตี ransomware โดยพวกเขาใช้วิธีดาวน์โหลดตัวติดตั้งจากโดเมนที่ควบคุมเอง และนำไปใช้สร้างช่องทางควบคุมระบบ รวมถึงการเจาะช่องโหว่ใน SharePoint ที่เรียกว่า ToolShell เพื่อเข้าถึงระบบองค์กร เป้าหมายของพวกเขาไม่ใช่แค่การเงิน แต่ยังรวมถึงองค์กรในด้านโทรคมนาคม พลังงานนิวเคลียร์ และอุตสาหกรรมการบิน ซึ่งมีนัยยะด้านการสอดแนมด้วย
https://securityonline.info/gold-salem-abuses-velociraptor-dfir-tool-as-ransomware-precursor-following-sharepoint-toolshell-exploitation
Apache StreamPark พบการใช้ key แบบ hard-coded และโหมดเข้ารหัสที่ล้าสมัย
แพลตฟอร์ม Apache StreamPark ซึ่งใช้สำหรับพัฒนาแอปพลิเคชันสตรีมมิ่ง ถูกพบว่ามีการใช้คีย์เข้ารหัสที่ถูกฝังตายตัวในซอฟต์แวร์ และยังใช้โหมด AES ECB ที่ไม่ปลอดภัย ทำให้ผู้โจมตีสามารถปลอมแปลงโทเคนและถอดรหัสข้อมูลได้ง่าย ช่องโหว่นี้กระทบตั้งแต่เวอร์ชัน 2.0.0 ถึง 2.1.7 และอาจส่งผลต่อระบบคลาวด์ที่ใช้แพลตฟอร์มนี้ ผู้ดูแลระบบถูกแนะนำให้อัปเดตเป็นเวอร์ชันล่าสุดเพื่อป้องกันความเสี่ยง
https://securityonline.info/apache-streampark-flaw-risks-data-decryption-token-forgery-via-hard-coded-key-and-aes-ecb-mode
Storm-0249 ใช้ DLL sideloading แฝงตัวในกระบวนการ EDR เพื่อเปิดทาง ransomware
กลุ่ม Storm-0249 ซึ่งเป็น initial access broker ได้เปลี่ยนกลยุทธ์จากการส่งฟิชชิ่งทั่วไปมาเป็นการโจมตีแบบเจาะจง โดยใช้ DLL sideloading กับโปรเซสของ SentinelOne ที่เป็นเครื่องมือรักษาความปลอดภัย ทำให้ดูเหมือนเป็นการทำงานปกติของระบบ แต่จริง ๆ แล้วเป็นการเปิดทางให้มัลแวร์เข้ามาได้ พวกเขายังใช้เทคนิค “living off the land” เช่นการใช้ curl.exe และ PowerShell เพื่อรันโค้ดโดยไม่ทิ้งร่องรอยในดิสก์ เป้าหมายคือการขายสิทธิ์เข้าถึงให้กับกลุ่ม ransomware อย่าง LockBit และ ALPHV
https://securityonline.info/storm-0249-abuses-edr-process-via-dll-sideloading-to-cloak-ransomware-access
VS Code Marketplace ถูกโจมตี supply chain ผ่าน 19 extensions ปลอม
นักวิจัยพบว่ามีการปล่อยส่วนขยาย VS Code ที่แฝงมัลแวร์จำนวน 19 ตัว โดยใช้เทคนิค typosquatting และ steganography ซ่อนโค้ดอันตรายในไฟล์ dependency ภายใน node_modules รวมถึงการปลอมไฟล์ภาพ banner.png ที่จริงเป็น archive บรรจุ binary อันตราย เมื่อส่วนขยายถูกใช้งาน มัลแวร์จะถูกโหลดขึ้นมาและใช้เครื่องมือของ Windows อย่าง cmstp.exe เพื่อรันโค้ดโดยเลี่ยงการตรวจจับ หนึ่งใน payload เป็น Rust trojan ที่ซับซ้อนและยังอยู่ระหว่างการวิเคราะห์ เหตุการณ์นี้สะท้อนถึงความเสี่ยงในห่วงโซ่อุปทานซอฟต์แวร์ที่นักพัฒนาต้องระวัง
https://securityonline.info/vs-code-supply-chain-attack-19-extensions-used-typosquatting-steganography-to-deploy-rust-trojan
