Search | Thaitimes

News1

added a photo
2025-11-04 12:22:03 -

ผู้เชี่ยวชาญและบุคคลวงในเปิดเผยกับสำนักข่าวเอเอฟพีว่าการโจมตีเคเค พาร์ก (KK Park) ศูนย์หลอกลวงทางอินเทอร์เน็ตสุดอื้อฉาวของพม่าเมื่อเร็วๆ นี้ ได้จุดชนวนให้เกิดการแย่งชิงคนงานหลังมีคนหลบหนีไปเป็นจำนวนมาก ขณะเดียวกันคนงานที่หนีการปราบปรามได้แห่ไปสมัครงานในศูนย์หลอกลวงที่อยู่ใกล้เคียง

อ่านต่อ..https://news1live.com/detail/9680000105396

#News1live #News1 #Sondhitalk #SondhiX #คุยทุกเรื่องกับสนธิ #สนธิเล่าเรื่อง #Thaitimes #กัมพูชายิงก่อน #ไทยนี้รักสงบแต่ถึงรบไม่ขลาด #CambodiaOpenedFire #เขมรลักลอบวางระเบิด

ผู้เชี่ยวชาญและบุคคลวงในเปิดเผยกับสำนักข่าวเอเอฟพีว่าการโจมตีเคเค พาร์ก (KK Park) ศูนย์หลอกลวงทางอินเทอร์เน็ตสุดอื้อฉาวของพม่าเมื่อเร็วๆ นี้ ได้จุดชนวนให้เกิดการแย่งชิงคนงานหลังมีคนหลบหนีไปเป็นจำนวนมาก ขณะเดียวกันคนงานที่หนีการปราบปรามได้แห่ไปสมัครงานในศูนย์หลอกลวงที่อยู่ใกล้เคียง อ่านต่อ..https://news1live.com/detail/9680000105396 #News1live #News1 #Sondhitalk #SondhiX #คุยทุกเรื่องกับสนธิ #สนธิเล่าเรื่อง #Thaitimes #กัมพูชายิงก่อน #ไทยนี้รักสงบแต่ถึงรบไม่ขลาด #CambodiaOpenedFire #เขมรลักลอบวางระเบิด

1

0 Comments 0 Shares 36 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-11-04 10:34:31 -

เมื่อผู้พิทักษ์กลายเป็นผู้ร้าย – อดีตเจ้าหน้าที่ไซเบอร์ถูกตั้งข้อหาแฮกข้อมูลเพื่อเรียกค่าไถ่

อดีตพนักงานด้านความปลอดภัยไซเบอร์ถูกกล่าวหาว่าใช้ความรู้และตำแหน่งในบริษัทเพื่อก่ออาชญากรรมไซเบอร์ โดยร่วมมือกันโจมตีระบบของบริษัทต่าง ๆ เพื่อเรียกค่าไถ่เป็นเงินคริปโตมูลค่าหลายล้านดอลลาร์

จำนวนผู้เกี่ยวข้อง: 3 คน
1. Ryan Clifford Goldberg
ตำแหน่งเดิม: อดีตผู้อำนวยการฝ่ายตอบสนองเหตุการณ์ (Director of Incident Response) ที่บริษัท Sygnia Consulting Ltd.

บทบาทในคดี:
เป็นหนึ่งในผู้วางแผนและดำเนินการแฮกระบบของบริษัทต่าง ๆ
มีส่วนร่วมในการใช้มัลแวร์ ALPHV/BlackCat เพื่อเข้ารหัสข้อมูลของเหยื่อ
ได้รับเงินค่าไถ่ร่วมกับผู้ร่วมขบวนการจากบริษัทอุปกรณ์การแพทย์ในฟลอริดา มูลค่าเกือบ 1.3 ล้านดอลลาร์
ถูกควบคุมตัวในเรือนจำกลาง

2. Kevin Tyler Martin
ตำแหน่งเดิม: นักเจรจาค่าไถ่ (Ransomware Negotiator) ของบริษัท DigitalMint

บทบาทในคดี:
ร่วมมือกับ Goldberg ในการแฮกและเรียกค่าไถ่จากเหยื่อ
ใช้ความรู้จากงานเจรจาค่าไถ่เพื่อวางแผนโจมตี
ได้รับการประกันตัวและให้การปฏิเสธข้อกล่าวหา

3. บุคคลที่สาม (ยังไม่เปิดเผยชื่อ)
สถานะ: ยังไม่ถูกตั้งข้อหา และไม่มีการเปิดเผยชื่อในเอกสารของศาล

บทบาทในคดี:
มีส่วนร่วมในการแฮกและรับเงินค่าไถ่ร่วมกับ Goldberg และ Martin
เป็นหนึ่งในผู้ที่ได้รับผลประโยชน์จากการโจมตีบริษัทในฟลอริดา

ความซับซ้อนของอุตสาหกรรมเจรจาค่าไถ่
ทั้งสามคนทำงานในอุตสาหกรรมที่มีหน้าที่ช่วยบริษัทเจรจากับแฮกเกอร์เพื่อปลดล็อกระบบ ซึ่งบางครั้งก็ต้องจ่ายค่าไถ่เพื่อให้ระบบกลับมาใช้งานได้ แต่ในกรณีนี้ พวกเขากลับใช้ตำแหน่งนั้นในการก่ออาชญากรรมเสียเอง

พวกเขายังถูกกล่าวหาว่าแบ่งผลกำไรกับผู้พัฒนามัลแวร์ที่ใช้ในการโจมตี และพยายามแฮกบริษัทอื่น ๆ เช่น บริษัทเภสัชกรรมในแมริแลนด์ ผู้ผลิตโดรนในเวอร์จิเนีย และคลินิกในแคลิฟอร์เนีย

ผู้ต้องหาคืออดีตเจ้าหน้าที่ด้านความปลอดภัยไซเบอร์
Goldberg จาก Sygnia และ Martin จาก DigitalMint
ใช้มัลแวร์ ALPHV BlackCat ในการโจมตี
ได้รับเงินค่าไถ่จากบริษัทในฟลอริดาเกือบ 1.3 ล้านดอลลาร์

บริษัทต้นสังกัดออกแถลงการณ์ปฏิเสธการมีส่วนเกี่ยวข้อง
DigitalMint ยืนยันว่าเหตุการณ์อยู่นอกขอบเขตงานของพนักงาน
Sygnia ระบุว่าไล่ออก Goldberg ทันทีเมื่อทราบเรื่อง
ไม่มีข้อมูลว่าบริษัทใดถูกแฮกในเอกสารของศาล

สถานะของผู้ต้องหา
Goldberg ถูกควบคุมตัวในเรือนจำกลาง
Martin ได้รับการประกันตัวและให้การปฏิเสธข้อกล่าวหา
บุคคลที่สามยังไม่ถูกตั้งข้อหาและไม่เปิดเผยชื่อ

ความเสี่ยงจากการมีช่องโหว่ภายในองค์กร
พนักงานที่มีสิทธิ์เข้าถึงระบบสามารถใช้ข้อมูลในทางมิชอบ
การทำงานในอุตสาหกรรมเจรจาค่าไถ่อาจเปิดช่องให้เกิดการแอบแฝง
การไม่ตรวจสอบพฤติกรรมพนักงานอย่างต่อเนื่องอาจนำไปสู่การละเมิด

ผลกระทบต่อความเชื่อมั่นในอุตสาหกรรมไซเบอร์
ลูกค้าอาจสูญเสียความไว้วางใจต่อบริษัทที่เกี่ยวข้อง
ภาพลักษณ์ของอุตสาหกรรมเจรจาค่าไถ่อาจถูกตั้งคำถาม
การใช้มัลแวร์ที่มีผู้พัฒนาอยู่เบื้องหลังอาจเชื่อมโยงไปสู่เครือข่ายอาชญากรรมขนาดใหญ่

https://www.thestar.com.my/tech/tech-news/2025/11/04/ex-cybersecurity-staffers-charged-with-moonlighting-as-hackers

🕵️‍♂️ เมื่อผู้พิทักษ์กลายเป็นผู้ร้าย – อดีตเจ้าหน้าที่ไซเบอร์ถูกตั้งข้อหาแฮกข้อมูลเพื่อเรียกค่าไถ่ อดีตพนักงานด้านความปลอดภัยไซเบอร์ถูกกล่าวหาว่าใช้ความรู้และตำแหน่งในบริษัทเพื่อก่ออาชญากรรมไซเบอร์ โดยร่วมมือกันโจมตีระบบของบริษัทต่าง ๆ เพื่อเรียกค่าไถ่เป็นเงินคริปโตมูลค่าหลายล้านดอลลาร์ 👥 จำนวนผู้เกี่ยวข้อง: 3 คน 1. Ryan Clifford Goldberg 🏢 ตำแหน่งเดิม: อดีตผู้อำนวยการฝ่ายตอบสนองเหตุการณ์ (Director of Incident Response) ที่บริษัท Sygnia Consulting Ltd. 🎭 บทบาทในคดี: 🎗️ เป็นหนึ่งในผู้วางแผนและดำเนินการแฮกระบบของบริษัทต่าง ๆ 🎗️ มีส่วนร่วมในการใช้มัลแวร์ ALPHV/BlackCat เพื่อเข้ารหัสข้อมูลของเหยื่อ 🎗️ ได้รับเงินค่าไถ่ร่วมกับผู้ร่วมขบวนการจากบริษัทอุปกรณ์การแพทย์ในฟลอริดา มูลค่าเกือบ 1.3 ล้านดอลลาร์ 🎗️ ถูกควบคุมตัวในเรือนจำกลาง 2. Kevin Tyler Martin 🏢 ตำแหน่งเดิม: นักเจรจาค่าไถ่ (Ransomware Negotiator) ของบริษัท DigitalMint 🎭 บทบาทในคดี: 🎗️ ร่วมมือกับ Goldberg ในการแฮกและเรียกค่าไถ่จากเหยื่อ 🎗️ ใช้ความรู้จากงานเจรจาค่าไถ่เพื่อวางแผนโจมตี 🎗️ ได้รับการประกันตัวและให้การปฏิเสธข้อกล่าวหา 3. บุคคลที่สาม (ยังไม่เปิดเผยชื่อ) 🏢 สถานะ: ยังไม่ถูกตั้งข้อหา และไม่มีการเปิดเผยชื่อในเอกสารของศาล 🎭 บทบาทในคดี: 🎗️ มีส่วนร่วมในการแฮกและรับเงินค่าไถ่ร่วมกับ Goldberg และ Martin 🎗️ เป็นหนึ่งในผู้ที่ได้รับผลประโยชน์จากการโจมตีบริษัทในฟลอริดา 🧨 ความซับซ้อนของอุตสาหกรรมเจรจาค่าไถ่ ทั้งสามคนทำงานในอุตสาหกรรมที่มีหน้าที่ช่วยบริษัทเจรจากับแฮกเกอร์เพื่อปลดล็อกระบบ ซึ่งบางครั้งก็ต้องจ่ายค่าไถ่เพื่อให้ระบบกลับมาใช้งานได้ แต่ในกรณีนี้ พวกเขากลับใช้ตำแหน่งนั้นในการก่ออาชญากรรมเสียเอง พวกเขายังถูกกล่าวหาว่าแบ่งผลกำไรกับผู้พัฒนามัลแวร์ที่ใช้ในการโจมตี และพยายามแฮกบริษัทอื่น ๆ เช่น บริษัทเภสัชกรรมในแมริแลนด์ ผู้ผลิตโดรนในเวอร์จิเนีย และคลินิกในแคลิฟอร์เนีย ✅ ผู้ต้องหาคืออดีตเจ้าหน้าที่ด้านความปลอดภัยไซเบอร์ ➡️ Goldberg จาก Sygnia และ Martin จาก DigitalMint ➡️ ใช้มัลแวร์ ALPHV BlackCat ในการโจมตี ➡️ ได้รับเงินค่าไถ่จากบริษัทในฟลอริดาเกือบ 1.3 ล้านดอลลาร์ ✅ บริษัทต้นสังกัดออกแถลงการณ์ปฏิเสธการมีส่วนเกี่ยวข้อง ➡️ DigitalMint ยืนยันว่าเหตุการณ์อยู่นอกขอบเขตงานของพนักงาน ➡️ Sygnia ระบุว่าไล่ออก Goldberg ทันทีเมื่อทราบเรื่อง ➡️ ไม่มีข้อมูลว่าบริษัทใดถูกแฮกในเอกสารของศาล ✅ สถานะของผู้ต้องหา ➡️ Goldberg ถูกควบคุมตัวในเรือนจำกลาง ➡️ Martin ได้รับการประกันตัวและให้การปฏิเสธข้อกล่าวหา ➡️ บุคคลที่สามยังไม่ถูกตั้งข้อหาและไม่เปิดเผยชื่อ ‼️ ความเสี่ยงจากการมีช่องโหว่ภายในองค์กร ⛔ พนักงานที่มีสิทธิ์เข้าถึงระบบสามารถใช้ข้อมูลในทางมิชอบ ⛔ การทำงานในอุตสาหกรรมเจรจาค่าไถ่อาจเปิดช่องให้เกิดการแอบแฝง ⛔ การไม่ตรวจสอบพฤติกรรมพนักงานอย่างต่อเนื่องอาจนำไปสู่การละเมิด ‼️ ผลกระทบต่อความเชื่อมั่นในอุตสาหกรรมไซเบอร์ ⛔ ลูกค้าอาจสูญเสียความไว้วางใจต่อบริษัทที่เกี่ยวข้อง ⛔ ภาพลักษณ์ของอุตสาหกรรมเจรจาค่าไถ่อาจถูกตั้งคำถาม ⛔ การใช้มัลแวร์ที่มีผู้พัฒนาอยู่เบื้องหลังอาจเชื่อมโยงไปสู่เครือข่ายอาชญากรรมขนาดใหญ่ https://www.thestar.com.my/tech/tech-news/2025/11/04/ex-cybersecurity-staffers-charged-with-moonlighting-as-hackers

WWW.THESTAR.COM.MY

Ex-cybersecurity staffers charged with moonlighting as hackers
Three employees at cybersecurity companies spent years moonlighting as criminal hackers, launching their own ransomware attacks in a plot to extort millions of dollars from victims around the country, US prosecutors alleged in court filings.

0 Comments 0 Shares 32 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-11-04 10:20:25 -

หัวข้อข่าว: พบช่องโหว่ Zero-Click RCE ร้ายแรงใน Android 13–16—แนะผู้ใช้รีบอัปเดตทันที!

Google ได้ออกประกาศเตือนภัยผ่าน Android Security Bulletin ประจำเดือนพฤศจิกายน 2025 ถึงช่องโหว่ร้ายแรงระดับ “critical” ที่พบใน System Component ของ Android เวอร์ชัน 13 ถึง 16 โดยช่องโหว่นี้สามารถถูกโจมตีจากระยะไกลโดยไม่ต้องมีการโต้ตอบจากผู้ใช้เลย—หรือที่เรียกว่า “Zero-Click Remote Code Execution (RCE)” ซึ่งอาจเปิดทางให้แฮกเกอร์เข้าควบคุมอุปกรณ์ได้ทันที

ช่องโหว่ CVE-2025-48593 ถูกจัดอยู่ในระดับ “critical”
ไม่ต้องใช้สิทธิ์เพิ่มเติมในการโจมตี
ไม่ต้องมีการโต้ตอบจากผู้ใช้ เช่น การคลิกลิงก์หรือเปิดไฟล์

ส่งผลกระทบต่อ Android เวอร์ชัน 13 ถึง 16
ครอบคลุมอุปกรณ์จำนวนมากในตลาด
ผู้ใช้ควรตรวจสอบว่าได้รับแพตช์เดือนพฤศจิกายน 2025 แล้วหรือยัง

Google ยังไม่เปิดเผยรายละเอียดทางเทคนิค
เพื่อป้องกันการนำไปใช้โจมตีในวงกว้าง
แต่ยืนยันว่าความรุนแรงขึ้นอยู่กับการหลบหลีกมาตรการป้องกันของระบบ

แพตช์ความปลอดภัย 2025-11-01 ได้แก้ไขช่องโหว่นี้แล้ว
ผู้ผลิตเช่น Samsung, Pixel, OnePlus จะรวมแพตช์ใน OTA ประจำเดือน
การอัปเดตทันทีเป็นสิ่งจำเป็นเพื่อความปลอดภัย

ช่องโหว่อื่นที่ถูกแก้ไขร่วมด้วย
CVE-2025-48581: Elevation of Privilege (EoP) ใน System Component
อาจทำให้ผู้โจมตีเข้าถึงสิทธิ์ระดับสูงในอุปกรณ์

https://securityonline.info/android-zero-click-rce-cve-2025-48593-in-system-component-requires-immediate-patch-for-versions-13-16/

📱 หัวข้อข่าว: พบช่องโหว่ Zero-Click RCE ร้ายแรงใน Android 13–16—แนะผู้ใช้รีบอัปเดตทันที! Google ได้ออกประกาศเตือนภัยผ่าน Android Security Bulletin ประจำเดือนพฤศจิกายน 2025 ถึงช่องโหว่ร้ายแรงระดับ “critical” ที่พบใน System Component ของ Android เวอร์ชัน 13 ถึง 16 โดยช่องโหว่นี้สามารถถูกโจมตีจากระยะไกลโดยไม่ต้องมีการโต้ตอบจากผู้ใช้เลย—หรือที่เรียกว่า “Zero-Click Remote Code Execution (RCE)” ซึ่งอาจเปิดทางให้แฮกเกอร์เข้าควบคุมอุปกรณ์ได้ทันที ✅ ช่องโหว่ CVE-2025-48593 ถูกจัดอยู่ในระดับ “critical” ➡️ ไม่ต้องใช้สิทธิ์เพิ่มเติมในการโจมตี ➡️ ไม่ต้องมีการโต้ตอบจากผู้ใช้ เช่น การคลิกลิงก์หรือเปิดไฟล์ ✅ ส่งผลกระทบต่อ Android เวอร์ชัน 13 ถึง 16 ➡️ ครอบคลุมอุปกรณ์จำนวนมากในตลาด ➡️ ผู้ใช้ควรตรวจสอบว่าได้รับแพตช์เดือนพฤศจิกายน 2025 แล้วหรือยัง ✅ Google ยังไม่เปิดเผยรายละเอียดทางเทคนิค ➡️ เพื่อป้องกันการนำไปใช้โจมตีในวงกว้าง ➡️ แต่ยืนยันว่าความรุนแรงขึ้นอยู่กับการหลบหลีกมาตรการป้องกันของระบบ ✅ แพตช์ความปลอดภัย 2025-11-01 ได้แก้ไขช่องโหว่นี้แล้ว ➡️ ผู้ผลิตเช่น Samsung, Pixel, OnePlus จะรวมแพตช์ใน OTA ประจำเดือน ➡️ การอัปเดตทันทีเป็นสิ่งจำเป็นเพื่อความปลอดภัย ✅ ช่องโหว่อื่นที่ถูกแก้ไขร่วมด้วย ➡️ CVE-2025-48581: Elevation of Privilege (EoP) ใน System Component ➡️ อาจทำให้ผู้โจมตีเข้าถึงสิทธิ์ระดับสูงในอุปกรณ์ https://securityonline.info/android-zero-click-rce-cve-2025-48593-in-system-component-requires-immediate-patch-for-versions-13-16/

SECURITYONLINE.INFO

Android Zero-Click RCE (CVE-2025-48593) in System Component Requires Immediate Patch for Versions 13-16
Google's November 2025 update fixes a Critical RCE flaw (CVE-2025-48593) in the Android System component. Exploitation requires no user interaction and affects Android versions 13 through 16.