📌🔐🟡 รวมข่าวจากเวบ SecurityOnline 🟡🔐📌
#รวมข่าวIT #20251215 #securityonline
🖥️ NANOREMOTE: มัลแวร์ใหม่ที่ซ่อนตัวผ่าน Google Drive
เรื่องนี้เป็นการค้นพบของ Elastic Security Labs ที่เจอม้าโทรจันตัวใหม่ชื่อว่า NANOREMOTE ซึ่งทำงานบน Windows และใช้ Google Drive API เป็นช่องทางสื่อสารลับกับผู้โจมตี ทำให้การขโมยข้อมูลและสั่งงานแฝงตัวไปกับทราฟฟิกปกติได้อย่างแนบเนียน จุดเด่นคือมันสามารถใช้ OAuth 2.0 token เพื่อสร้างช่องทางลับในการส่งข้อมูล โดยมีตัวโหลดชื่อ WMLOADER ที่ปลอมตัวเป็นโปรแกรมของ Bitdefender แต่จริง ๆ แล้วเป็นตัวนำมัลแวร์เข้าสู่ระบบ จากนั้นจะถอดรหัสไฟล์ที่ซ่อนอยู่และปล่อยตัว NANOREMOTE ทำงานในหน่วยความจำโดยตรง นักวิจัยยังพบหลักฐานว่ามีการใช้โค้ดและคีย์เข้ารหัสเดียวกันกับมัลแวร์ตระกูล FINALDRAFT ซึ่งบ่งชี้ว่ามีรากฐานการพัฒนาร่วมกัน
🔗 https://securityonline.info/new-nanoremote-backdoor-uses-google-drive-api-for-covert-c2-and-links-to-finaldraft-espionage-group
📧 SHADOW-VOID-042: แฮกเกอร์ปลอมตัวเป็น Trend Micro
กลุ่มผู้โจมตีที่ถูกเรียกว่า SHADOW-VOID-042 ใช้ชื่อเสียงของ Trend Micro มาหลอกเหยื่อ โดยส่งอีเมลฟิชชิ่งที่ดูเหมือนเป็นประกาศเตือนด้านความปลอดภัย เหยื่อที่เชื่อจะถูกพาไปยังเว็บไซต์ปลอมที่เลียนแบบสไตล์ของ Trend Micro และถูกติดตั้ง payload แบบเจาะจงเป้าหมาย การโจมตีนี้ไม่ใช่การสุ่ม แต่ถูกปรับแต่งให้เหมาะกับแต่ละเหยื่อ และมีการใช้ทั้งเทคนิคเก่าและใหม่ เช่น exploit ช่องโหว่ Chrome ปี 2018 รวมถึงการใช้ zero-day ที่ใหม่กว่าสำหรับเป้าหมายสำคัญ นักวิจัยเชื่อว่ากลุ่มนี้อาจเชื่อมโยงกับ Void Rabisu ซึ่งมีประวัติทำงานใกล้ชิดกับผลประโยชน์รัสเซีย
🔗 https://securityonline.info/shadow-void-042-impersonates-trend-micro-in-phishing-campaign-to-breach-critical-infrastructure
⚠️ ช่องโหว่ร้ายแรงใน Plesk (CVE-2025-66430)
แพลตฟอร์ม Plesk ที่ใช้กันอย่างแพร่หลายในการโฮสต์เว็บไซต์ ถูกพบช่องโหว่ร้ายแรงที่ทำให้ผู้ใช้ทั่วไปสามารถยกระดับสิทธิ์ขึ้นเป็น root ได้ ช่องโหว่นี้อยู่ในฟีเจอร์ Password-Protected Directories ที่อนุญาตให้ผู้ใช้ฉีดข้อมูลเข้าไปใน Apache configuration ได้โดยตรง ผลคือสามารถสั่งรันคำสั่งใด ๆ ในระดับสูงสุดบนเซิร์ฟเวอร์ ซึ่งเสี่ยงต่อการถูกยึดครองทั้งระบบ Plesk ได้ออก micro-update เร่งด่วนเพื่อแก้ไข และแนะนำให้ผู้ดูแลระบบรีบอัปเดตทันที
🔗 https://securityonline.info/critical-plesk-flaw-cve-2025-66430-risks-full-server-takeover-via-lpe-and-apache-config-injection
🌐 Ashen Lepus: กลุ่ม APT ที่เชื่อมโยงกับ Hamas เปิดตัว AshTag Malware