0 Comments 0 Shares 29 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-11-04 03:09:39 -

ช่องโหว่ CVE-2025-58726: เมื่อ Windows ยอมให้เครื่อง “หลอกตัวเอง” จนถูกยึดสิทธิ์ระดับสูง

นักวิจัยด้านความปลอดภัย Andrea Pierini จาก Semperis ได้เปิดเผยช่องโหว่ใหม่ใน Windows ที่ถูกระบุว่าเป็น CVE-2025-58726 ซึ่งสามารถถูกใช้เพื่อยกระดับสิทธิ์จากผู้ใช้ทั่วไปให้กลายเป็น SYSTEM ได้ — โดยไม่ต้องรู้รหัสผ่านใด ๆ

ช่องโหว่นี้เกิดจากการที่ Windows ยอมให้การสะท้อนการพิสูจน์ตัวตน (Authentication Reflection) ผ่านโปรโตคอล Kerberos ทำงานได้ แม้จะมีการแก้ไขช่องโหว่ก่อนหน้าอย่าง CVE-2025-33073 ไปแล้วก็ตาม

จุดอ่อนหลักอยู่ที่ “Ghost SPNs” — คือ Service Principal Names ที่อ้างถึงโฮสต์เนมที่ไม่มีอยู่จริงใน DNS แต่ยังคงอยู่ใน Active Directory จากการลบระบบไม่หมดหรือการตั้งค่าผิดพลาด เมื่อผู้โจมตีสามารถลงทะเบียน DNS record ให้ชี้ไปยัง IP ที่ควบคุมได้ ก็สามารถหลอกให้เครื่องเป้าหมาย “พิสูจน์ตัวตนกับตัวเอง” ผ่าน SMB ได้ และกลายเป็นการยกระดับสิทธิ์แบบเต็มรูปแบบ

การโจมตีนี้สามารถทำได้แม้เป็นผู้ใช้ระดับต่ำในโดเมน และไม่ต้องใช้ข้อมูลรับรองใด ๆ — เพียงแค่มีสิทธิ์ลงทะเบียน DNS ซึ่งเป็นสิ่งที่ Active Directory อนุญาตโดยค่าเริ่มต้น

Microsoft ได้ออกแพตช์แก้ไขในเดือนตุลาคม 2025 โดยการปรับปรุงในไดรเวอร์ SRV2.SYS ซึ่งเป็นส่วนที่จัดการ SMB ฝั่งเซิร์ฟเวอร์

ช่องโหว่ CVE-2025-58726 เปิดทางให้ผู้ใช้ระดับต่ำยกระดับสิทธิ์เป็น SYSTEM
ใช้เทคนิค Kerberos Authentication Reflection ผ่าน SMB
ไม่ต้องใช้รหัสผ่านหรือข้อมูลรับรองใด ๆ

ใช้ Ghost SPNs เป็นจุดเริ่มต้นของการโจมตี
SPNs ที่อ้างถึงโฮสต์เนมที่ไม่มีอยู่จริงใน DNS
ผู้โจมตีลงทะเบียน DNS record ให้ชี้ไปยัง IP ที่ควบคุมได้

การพิสูจน์ตัวตนสะท้อนกลับทำให้เครื่อง “หลอกตัวเอง”
เครื่องเป้าหมายขอ TGS ticket สำหรับ Ghost SPN
เมื่อรับกลับมา ก็พิสูจน์ตัวตนกับตัวเองในฐานะ SYSTEM

Microsoft ออกแพตช์ในเดือนตุลาคม 2025
ปรับปรุงใน SRV2.SYS เพื่อปิดช่องโหว่
ช่องโหว่นี้มีผลกับทุกเวอร์ชันของ Windows หากไม่เปิดใช้ SMB Signing

https://securityonline.info/researcher-details-windows-smb-server-elevation-of-privilege-vulnerability-cve-2025-58726/

🧨 ช่องโหว่ CVE-2025-58726: เมื่อ Windows ยอมให้เครื่อง “หลอกตัวเอง” จนถูกยึดสิทธิ์ระดับสูง นักวิจัยด้านความปลอดภัย Andrea Pierini จาก Semperis ได้เปิดเผยช่องโหว่ใหม่ใน Windows ที่ถูกระบุว่าเป็น CVE-2025-58726 ซึ่งสามารถถูกใช้เพื่อยกระดับสิทธิ์จากผู้ใช้ทั่วไปให้กลายเป็น SYSTEM ได้ — โดยไม่ต้องรู้รหัสผ่านใด ๆ ช่องโหว่นี้เกิดจากการที่ Windows ยอมให้การสะท้อนการพิสูจน์ตัวตน (Authentication Reflection) ผ่านโปรโตคอล Kerberos ทำงานได้ แม้จะมีการแก้ไขช่องโหว่ก่อนหน้าอย่าง CVE-2025-33073 ไปแล้วก็ตาม จุดอ่อนหลักอยู่ที่ “Ghost SPNs” — คือ Service Principal Names ที่อ้างถึงโฮสต์เนมที่ไม่มีอยู่จริงใน DNS แต่ยังคงอยู่ใน Active Directory จากการลบระบบไม่หมดหรือการตั้งค่าผิดพลาด เมื่อผู้โจมตีสามารถลงทะเบียน DNS record ให้ชี้ไปยัง IP ที่ควบคุมได้ ก็สามารถหลอกให้เครื่องเป้าหมาย “พิสูจน์ตัวตนกับตัวเอง” ผ่าน SMB ได้ และกลายเป็นการยกระดับสิทธิ์แบบเต็มรูปแบบ การโจมตีนี้สามารถทำได้แม้เป็นผู้ใช้ระดับต่ำในโดเมน และไม่ต้องใช้ข้อมูลรับรองใด ๆ — เพียงแค่มีสิทธิ์ลงทะเบียน DNS ซึ่งเป็นสิ่งที่ Active Directory อนุญาตโดยค่าเริ่มต้น Microsoft ได้ออกแพตช์แก้ไขในเดือนตุลาคม 2025 โดยการปรับปรุงในไดรเวอร์ SRV2.SYS ซึ่งเป็นส่วนที่จัดการ SMB ฝั่งเซิร์ฟเวอร์ ✅ ช่องโหว่ CVE-2025-58726 เปิดทางให้ผู้ใช้ระดับต่ำยกระดับสิทธิ์เป็น SYSTEM ➡️ ใช้เทคนิค Kerberos Authentication Reflection ผ่าน SMB ➡️ ไม่ต้องใช้รหัสผ่านหรือข้อมูลรับรองใด ๆ ✅ ใช้ Ghost SPNs เป็นจุดเริ่มต้นของการโจมตี ➡️ SPNs ที่อ้างถึงโฮสต์เนมที่ไม่มีอยู่จริงใน DNS ➡️ ผู้โจมตีลงทะเบียน DNS record ให้ชี้ไปยัง IP ที่ควบคุมได้ ✅ การพิสูจน์ตัวตนสะท้อนกลับทำให้เครื่อง “หลอกตัวเอง” ➡️ เครื่องเป้าหมายขอ TGS ticket สำหรับ Ghost SPN ➡️ เมื่อรับกลับมา ก็พิสูจน์ตัวตนกับตัวเองในฐานะ SYSTEM ✅ Microsoft ออกแพตช์ในเดือนตุลาคม 2025 ➡️ ปรับปรุงใน SRV2.SYS เพื่อปิดช่องโหว่ ➡️ ช่องโหว่นี้มีผลกับทุกเวอร์ชันของ Windows หากไม่เปิดใช้ SMB Signing https://securityonline.info/researcher-details-windows-smb-server-elevation-of-privilege-vulnerability-cve-2025-58726/

SECURITYONLINE.INFO

Researcher Details Windows SMB Server Elevation of Privilege Vulnerability - CVE-2025-58726
A flaw (CVE-2025-58726) allows SYSTEM privilege escalation via Kerberos authentication reflection using "Ghost SPNs" and disabled SMB signing. Patch immediately.

0 Comments 0 Shares 50 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-11-04 03:08:35 -

เมื่อ AI กลายเป็นช่องทางลับ: มัลแวร์ SesameOp แอบใช้ OpenAI API เป็นช่องสื่อสารลับ

ลองจินตนาการว่าเครื่องมือ AI ที่เราใช้สร้างผู้ช่วยอัจฉริยะ กลับถูกใช้เป็นช่องทางลับในการสื่อสารของแฮกเกอร์ — นั่นคือสิ่งที่เกิดขึ้นจริงในกรณีของ SesameOp มัลแวร์สายจารกรรมที่ถูกค้นพบโดยทีม Microsoft DART (Detection and Response Team)

ในเดือนกรกฎาคม 2025 Microsoft ตรวจพบการโจมตีที่ซับซ้อน ซึ่งแฮกเกอร์ได้ฝังมัลแวร์ไว้ในระบบองค์กรผ่านการฉีดโค้ดลงใน Visual Studio โดยใช้เทคนิค .NET AppDomainManager injection เพื่อหลบเลี่ยงการตรวจจับและคงอยู่ในระบบได้นานหลายเดือน

แต่สิ่งที่ทำให้ SesameOp โดดเด่นคือการใช้ OpenAI Assistants API — บริการคลาวด์ที่ถูกออกแบบมาเพื่อสร้างผู้ช่วย AI — เป็นช่องทางสื่อสารลับ (Command-and-Control หรือ C2) โดยไม่ต้องตั้งเซิร์ฟเวอร์แฮกเองให้เสี่ยงถูกจับได้

SesameOp ไม่ได้เรียกใช้โมเดล AI หรือ SDK ของ OpenAI แต่ใช้ API เพื่อดึงคำสั่งที่ถูกเข้ารหัสไว้ แล้วนำไปประมวลผลในเครื่องที่ติดมัลแวร์ จากนั้นก็ส่งผลลัพธ์กลับไปยังแฮกเกอร์ผ่าน API เดิม โดยทั้งหมดถูกซ่อนอยู่ในทราฟฟิก HTTPS ปกติ ทำให้ยากต่อการตรวจจับ

Microsoft ยืนยันว่าเหตุการณ์นี้ไม่ใช่ช่องโหว่ของ OpenAI แต่เป็นการ “ใช้ฟีเจอร์อย่างผิดวัตถุประสงค์” และได้ร่วมมือกับ OpenAI เพื่อปิดบัญชีและ API key ที่ถูกใช้ในการโจมตี

มัลแวร์ SesameOp ใช้ OpenAI Assistants API เป็นช่องทางสื่อสารลับ
ไม่ใช้โมเดล AI หรือ SDK แต่ใช้ API เพื่อรับคำสั่งและส่งผลลัพธ์
ซ่อนการสื่อสารในทราฟฟิก HTTPS ปกติ ทำให้ตรวจจับได้ยาก

ถูกค้นพบโดย Microsoft DART ในการสืบสวนเหตุการณ์โจมตีองค์กร
ใช้เทคนิค .NET AppDomainManager injection ใน Visual Studio
ฝังโค้ดเพื่อคงอยู่ในระบบและหลบเลี่ยงการตรวจจับ

Microsoft และ OpenAI ร่วมมือกันปิดบัญชีและ API key ที่ถูกใช้
ยืนยันว่าไม่ใช่ช่องโหว่ของระบบ แต่เป็นการใช้ฟีเจอร์ผิดวัตถุประสงค์
API ดังกล่าวจะถูกยกเลิกในเดือนสิงหาคม 2026

การเข้ารหัสข้อมูลใช้ทั้ง AES-256 และ RSA
ข้อมูลถูกบีบอัดด้วย GZIP ก่อนส่งกลับผ่าน API
เพิ่มความลับและลดขนาดข้อมูลเพื่อหลบเลี่ยงการตรวจสอบ

https://securityonline.info/sesameop-backdoor-hijacks-openai-assistants-api-for-covert-c2-and-espionage/

🕵️‍♂️ เมื่อ AI กลายเป็นช่องทางลับ: มัลแวร์ SesameOp แอบใช้ OpenAI API เป็นช่องสื่อสารลับ ลองจินตนาการว่าเครื่องมือ AI ที่เราใช้สร้างผู้ช่วยอัจฉริยะ กลับถูกใช้เป็นช่องทางลับในการสื่อสารของแฮกเกอร์ — นั่นคือสิ่งที่เกิดขึ้นจริงในกรณีของ SesameOp มัลแวร์สายจารกรรมที่ถูกค้นพบโดยทีม Microsoft DART (Detection and Response Team) ในเดือนกรกฎาคม 2025 Microsoft ตรวจพบการโจมตีที่ซับซ้อน ซึ่งแฮกเกอร์ได้ฝังมัลแวร์ไว้ในระบบองค์กรผ่านการฉีดโค้ดลงใน Visual Studio โดยใช้เทคนิค .NET AppDomainManager injection เพื่อหลบเลี่ยงการตรวจจับและคงอยู่ในระบบได้นานหลายเดือน แต่สิ่งที่ทำให้ SesameOp โดดเด่นคือการใช้ OpenAI Assistants API — บริการคลาวด์ที่ถูกออกแบบมาเพื่อสร้างผู้ช่วย AI — เป็นช่องทางสื่อสารลับ (Command-and-Control หรือ C2) โดยไม่ต้องตั้งเซิร์ฟเวอร์แฮกเองให้เสี่ยงถูกจับได้ SesameOp ไม่ได้เรียกใช้โมเดล AI หรือ SDK ของ OpenAI แต่ใช้ API เพื่อดึงคำสั่งที่ถูกเข้ารหัสไว้ แล้วนำไปประมวลผลในเครื่องที่ติดมัลแวร์ จากนั้นก็ส่งผลลัพธ์กลับไปยังแฮกเกอร์ผ่าน API เดิม โดยทั้งหมดถูกซ่อนอยู่ในทราฟฟิก HTTPS ปกติ ทำให้ยากต่อการตรวจจับ Microsoft ยืนยันว่าเหตุการณ์นี้ไม่ใช่ช่องโหว่ของ OpenAI แต่เป็นการ “ใช้ฟีเจอร์อย่างผิดวัตถุประสงค์” และได้ร่วมมือกับ OpenAI เพื่อปิดบัญชีและ API key ที่ถูกใช้ในการโจมตี ✅ มัลแวร์ SesameOp ใช้ OpenAI Assistants API เป็นช่องทางสื่อสารลับ ➡️ ไม่ใช้โมเดล AI หรือ SDK แต่ใช้ API เพื่อรับคำสั่งและส่งผลลัพธ์ ➡️ ซ่อนการสื่อสารในทราฟฟิก HTTPS ปกติ ทำให้ตรวจจับได้ยาก ✅ ถูกค้นพบโดย Microsoft DART ในการสืบสวนเหตุการณ์โจมตีองค์กร ➡️ ใช้เทคนิค .NET AppDomainManager injection ใน Visual Studio ➡️ ฝังโค้ดเพื่อคงอยู่ในระบบและหลบเลี่ยงการตรวจจับ ✅ Microsoft และ OpenAI ร่วมมือกันปิดบัญชีและ API key ที่ถูกใช้ ➡️ ยืนยันว่าไม่ใช่ช่องโหว่ของระบบ แต่เป็นการใช้ฟีเจอร์ผิดวัตถุประสงค์ ➡️ API ดังกล่าวจะถูกยกเลิกในเดือนสิงหาคม 2026 ✅ การเข้ารหัสข้อมูลใช้ทั้ง AES-256 และ RSA ➡️ ข้อมูลถูกบีบอัดด้วย GZIP ก่อนส่งกลับผ่าน API ➡️ เพิ่มความลับและลดขนาดข้อมูลเพื่อหลบเลี่ยงการตรวจสอบ https://securityonline.info/sesameop-backdoor-hijacks-openai-assistants-api-for-covert-c2-and-espionage/

SECURITYONLINE.INFO

SesameOp Backdoor Hijacks OpenAI Assistants API for Covert C2 and Espionage
Microsoft exposed SesameOp, an espionage backdoor that uses the OpenAI Assistants API for a covert C2 channel. The malware bypasses network defenses by blending encrypted commands with legitimate HTTPS traffic.

0 Comments 0 Shares 50 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-11-03 15:37:58 -

หัวข้อข่าว: “พบช่องโหว่ร้ายแรงใน AMD Zen 5 – RDSEED ให้ค่าผิดพลาด เสี่ยงความมั่นคงของระบบสุ่ม”

AMD ยืนยันช่องโหว่ในชุดคำสั่ง RDSEED ของชิป Zen 5 ที่อาจให้ค่าศูนย์โดยไม่แจ้งความล้มเหลว ส่งผลต่อความมั่นคงของระบบสุ่มในงานด้านความปลอดภัย โดยเตรียมออก microcode แก้ไขในเดือนพฤศจิกายนถึงมกราคม 2026

ในช่วงกลางเดือนตุลาคม 2025 มีการค้นพบข้อผิดพลาดในสถาปัตยกรรม Zen 5 ของ AMD โดยเฉพาะในคำสั่ง RDSEED ซึ่งเป็นคำสั่งที่ใช้สร้างตัวเลขสุ่มระดับฮาร์ดแวร์สำหรับงานด้านความปลอดภัย เช่น การเข้ารหัสและการตรวจสอบสิทธิ์

ปัญหาคือ RDSEED อาจคืนค่า “0” ซึ่งไม่ใช่ค่าที่สุ่มจริง แต่ยังส่งสัญญาณว่า “สำเร็จ” (CF=1) ทำให้ระบบเข้าใจผิดว่าได้รับค่าที่ปลอดภัย ทั้งที่จริงแล้วอาจเป็นค่าผิดพลาด

AMD ยืนยันว่า RDSEED ขนาด 16-bit และ 32-bit ได้รับผลกระทบ แต่คำสั่ง 64-bit ยังปลอดภัย โดยแนะนำให้ผู้พัฒนาใช้คำสั่ง 64-bit หรือปิดการใช้งาน RDSEED ไปก่อน

การแก้ไขจะมาในรูปแบบ microcode ผ่าน AGESA firmware โดยเริ่มจาก EPYC 9005 วันที่ 14 พฤศจิกายน และตามด้วย Ryzen 9000, Ryzen AI 300 และ EPYC Embedded ในช่วงปลายปีถึงต้นปีหน้า

พบช่องโหว่ในคำสั่ง RDSEED ของ AMD Zen 5
RDSEED อาจคืนค่า 0 โดยไม่แจ้งความล้มเหลว (CF=1)

ส่งผลต่อความมั่นคงของระบบสุ่มในงานด้านความปลอดภัย
เช่น การเข้ารหัส, การตรวจสอบสิทธิ์ และการสร้าง session key

คำสั่ง RDSEED ขนาด 16-bit และ 32-bit ได้รับผลกระทบ
ส่วน 64-bit RDSEED ยังปลอดภัย

AMD เตรียมออก microcode แก้ไขผ่าน AGESA firmware
เริ่มจาก EPYC 9005 วันที่ 14 พฤศจิกายน 2025

Ryzen 9000 และ Ryzen AI 300 จะได้รับการแก้ไขปลายเดือนพฤศจิกายน
EPYC Embedded 9000 และ 4005 จะตามมาในเดือนมกราคม 2026

Linux kernel ได้ปิดการใช้งาน RDSEED บน Zen 5 ไปแล้ว
เพื่อป้องกันการใช้คำสั่งที่ไม่ปลอดภัย

ช่องโหว่นี้อาจดูเล็ก แต่ในโลกของความปลอดภัย “ความสุ่ม” คือหัวใจของการป้องกัน และเมื่อมันผิดพลาด แม้เพียงนิดเดียว ก็อาจเปิดช่องให้การโจมตีเกิดขึ้นได้แบบไม่รู้ตัว

https://securityonline.info/high-severity-bug-amd-zen-5-rdseed-flaw-risks-randomness-integrity-microcode-fix-coming/