ในขณะที่สงครามกาซายังคงดำเนินอยู่ กลุ่มแฮกเกอร์ Ashen Lepus หรือ WIRTE ที่เชื่อมโยงกับ Hamas ยังคงทำงานด้านไซเบอร์สอดแนมอย่างต่อเนื่อง และได้พัฒนาเครื่องมือใหม่ชื่อว่า AshTag ซึ่งเป็นชุดมัลแวร์แบบโมดูลาร์ที่ซ่อนตัวเก่งมาก ใช้ไฟล์ PDF หลอกเหยื่อให้เปิดเอกสารทางการทูตปลอม แล้วโหลด DLL อันตรายเข้ามา จากนั้น payload จะถูกดึงจาก HTML ที่ซ่อนอยู่และทำงานในหน่วยความจำโดยไม่แตะดิสก์ ทำให้ตรวจจับได้ยาก กลุ่มนี้ยังขยายเป้าหมายไปยังประเทศอาหรับอื่น ๆ เช่น โอมานและโมร็อกโก โดยมุ่งเน้นข้อมูลทางการทูตและความสัมพันธ์ระหว่างประเทศ
🔗 https://securityonline.info/hamas-affiliated-apt-ashen-lepus-unveils-ashtag-malware-suite-for-wider-cyber-espionage
🛠️ ช่องโหว่ RasMan บน Windows ที่ยังไม่ได้แพตช์
นักวิจัยจาก 0patch พบช่องโหว่ใหม่ในบริการ Remote Access Connection Manager (RasMan) ของ Windows ที่ยังไม่ได้รับการแก้ไข แม้ Microsoft จะเพิ่งแพตช์ช่องโหว่อื่นที่เกี่ยวข้องไปแล้ว แต่พบว่ามีบั๊กที่ทำให้ผู้ใช้ทั่วไปสามารถทำให้บริการ RasMan crash ได้ และใช้ช่องทางนี้เพื่อยึดสิทธิ์ Local System ได้ ช่องโหว่นี้เกิดจากการจัดการ linked list ที่ผิดพลาด ทำให้เกิด NULL pointer และ crash ทันที 0patch ได้ออก micropatch ชั่วคราวเพื่อแก้ไข แต่ Microsoft ยังต้องออกแพตช์อย่างเป็นทางการในอนาคต
🔗 https://securityonline.info/unpatched-windows-rasman-flaw-allows-unprivileged-crash-enabling-local-system-privilege-escalation-exploit
🖼️ ImageMagick พบช่องโหว่ร้ายแรง เสี่ยงเปิดเผยข้อมูลหน่วยความจำ
เรื่องนี้เป็นการค้นพบช่องโหว่ใน ImageMagick ซึ่งเป็นเครื่องมือโอเพ่นซอร์สที่ใช้กันอย่างแพร่หลายในการประมวลผลภาพ ช่องโหว่นี้เกิดขึ้นจากการจัดการไฟล์รูปแบบ PSX TIM ที่มาจากยุคเครื่อง PlayStation รุ่นแรก แต่กลับสร้างความเสี่ยงในระบบ 32-bit ปัจจุบัน เนื่องจากการคำนวณขนาดภาพโดยไม่ตรวจสอบการ overflow ทำให้ผู้โจมตีสามารถสร้างไฟล์ที่บิดเบือนค่าและนำไปสู่การอ่านข้อมูลหน่วยความจำที่ไม่ควรเข้าถึงได้ ข้อมูลที่รั่วไหลอาจรวมถึงรหัสผ่านหรือคีย์สำคัญต่าง ๆ ทีมพัฒนาได้แก้ไขแล้วในเวอร์ชัน 7.1.2-10 และแนะนำให้ผู้ดูแลระบบรีบอัปเดตทันที
🔗 https://securityonline.info/imagemagick-flaw-risks-arbitrary-memory-disclosure-via-psx-tim-file-integer-overflow-on-32-bit-systems
🕵️ GOLD SALEM ใช้เครื่องมือ Velociraptor เป็นตัวช่วยโจมตี ransomware กลุ่มอาชญากรไซเบอร์ที่ชื่อ GOLD SALEM ถูกพบว่ามีการนำเครื่องมือด้านดิจิทัลฟอเรนสิกอย่าง Velociraptor ซึ่งปกติใช้สำหรับการตรวจสอบและตอบสนองเหตุการณ์ มาใช้เป็นเครื่องมือเตรียมการโจมตี ransomware โดยพวกเขาใช้วิธีดาวน์โหลดตัวติดตั้งจากโดเมนที่ควบคุมเอง และนำไปใช้สร้างช่องทางควบคุมระบบ รวมถึงการเจาะช่องโหว่ใน SharePoint ที่เรียกว่า ToolShell เพื่อเข้าถึงระบบองค์กร เป้าหมายของพวกเขาไม่ใช่แค่การเงิน แต่ยังรวมถึงองค์กรในด้านโทรคมนาคม พลังงานนิวเคลียร์ และอุตสาหกรรมการบิน ซึ่งมีนัยยะด้านการสอดแนมด้วย