🧬⚠️ หัวข้อข่าว: “พบช่องโหว่ร้ายแรงใน AMD Zen 5 – RDSEED ให้ค่าผิดพลาด เสี่ยงความมั่นคงของระบบสุ่ม” AMD ยืนยันช่องโหว่ในชุดคำสั่ง RDSEED ของชิป Zen 5 ที่อาจให้ค่าศูนย์โดยไม่แจ้งความล้มเหลว ส่งผลต่อความมั่นคงของระบบสุ่มในงานด้านความปลอดภัย โดยเตรียมออก microcode แก้ไขในเดือนพฤศจิกายนถึงมกราคม 2026 ในช่วงกลางเดือนตุลาคม 2025 มีการค้นพบข้อผิดพลาดในสถาปัตยกรรม Zen 5 ของ AMD โดยเฉพาะในคำสั่ง RDSEED ซึ่งเป็นคำสั่งที่ใช้สร้างตัวเลขสุ่มระดับฮาร์ดแวร์สำหรับงานด้านความปลอดภัย เช่น การเข้ารหัสและการตรวจสอบสิทธิ์ ปัญหาคือ RDSEED อาจคืนค่า “0” ซึ่งไม่ใช่ค่าที่สุ่มจริง แต่ยังส่งสัญญาณว่า “สำเร็จ” (CF=1) ทำให้ระบบเข้าใจผิดว่าได้รับค่าที่ปลอดภัย ทั้งที่จริงแล้วอาจเป็นค่าผิดพลาด AMD ยืนยันว่า RDSEED ขนาด 16-bit และ 32-bit ได้รับผลกระทบ แต่คำสั่ง 64-bit ยังปลอดภัย โดยแนะนำให้ผู้พัฒนาใช้คำสั่ง 64-bit หรือปิดการใช้งาน RDSEED ไปก่อน การแก้ไขจะมาในรูปแบบ microcode ผ่าน AGESA firmware โดยเริ่มจาก EPYC 9005 วันที่ 14 พฤศจิกายน และตามด้วย Ryzen 9000, Ryzen AI 300 และ EPYC Embedded ในช่วงปลายปีถึงต้นปีหน้า ✅ พบช่องโหว่ในคำสั่ง RDSEED ของ AMD Zen 5 ➡️ RDSEED อาจคืนค่า 0 โดยไม่แจ้งความล้มเหลว (CF=1) ✅ ส่งผลต่อความมั่นคงของระบบสุ่มในงานด้านความปลอดภัย ➡️ เช่น การเข้ารหัส, การตรวจสอบสิทธิ์ และการสร้าง session key ✅ คำสั่ง RDSEED ขนาด 16-bit และ 32-bit ได้รับผลกระทบ ➡️ ส่วน 64-bit RDSEED ยังปลอดภัย ✅ AMD เตรียมออก microcode แก้ไขผ่าน AGESA firmware ➡️ เริ่มจาก EPYC 9005 วันที่ 14 พฤศจิกายน 2025 ✅ Ryzen 9000 และ Ryzen AI 300 จะได้รับการแก้ไขปลายเดือนพฤศจิกายน ➡️ EPYC Embedded 9000 และ 4005 จะตามมาในเดือนมกราคม 2026 ✅ Linux kernel ได้ปิดการใช้งาน RDSEED บน Zen 5 ไปแล้ว ➡️ เพื่อป้องกันการใช้คำสั่งที่ไม่ปลอดภัย ช่องโหว่นี้อาจดูเล็ก แต่ในโลกของความปลอดภัย “ความสุ่ม” คือหัวใจของการป้องกัน และเมื่อมันผิดพลาด แม้เพียงนิดเดียว ก็อาจเปิดช่องให้การโจมตีเกิดขึ้นได้แบบไม่รู้ตัว 🔐💥 https://securityonline.info/high-severity-bug-amd-zen-5-rdseed-flaw-risks-randomness-integrity-microcode-fix-coming/

SECURITYONLINE.INFO

High-Severity Bug: AMD Zen 5 RDSEED Flaw Risks Randomness Integrity; Microcode Fix Coming
AMD confirmed a high-severity bug in Zen 5 CPUs where the 16/32-bit RDSEED returns non-random values. Microcode fixes roll out starting Nov 14 (EPYC) & late Nov (Ryzen).

0 Comments 0 Shares 73 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-11-03 02:51:38 -

หัวข้อข่าว: “อินเทอร์เน็ตโลกยังเปราะบาง – Cloudflare เผยเบื้องหลังการล่มจากสายเคเบิล,ภัยธรรมชาติ และคำสั่งรัฐ”

รายงานล่าสุดจาก Cloudflare เผยว่า ตั้งแต่เดือนกรกฎาคมถึงกันยายน 2025 โลกเผชิญกับการล่มของอินเทอร์เน็ตจากหลายสาเหตุ ทั้งภัยธรรมชาติ, การก่อสร้าง, การโจมตีไซเบอร์ และคำสั่งจากรัฐบาล โดยมีผลกระทบต่อผู้ใช้งานในกว่า 125 ประเทศ.

ลองนึกภาพว่าแค่กระสุนหลงในเท็กซัสก็สามารถทำให้ผู้ใช้ Spectrum หลายพันคนใช้งานอินเทอร์เน็ตไม่ได้ถึง 2 ชั่วโมง นี่คือหนึ่งในหลายกรณีที่ Cloudflare รวบรวมไว้ในรายงาน “Q3 Internet Disruptions” ซึ่งชี้ให้เห็นว่าโครงสร้างพื้นฐานของอินเทอร์เน็ตทั่วโลกยังคงเปราะบางอย่างมาก

รายงานระบุว่า:
รัฐบาลยังคงเป็นต้นเหตุหลักของการล่ม เช่น อิรัก, ซีเรีย และซูดาน ที่สั่งปิดอินเทอร์เน็ตช่วงสอบระดับชาติ เพื่อป้องกันการโกงข้อสอบ
ภัยธรรมชาติและอุบัติเหตุ เช่น แผ่นดินไหวขนาด 8.8 ในคัมชัตกา, ไฟไหม้ศูนย์กลางโทรคมนาคมในอียิปต์, และการตัดสายเคเบิลจากการก่อสร้างในแองโกลาและโดมินิกัน
การโจมตีไซเบอร์และความผิดพลาดของระบบ เช่น Starlink ที่ล่มทั่วโลกในวันที่ 24 กรกฎาคม จากความผิดพลาดของซอฟต์แวร์ภายใน

แม้จะมีเทคโนโลยีป้องกัน DDoS และระบบ routing ที่ทันสมัย แต่เมื่อโครงสร้างพื้นฐานถูกทำลายหรือถูกสั่งปิด อินเทอร์เน็ตก็ยังคงล่มได้ง่าย

Cloudflare เผยรายงาน Q3 Internet Disruptions ปี 2025
ครอบคลุมเหตุการณ์ล่มใน 125 ประเทศจากหลายสาเหตุ

รัฐบาลยังคงใช้การปิดอินเทอร์เน็ตเป็นเครื่องมือควบคุม
เช่น อิรัก, ซีเรีย, ซูดาน ปิดเน็ตช่วงสอบเพื่อป้องกันการโกง

ภัยธรรมชาติและอุบัติเหตุเป็นสาเหตุสำคัญ
แผ่นดินไหวในรัสเซีย, ไฟไหม้ในอียิปต์, กระสุนหลงในเท็กซัส

การก่อสร้างทำให้สายเคเบิลถูกตัด
ส่งผลให้การเชื่อมต่อหยุดชะงักหลายชั่วโมงในหลายประเทศ

Starlink ล่มทั่วโลกจากความผิดพลาดของระบบ
แสดงให้เห็นว่าแม้ระบบดาวเทียมก็ยังไม่ปลอดภัยจากข้อผิดพลาดภายใน

Cloudflare ใช้ข้อมูลจากเครือข่ายใน 330 เมืองทั่วโลก
เพื่อวิเคราะห์รูปแบบการล่มและสาเหตุที่แท้จริง

https://www.techradar.com/pro/disasters-shutdowns-and-cable-damage-galore-cloudflare-study-reveals-whats-really-been-behind-all-the-recent-internet-outages

🌐⚡ หัวข้อข่าว: “อินเทอร์เน็ตโลกยังเปราะบาง – Cloudflare เผยเบื้องหลังการล่มจากสายเคเบิล,ภัยธรรมชาติ และคำสั่งรัฐ” รายงานล่าสุดจาก Cloudflare เผยว่า ตั้งแต่เดือนกรกฎาคมถึงกันยายน 2025 โลกเผชิญกับการล่มของอินเทอร์เน็ตจากหลายสาเหตุ ทั้งภัยธรรมชาติ, การก่อสร้าง, การโจมตีไซเบอร์ และคำสั่งจากรัฐบาล โดยมีผลกระทบต่อผู้ใช้งานในกว่า 125 ประเทศ. ลองนึกภาพว่าแค่กระสุนหลงในเท็กซัสก็สามารถทำให้ผู้ใช้ Spectrum หลายพันคนใช้งานอินเทอร์เน็ตไม่ได้ถึง 2 ชั่วโมง นี่คือหนึ่งในหลายกรณีที่ Cloudflare รวบรวมไว้ในรายงาน “Q3 Internet Disruptions” ซึ่งชี้ให้เห็นว่าโครงสร้างพื้นฐานของอินเทอร์เน็ตทั่วโลกยังคงเปราะบางอย่างมาก รายงานระบุว่า: 📍 รัฐบาลยังคงเป็นต้นเหตุหลักของการล่ม เช่น อิรัก, ซีเรีย และซูดาน ที่สั่งปิดอินเทอร์เน็ตช่วงสอบระดับชาติ เพื่อป้องกันการโกงข้อสอบ 📍 ภัยธรรมชาติและอุบัติเหตุ เช่น แผ่นดินไหวขนาด 8.8 ในคัมชัตกา, ไฟไหม้ศูนย์กลางโทรคมนาคมในอียิปต์, และการตัดสายเคเบิลจากการก่อสร้างในแองโกลาและโดมินิกัน 📍 การโจมตีไซเบอร์และความผิดพลาดของระบบ เช่น Starlink ที่ล่มทั่วโลกในวันที่ 24 กรกฎาคม จากความผิดพลาดของซอฟต์แวร์ภายใน แม้จะมีเทคโนโลยีป้องกัน DDoS และระบบ routing ที่ทันสมัย แต่เมื่อโครงสร้างพื้นฐานถูกทำลายหรือถูกสั่งปิด อินเทอร์เน็ตก็ยังคงล่มได้ง่าย ✅ Cloudflare เผยรายงาน Q3 Internet Disruptions ปี 2025 ➡️ ครอบคลุมเหตุการณ์ล่มใน 125 ประเทศจากหลายสาเหตุ ✅ รัฐบาลยังคงใช้การปิดอินเทอร์เน็ตเป็นเครื่องมือควบคุม ➡️ เช่น อิรัก, ซีเรีย, ซูดาน ปิดเน็ตช่วงสอบเพื่อป้องกันการโกง ✅ ภัยธรรมชาติและอุบัติเหตุเป็นสาเหตุสำคัญ ➡️ แผ่นดินไหวในรัสเซีย, ไฟไหม้ในอียิปต์, กระสุนหลงในเท็กซัส ✅ การก่อสร้างทำให้สายเคเบิลถูกตัด ➡️ ส่งผลให้การเชื่อมต่อหยุดชะงักหลายชั่วโมงในหลายประเทศ ✅ Starlink ล่มทั่วโลกจากความผิดพลาดของระบบ ➡️ แสดงให้เห็นว่าแม้ระบบดาวเทียมก็ยังไม่ปลอดภัยจากข้อผิดพลาดภายใน ✅ Cloudflare ใช้ข้อมูลจากเครือข่ายใน 330 เมืองทั่วโลก ➡️ เพื่อวิเคราะห์รูปแบบการล่มและสาเหตุที่แท้จริง https://www.techradar.com/pro/disasters-shutdowns-and-cable-damage-galore-cloudflare-study-reveals-whats-really-been-behind-all-the-recent-internet-outages

WWW.TECHRADAR.COM

Fires, bullets, and earthquakes can easily take the internet down
Little things like a stray bullet in Texas can disrupt entire network connections

0 Comments 0 Shares 98 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-11-03 02:05:43 -

TruffleNet: ปฏิบัติการแฮกระบบคลาวด์ครั้งใหญ่ ใช้ AWS SES และ Portainer ควบคุมโฮสต์อันตรายกว่า 800 เครื่อง

Fortinet เผยแคมเปญไซเบอร์ “TruffleNet” ที่ใช้บัญชี AWS ที่ถูกขโมยมาเพื่อส่งอีเมลหลอกลวง (BEC) ผ่าน Amazon SES และควบคุมโครงสร้างพื้นฐานกว่า 800 โฮสต์โดยใช้ Portainer ซึ่งเป็นเครื่องมือจัดการ Docker แบบโอเพ่นซอร์ส

แฮกเกอร์เริ่มจากการใช้เครื่องมือ TruffleHog สแกนหา AWS key ที่รั่วไหล จากนั้นใช้ API ของ AWS เช่น GetCallerIdentity และ GetSendQuota เพื่อตรวจสอบว่า key ใช้งานได้หรือไม่ และสามารถส่งอีเมลผ่าน SES ได้มากแค่ไหน

เมื่อได้ key ที่ใช้ได้ พวกเขาจะใช้ Portainer เป็นแดชบอร์ดควบคุมเครื่องจำนวนมาก โดยติดตั้ง OpenSSH และเปิดพอร์ตที่ใช้ควบคุม เช่น 5432 และ 3389 เพื่อสั่งการจากระยะไกล

หนึ่งในเทคนิคที่น่ากลัวคือการใช้ DomainKeys Identified Mail (DKIM) ที่ขโมยมาจากเว็บไซต์ WordPress ที่ถูกแฮก เพื่อสร้างตัวตนปลอมในการส่งอีเมลหลอกลวง เช่น การปลอมเป็นบริษัท ZoomInfo เพื่อหลอกให้เหยื่อโอนเงินกว่า $50,000

แคมเปญ TruffleNet ใช้ AWS SES และ Portainer
ใช้ AWS key ที่ถูกขโมยมาเพื่อส่งอีเมล BEC
ใช้ Portainer ควบคุมโฮสต์กว่า 800 เครื่องใน 57 เครือข่าย
ใช้ API ของ AWS ตรวจสอบสิทธิ์และขีดจำกัดการส่งอีเมล

เทคนิคการแฝงตัวและควบคุมระบบ
ใช้ TruffleHog สแกนหา AWS key ที่รั่ว
ใช้ Portainer เป็นแดชบอร์ดควบคุม Docker
เปิดพอร์ต 5432 และ 3389 เพื่อควบคุมจากระยะไกล

การโจมตีแบบ BEC (Business Email Compromise)
ใช้ DKIM จากเว็บไซต์ WordPress ที่ถูกแฮก
ปลอมเป็นบริษัทจริง เช่น ZoomInfo ส่งใบแจ้งหนี้ปลอม
หลอกให้เหยื่อโอนเงินไปยังบัญชีของแฮกเกอร์

คำเตือนสำหรับองค์กรที่ใช้ AWS และ Docker
ตรวจสอบการรั่วไหลของ AWS key อย่างสม่ำเสมอ
จำกัดสิทธิ์ของ key และตรวจสอบการใช้ API ที่ผิดปกติ
ป้องกันการเข้าถึง Portainer ด้วยการตั้งรหัสผ่านและจำกัด IP
ตรวจสอบ DKIM และ SPF ของโดเมนเพื่อป้องกันการปลอม

https://securityonline.info/cloud-abuse-trufflenet-bec-campaign-hijacks-aws-ses-and-portainer-to-orchestrate-800-malicious-hosts/

☁️ TruffleNet: ปฏิบัติการแฮกระบบคลาวด์ครั้งใหญ่ ใช้ AWS SES และ Portainer ควบคุมโฮสต์อันตรายกว่า 800 เครื่อง Fortinet เผยแคมเปญไซเบอร์ “TruffleNet” ที่ใช้บัญชี AWS ที่ถูกขโมยมาเพื่อส่งอีเมลหลอกลวง (BEC) ผ่าน Amazon SES และควบคุมโครงสร้างพื้นฐานกว่า 800 โฮสต์โดยใช้ Portainer ซึ่งเป็นเครื่องมือจัดการ Docker แบบโอเพ่นซอร์ส แฮกเกอร์เริ่มจากการใช้เครื่องมือ TruffleHog สแกนหา AWS key ที่รั่วไหล จากนั้นใช้ API ของ AWS เช่น GetCallerIdentity และ GetSendQuota เพื่อตรวจสอบว่า key ใช้งานได้หรือไม่ และสามารถส่งอีเมลผ่าน SES ได้มากแค่ไหน เมื่อได้ key ที่ใช้ได้ พวกเขาจะใช้ Portainer เป็นแดชบอร์ดควบคุมเครื่องจำนวนมาก โดยติดตั้ง OpenSSH และเปิดพอร์ตที่ใช้ควบคุม เช่น 5432 และ 3389 เพื่อสั่งการจากระยะไกล หนึ่งในเทคนิคที่น่ากลัวคือการใช้ DomainKeys Identified Mail (DKIM) ที่ขโมยมาจากเว็บไซต์ WordPress ที่ถูกแฮก เพื่อสร้างตัวตนปลอมในการส่งอีเมลหลอกลวง เช่น การปลอมเป็นบริษัท ZoomInfo เพื่อหลอกให้เหยื่อโอนเงินกว่า $50,000 ✅ แคมเปญ TruffleNet ใช้ AWS SES และ Portainer ➡️ ใช้ AWS key ที่ถูกขโมยมาเพื่อส่งอีเมล BEC ➡️ ใช้ Portainer ควบคุมโฮสต์กว่า 800 เครื่องใน 57 เครือข่าย ➡️ ใช้ API ของ AWS ตรวจสอบสิทธิ์และขีดจำกัดการส่งอีเมล ✅ เทคนิคการแฝงตัวและควบคุมระบบ ➡️ ใช้ TruffleHog สแกนหา AWS key ที่รั่ว ➡️ ใช้ Portainer เป็นแดชบอร์ดควบคุม Docker ➡️ เปิดพอร์ต 5432 และ 3389 เพื่อควบคุมจากระยะไกล ✅ การโจมตีแบบ BEC (Business Email Compromise) ➡️ ใช้ DKIM จากเว็บไซต์ WordPress ที่ถูกแฮก ➡️ ปลอมเป็นบริษัทจริง เช่น ZoomInfo ส่งใบแจ้งหนี้ปลอม ➡️ หลอกให้เหยื่อโอนเงินไปยังบัญชีของแฮกเกอร์ ‼️ คำเตือนสำหรับองค์กรที่ใช้ AWS และ Docker ⛔ ตรวจสอบการรั่วไหลของ AWS key อย่างสม่ำเสมอ ⛔ จำกัดสิทธิ์ของ key และตรวจสอบการใช้ API ที่ผิดปกติ ⛔ ป้องกันการเข้าถึง Portainer ด้วยการตั้งรหัสผ่านและจำกัด IP ⛔ ตรวจสอบ DKIM และ SPF ของโดเมนเพื่อป้องกันการปลอม https://securityonline.info/cloud-abuse-trufflenet-bec-campaign-hijacks-aws-ses-and-portainer-to-orchestrate-800-malicious-hosts/

SECURITYONLINE.INFO

Cloud Abuse: TruffleNet BEC Campaign Hijacks AWS SES and Portainer to Orchestrate 800+ Malicious Hosts
Fortinet exposed TruffleNet, a massive BEC campaign using stolen AWS keys to exploit Amazon SES for email fraud. It abuses Portainer as a C2 and uses TruffleHog for reconnaissance.

0 Comments 0 Shares 56 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-11-03 02:03:34 -

ปฏิบัติการ SkyCloak: แฮกเกอร์ใช้ LNK และ OpenSSH ผ่าน Tor เจาะระบบทหารรัสเซีย-เบลารุส

เรื่องราวนี้เผยให้เห็นการโจมตีไซเบอร์ระดับสูงที่ใช้เทคนิคซับซ้อนเพื่อแฝงตัวในระบบของกองทัพรัสเซียและเบลารุส โดยกลุ่มแฮกเกอร์ไม่เปิดเผยชื่อได้ใช้ไฟล์ LNK ที่ดูเหมือนไม่มีพิษภัยเป็นตัวเปิดทาง ก่อนจะติดตั้ง OpenSSH ผ่านเครือข่าย Tor เพื่อสร้างช่องทางเข้าถึงระบบแบบลับสุดยอด

จุดเด่นของการโจมตีคือการใช้ obfs4 bridges ซึ่งเป็นเทคนิคการพรางตัวแบบพิเศษในเครือข่าย Tor ทำให้การเชื่อมต่อไม่สามารถตรวจจับได้ง่าย และสามารถหลบเลี่ยงระบบตรวจสอบขององค์กรเป้าหมายได้อย่างแนบเนียน

นอกจากนี้ยังมีการใช้ PowerShell script ที่ฝังอยู่ในไฟล์ LNK เพื่อเรียกใช้งาน OpenSSH client ที่ถูกปรับแต่งให้เชื่อมต่อกับเซิร์ฟเวอร์ควบคุมผ่าน Tor โดยไม่ทิ้งร่องรอยไว้ในระบบปกติ