🔗 https://securityonline.info/gold-salem-abuses-velociraptor-dfir-tool-as-ransomware-precursor-following-sharepoint-toolshell-exploitation
🔐 Apache StreamPark พบการใช้ key แบบ hard-coded และโหมดเข้ารหัสที่ล้าสมัย
แพลตฟอร์ม Apache StreamPark ซึ่งใช้สำหรับพัฒนาแอปพลิเคชันสตรีมมิ่ง ถูกพบว่ามีการใช้คีย์เข้ารหัสที่ถูกฝังตายตัวในซอฟต์แวร์ และยังใช้โหมด AES ECB ที่ไม่ปลอดภัย ทำให้ผู้โจมตีสามารถปลอมแปลงโทเคนและถอดรหัสข้อมูลได้ง่าย ช่องโหว่นี้กระทบตั้งแต่เวอร์ชัน 2.0.0 ถึง 2.1.7 และอาจส่งผลต่อระบบคลาวด์ที่ใช้แพลตฟอร์มนี้ ผู้ดูแลระบบถูกแนะนำให้อัปเดตเป็นเวอร์ชันล่าสุดเพื่อป้องกันความเสี่ยง
🔗 https://securityonline.info/apache-streampark-flaw-risks-data-decryption-token-forgery-via-hard-coded-key-and-aes-ecb-mode
⚔️ Storm-0249 ใช้ DLL sideloading แฝงตัวในกระบวนการ EDR เพื่อเปิดทาง ransomware
กลุ่ม Storm-0249 ซึ่งเป็น initial access broker ได้เปลี่ยนกลยุทธ์จากการส่งฟิชชิ่งทั่วไปมาเป็นการโจมตีแบบเจาะจง โดยใช้ DLL sideloading กับโปรเซสของ SentinelOne ที่เป็นเครื่องมือรักษาความปลอดภัย ทำให้ดูเหมือนเป็นการทำงานปกติของระบบ แต่จริง ๆ แล้วเป็นการเปิดทางให้มัลแวร์เข้ามาได้ พวกเขายังใช้เทคนิค “living off the land” เช่นการใช้ curl.exe และ PowerShell เพื่อรันโค้ดโดยไม่ทิ้งร่องรอยในดิสก์ เป้าหมายคือการขายสิทธิ์เข้าถึงให้กับกลุ่ม ransomware อย่าง LockBit และ ALPHV
🔗 https://securityonline.info/storm-0249-abuses-edr-process-via-dll-sideloading-to-cloak-ransomware-access
💻 VS Code Marketplace ถูกโจมตี supply chain ผ่าน 19 extensions ปลอม
นักวิจัยพบว่ามีการปล่อยส่วนขยาย VS Code ที่แฝงมัลแวร์จำนวน 19 ตัว โดยใช้เทคนิค typosquatting และ steganography ซ่อนโค้ดอันตรายในไฟล์ dependency ภายใน node_modules รวมถึงการปลอมไฟล์ภาพ banner.png ที่จริงเป็น archive บรรจุ binary อันตราย เมื่อส่วนขยายถูกใช้งาน มัลแวร์จะถูกโหลดขึ้นมาและใช้เครื่องมือของ Windows อย่าง cmstp.exe เพื่อรันโค้ดโดยเลี่ยงการตรวจจับ หนึ่งใน payload เป็น Rust trojan ที่ซับซ้อนและยังอยู่ระหว่างการวิเคราะห์ เหตุการณ์นี้สะท้อนถึงความเสี่ยงในห่วงโซ่อุปทานซอฟต์แวร์ที่นักพัฒนาต้องระวัง
🔗 https://securityonline.info/vs-code-supply-chain-attack-19-extensions-used-typosquatting-steganography-to-deploy-rust-trojan
0 Comments
0 Shares
132 Views
0 Reviews
Thai