สาระเพิ่มเติมจากวงการไซเบอร์ เทคนิคการใช้ไฟล์ LNK เป็นหนึ่งในวิธีที่นิยมในกลุ่มแฮกเกอร์ระดับสูง เพราะสามารถหลอกให้ผู้ใช้เปิดไฟล์ได้โดยไม่สงสัย และสามารถฝังคำสั่ง PowerShell หรือ VBScript ได้อย่างแนบเนียน

การใช้ OpenSSH บนเครือข่าย Tor ยังช่วยให้แฮกเกอร์สามารถควบคุมเครื่องเป้าหมายจากระยะไกลโดยไม่ถูกติดตาม ซึ่งเป็นภัยคุกคามต่อระบบที่ต้องการความมั่นคงสูง เช่น กองทัพ หน่วยงานรัฐบาล หรือองค์กรวิจัย

ปฏิบัติการ SkyCloak เจาะระบบทหารรัสเซียและเบลารุส
ใช้ไฟล์ LNK เป็นตัวเปิดทางในการติดตั้ง backdoor
ฝัง PowerShell script เพื่อเรียกใช้งาน OpenSSH client
เชื่อมต่อผ่าน Tor ด้วย obfs4 bridges เพื่อหลบเลี่ยงการตรวจจับ

เทคนิคการพรางตัวของแฮกเกอร์
ใช้ obfs4 bridges เพื่อปิดบังการเชื่อมต่อ
ใช้ OpenSSH client ที่ปรับแต่งให้ทำงานแบบลับ
ไม่ทิ้งร่องรอยในระบบปกติของเครื่องเป้าหมาย

ความเสี่ยงต่อองค์กรที่ใช้ Windows
ไฟล์ LNK สามารถฝังคำสั่งอันตรายได้โดยไม่ต้องติดตั้งโปรแกรม
PowerShell เป็นเครื่องมือที่ทรงพลังแต่เสี่ยงต่อการถูกใช้ในทางที่ผิด
การเชื่อมต่อผ่าน Tor ทำให้การติดตามแหล่งที่มาของการโจมตีทำได้ยาก

https://securityonline.info/operation-skycloak-targets-russian-belarusian-military-with-lnk-exploit-and-openssh-over-tor-backdoor/

🔐 ปฏิบัติการ SkyCloak: แฮกเกอร์ใช้ LNK และ OpenSSH ผ่าน Tor เจาะระบบทหารรัสเซีย-เบลารุส เรื่องราวนี้เผยให้เห็นการโจมตีไซเบอร์ระดับสูงที่ใช้เทคนิคซับซ้อนเพื่อแฝงตัวในระบบของกองทัพรัสเซียและเบลารุส โดยกลุ่มแฮกเกอร์ไม่เปิดเผยชื่อได้ใช้ไฟล์ LNK ที่ดูเหมือนไม่มีพิษภัยเป็นตัวเปิดทาง ก่อนจะติดตั้ง OpenSSH ผ่านเครือข่าย Tor เพื่อสร้างช่องทางเข้าถึงระบบแบบลับสุดยอด 🎯 จุดเด่นของการโจมตีคือการใช้ obfs4 bridges ซึ่งเป็นเทคนิคการพรางตัวแบบพิเศษในเครือข่าย Tor ทำให้การเชื่อมต่อไม่สามารถตรวจจับได้ง่าย และสามารถหลบเลี่ยงระบบตรวจสอบขององค์กรเป้าหมายได้อย่างแนบเนียน นอกจากนี้ยังมีการใช้ PowerShell script ที่ฝังอยู่ในไฟล์ LNK เพื่อเรียกใช้งาน OpenSSH client ที่ถูกปรับแต่งให้เชื่อมต่อกับเซิร์ฟเวอร์ควบคุมผ่าน Tor โดยไม่ทิ้งร่องรอยไว้ในระบบปกติ 📌 สาระเพิ่มเติมจากวงการไซเบอร์ เทคนิคการใช้ไฟล์ LNK เป็นหนึ่งในวิธีที่นิยมในกลุ่มแฮกเกอร์ระดับสูง เพราะสามารถหลอกให้ผู้ใช้เปิดไฟล์ได้โดยไม่สงสัย และสามารถฝังคำสั่ง PowerShell หรือ VBScript ได้อย่างแนบเนียน การใช้ OpenSSH บนเครือข่าย Tor ยังช่วยให้แฮกเกอร์สามารถควบคุมเครื่องเป้าหมายจากระยะไกลโดยไม่ถูกติดตาม ซึ่งเป็นภัยคุกคามต่อระบบที่ต้องการความมั่นคงสูง เช่น กองทัพ หน่วยงานรัฐบาล หรือองค์กรวิจัย ✅ ปฏิบัติการ SkyCloak เจาะระบบทหารรัสเซียและเบลารุส ➡️ ใช้ไฟล์ LNK เป็นตัวเปิดทางในการติดตั้ง backdoor ➡️ ฝัง PowerShell script เพื่อเรียกใช้งาน OpenSSH client ➡️ เชื่อมต่อผ่าน Tor ด้วย obfs4 bridges เพื่อหลบเลี่ยงการตรวจจับ ✅ เทคนิคการพรางตัวของแฮกเกอร์ ➡️ ใช้ obfs4 bridges เพื่อปิดบังการเชื่อมต่อ ➡️ ใช้ OpenSSH client ที่ปรับแต่งให้ทำงานแบบลับ ➡️ ไม่ทิ้งร่องรอยในระบบปกติของเครื่องเป้าหมาย ✅ ความเสี่ยงต่อองค์กรที่ใช้ Windows ➡️ ไฟล์ LNK สามารถฝังคำสั่งอันตรายได้โดยไม่ต้องติดตั้งโปรแกรม ➡️ PowerShell เป็นเครื่องมือที่ทรงพลังแต่เสี่ยงต่อการถูกใช้ในทางที่ผิด ➡️ การเชื่อมต่อผ่าน Tor ทำให้การติดตามแหล่งที่มาของการโจมตีทำได้ยาก https://securityonline.info/operation-skycloak-targets-russian-belarusian-military-with-lnk-exploit-and-openssh-over-tor-backdoor/

SECURITYONLINE.INFO

Operation SkyCloak Targets Russian/Belarusian Military With LNK Exploit and OpenSSH Over Tor Backdoor
SEQRITE exposed SkyCloak, an espionage campaign targeting Russian/Belarusian military personnel. It uses malicious LNK files to deploy OpenSSH over Tor obfs4 bridges for stealthy, persistent remote access.

0 Comments 0 Shares 60 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-11-03 02:02:27 -

ภัยเงียบในระบบคลาวด์: ช่องโหว่ Elastic Cloud Enterprise เปิดช่องให้ผู้ใช้ readonly ยกระดับสิทธิ์

ลองจินตนาการว่าในระบบคลาวด์ที่คุณไว้วางใจ มีผู้ใช้ที่ควรจะ “แค่มองเห็น” กลับสามารถ “สั่งการ” ได้เหมือนผู้ดูแลระบบเต็มตัว… นั่นคือสิ่งที่เกิดขึ้นกับ Elastic Cloud Enterprise (ECE) ในช่องโหว่ร้ายแรง CVE-2025-37736 ที่เพิ่งถูกเปิดเผยเมื่อวันที่ 3 พฤศจิกายน 2025

Elastic ได้ออกประกาศเตือนถึงช่องโหว่ระดับความรุนแรงสูง (CVSS 8.8) ซึ่งเกิดจากการควบคุมสิทธิ์ที่ผิดพลาด ทำให้ผู้ใช้แบบ readonly สามารถเรียกใช้ API ที่ควรสงวนไว้สำหรับผู้ดูแลระบบ เช่น การสร้างผู้ใช้ใหม่ ลบคีย์ API หรือแม้แต่แก้ไขบัญชีผู้ใช้ ซึ่งอาจนำไปสู่การยกระดับสิทธิ์โดยไม่ชอบธรรม

สาระเพิ่มเติมจากวงการไซเบอร์ ช่องโหว่ประเภท Privilege Escalation ไม่ใช่เรื่องใหม่ แต่เมื่อเกิดในระบบคลาวด์ที่ใช้กันอย่างแพร่หลาย เช่น Elastic Cloud Enterprise ยิ่งเพิ่มความเสี่ยงต่อการโจมตีแบบ supply chain หรือการแฝงตัวในระบบองค์กรขนาดใหญ่ โดยเฉพาะเมื่อ API เป็นช่องทางหลักในการจัดการระบบ

Elastic ได้ออกแพตช์แก้ไขในเวอร์ชัน 3.8.3 และ 4.0.3 พร้อมเครื่องมือโอเพ่นซอร์สสำหรับตรวจสอบและลบบัญชีที่ถูกสร้างโดยผู้ใช้ readonly ซึ่งอาจเป็นช่องทางที่แฮกเกอร์ใช้แฝงตัว

ช่องโหว่ CVE-2025-37736 ใน Elastic Cloud Enterprise
เกิดจากการควบคุมสิทธิ์ที่ผิดพลาด ทำให้ผู้ใช้ readonly เรียกใช้ API ที่ควรจำกัด
ส่งผลให้สามารถสร้าง ลบ หรือแก้ไขบัญชีผู้ใช้และคีย์ API ได้
ส่งผลกระทบต่อเวอร์ชัน 3.8.0–3.8.2 และ 4.0.0–4.0.2

การตอบสนองจาก Elastic
ออกแพตช์แก้ไขในเวอร์ชัน 3.8.3 และ 4.0.3
แนะนำให้ผู้ดูแลระบบตรวจสอบบัญชีที่ถูกสร้างโดย readonly user
มีเครื่องมือโอเพ่นซอร์สสำหรับช่วยลบผู้ใช้ที่ไม่พึงประสงค์

ความสำคัญของ API ในระบบคลาวด์
API เป็นช่องทางหลักในการจัดการระบบคลาวด์
ช่องโหว่ใน API อาจนำไปสู่การควบคุมระบบโดยผู้ไม่หวังดี

https://securityonline.info/elastic-patches-high-severity-privilege-escalation-flaw-in-elastic-cloud-enterprise-cve-2025-37736/

🛡️ ภัยเงียบในระบบคลาวด์: ช่องโหว่ Elastic Cloud Enterprise เปิดช่องให้ผู้ใช้ readonly ยกระดับสิทธิ์ ลองจินตนาการว่าในระบบคลาวด์ที่คุณไว้วางใจ มีผู้ใช้ที่ควรจะ “แค่มองเห็น” กลับสามารถ “สั่งการ” ได้เหมือนผู้ดูแลระบบเต็มตัว… นั่นคือสิ่งที่เกิดขึ้นกับ Elastic Cloud Enterprise (ECE) ในช่องโหว่ร้ายแรง CVE-2025-37736 ที่เพิ่งถูกเปิดเผยเมื่อวันที่ 3 พฤศจิกายน 2025 Elastic ได้ออกประกาศเตือนถึงช่องโหว่ระดับความรุนแรงสูง (CVSS 8.8) ซึ่งเกิดจากการควบคุมสิทธิ์ที่ผิดพลาด ทำให้ผู้ใช้แบบ readonly สามารถเรียกใช้ API ที่ควรสงวนไว้สำหรับผู้ดูแลระบบ เช่น การสร้างผู้ใช้ใหม่ ลบคีย์ API หรือแม้แต่แก้ไขบัญชีผู้ใช้ ซึ่งอาจนำไปสู่การยกระดับสิทธิ์โดยไม่ชอบธรรม 📌 สาระเพิ่มเติมจากวงการไซเบอร์ ช่องโหว่ประเภท Privilege Escalation ไม่ใช่เรื่องใหม่ แต่เมื่อเกิดในระบบคลาวด์ที่ใช้กันอย่างแพร่หลาย เช่น Elastic Cloud Enterprise ยิ่งเพิ่มความเสี่ยงต่อการโจมตีแบบ supply chain หรือการแฝงตัวในระบบองค์กรขนาดใหญ่ โดยเฉพาะเมื่อ API เป็นช่องทางหลักในการจัดการระบบ Elastic ได้ออกแพตช์แก้ไขในเวอร์ชัน 3.8.3 และ 4.0.3 พร้อมเครื่องมือโอเพ่นซอร์สสำหรับตรวจสอบและลบบัญชีที่ถูกสร้างโดยผู้ใช้ readonly ซึ่งอาจเป็นช่องทางที่แฮกเกอร์ใช้แฝงตัว ✅ ช่องโหว่ CVE-2025-37736 ใน Elastic Cloud Enterprise ➡️ เกิดจากการควบคุมสิทธิ์ที่ผิดพลาด ทำให้ผู้ใช้ readonly เรียกใช้ API ที่ควรจำกัด ➡️ ส่งผลให้สามารถสร้าง ลบ หรือแก้ไขบัญชีผู้ใช้และคีย์ API ได้ ➡️ ส่งผลกระทบต่อเวอร์ชัน 3.8.0–3.8.2 และ 4.0.0–4.0.2 ✅ การตอบสนองจาก Elastic ➡️ ออกแพตช์แก้ไขในเวอร์ชัน 3.8.3 และ 4.0.3 ➡️ แนะนำให้ผู้ดูแลระบบตรวจสอบบัญชีที่ถูกสร้างโดย readonly user ➡️ มีเครื่องมือโอเพ่นซอร์สสำหรับช่วยลบผู้ใช้ที่ไม่พึงประสงค์ ✅ ความสำคัญของ API ในระบบคลาวด์ ➡️ API เป็นช่องทางหลักในการจัดการระบบคลาวด์ ➡️ ช่องโหว่ใน API อาจนำไปสู่การควบคุมระบบโดยผู้ไม่หวังดี https://securityonline.info/elastic-patches-high-severity-privilege-escalation-flaw-in-elastic-cloud-enterprise-cve-2025-37736/

SECURITYONLINE.INFO

Elastic Patches High-Severity Privilege Escalation Flaw in Elastic Cloud Enterprise (CVE-2025-37736)
Elastic patched a Critical EoP flaw (CVE-2025-37736) in ECE (v3.8.3/4.0.3) where the readonly user can create admin users and inject new API keys by bypassing authorization checks.

0 Comments 0 Shares 45 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-11-02 11:59:36 -

“Conti” ร้ายเงียบ: แฮกเกอร์ยูเครนถูกส่งตัวขึ้นศาลสหรัฐฯ

เรื่องราวนี้เริ่มต้นจากการที่ Oleksii Oleksiyovych Lytvynenko ชาวยูเครนวัย 43 ปี ถูกจับกุมในเมืองคอร์ก ประเทศไอร์แลนด์ ตามคำร้องขอของสหรัฐฯ และล่าสุดถูกส่งตัวมายังรัฐเทนเนสซีเพื่อเผชิญข้อกล่าวหาหนักเกี่ยวกับการใช้มัลแวร์ Conti ransomware โจมตีองค์กรต่างๆ ทั่วโลก

Conti ransomware เป็นหนึ่งในมัลแวร์ที่สร้างความเสียหายมากที่สุดในประวัติศาสตร์ โดยใช้เทคนิค “double extortion” คือการเข้ารหัสข้อมูลของเหยื่อและขู่เปิดเผยข้อมูลหากไม่จ่ายค่าไถ่ ซึ่ง FBI ประเมินว่ามีมูลค่าความเสียหายรวมกว่า $150 ล้าน และมีเหยื่อมากกว่า 1,000 ราย ในกว่า 47 รัฐของสหรัฐฯ และอีก 31 ประเทศทั่วโลก

Lytvynenko ถูกกล่าวหาว่าเป็นผู้ร่วมวางแผนและควบคุมการโจมตีเหล่านี้ โดยมีบทบาทในการสร้างข้อความเรียกค่าไถ่และควบคุมข้อมูลที่ถูกขโมยจากเหยื่อหลายรายในระบบของ Conti

Conti คือใคร?
Conti ransomware ถูกเชื่อมโยงกับกลุ่มแฮกเกอร์ที่มีฐานในรัสเซีย และมีความเกี่ยวข้องกับการโจมตีโครงสร้างพื้นฐานสำคัญ เช่น โรงพยาบาล หน่วยงานรัฐ และบริษัทเอกชน โดยเฉพาะในช่วงปี 2021 ที่มีการโจมตีมากที่สุด

ในปี 2022 มีการรั่วไหลของซอร์สโค้ดของ Conti ซึ่งเผยให้เห็นโครงสร้างการทำงานภายในของกลุ่มนี้ รวมถึงการสื่อสารภายในที่แสดงถึงความเป็นองค์กรแบบมืออาชีพมากกว่าการทำงานแบบสมัครเล่น

การส่งตัวผู้ต้องหาข้ามประเทศ
Lytvynenko ถูกจับในไอร์แลนด์และส่งตัวมายังสหรัฐฯ
ข้อกล่าวหาคือสมรู้ร่วมคิดในการฉ้อโกงผ่านคอมพิวเตอร์และระบบการเงิน

ความเสียหายจาก Conti ransomware
สร้างความเสียหายกว่า $150 ล้าน
มีเหยื่อมากกว่า 1,000 รายใน 47 รัฐของสหรัฐฯ และอีก 31 ประเทศ
ใช้เทคนิค double extortion คือเข้ารหัสและขู่เปิดเผยข้อมูล

บทบาทของ Lytvynenko
ควบคุมข้อมูลที่ถูกขโมยจากเหยื่อ
มีส่วนในการสร้างข้อความเรียกค่าไถ่
ถูกตั้งข้อหาสมรู้ร่วมคิดในการฉ้อโกงคอมพิวเตอร์ (โทษสูงสุด 5 ปี) และฉ้อโกงระบบการเงิน (โทษสูงสุด 20 ปี)

https://securityonline.info/conti-ransomware-operator-oleksii-lytvynenko-extradited-from-ireland-to-face-federal-hacking-charges/

⚖️ “Conti” ร้ายเงียบ: แฮกเกอร์ยูเครนถูกส่งตัวขึ้นศาลสหรัฐฯ เรื่องราวนี้เริ่มต้นจากการที่ Oleksii Oleksiyovych Lytvynenko ชาวยูเครนวัย 43 ปี ถูกจับกุมในเมืองคอร์ก ประเทศไอร์แลนด์ ตามคำร้องขอของสหรัฐฯ และล่าสุดถูกส่งตัวมายังรัฐเทนเนสซีเพื่อเผชิญข้อกล่าวหาหนักเกี่ยวกับการใช้มัลแวร์ Conti ransomware โจมตีองค์กรต่างๆ ทั่วโลก Conti ransomware เป็นหนึ่งในมัลแวร์ที่สร้างความเสียหายมากที่สุดในประวัติศาสตร์ โดยใช้เทคนิค “double extortion” คือการเข้ารหัสข้อมูลของเหยื่อและขู่เปิดเผยข้อมูลหากไม่จ่ายค่าไถ่ ซึ่ง FBI ประเมินว่ามีมูลค่าความเสียหายรวมกว่า $150 ล้าน และมีเหยื่อมากกว่า 1,000 ราย ในกว่า 47 รัฐของสหรัฐฯ และอีก 31 ประเทศทั่วโลก Lytvynenko ถูกกล่าวหาว่าเป็นผู้ร่วมวางแผนและควบคุมการโจมตีเหล่านี้ โดยมีบทบาทในการสร้างข้อความเรียกค่าไถ่และควบคุมข้อมูลที่ถูกขโมยจากเหยื่อหลายรายในระบบของ Conti 🧠 Conti คือใคร? Conti ransomware ถูกเชื่อมโยงกับกลุ่มแฮกเกอร์ที่มีฐานในรัสเซีย และมีความเกี่ยวข้องกับการโจมตีโครงสร้างพื้นฐานสำคัญ เช่น โรงพยาบาล หน่วยงานรัฐ และบริษัทเอกชน โดยเฉพาะในช่วงปี 2021 ที่มีการโจมตีมากที่สุด ในปี 2022 มีการรั่วไหลของซอร์สโค้ดของ Conti ซึ่งเผยให้เห็นโครงสร้างการทำงานภายในของกลุ่มนี้ รวมถึงการสื่อสารภายในที่แสดงถึงความเป็นองค์กรแบบมืออาชีพมากกว่าการทำงานแบบสมัครเล่น ✅ การส่งตัวผู้ต้องหาข้ามประเทศ ➡️ Lytvynenko ถูกจับในไอร์แลนด์และส่งตัวมายังสหรัฐฯ ➡️ ข้อกล่าวหาคือสมรู้ร่วมคิดในการฉ้อโกงผ่านคอมพิวเตอร์และระบบการเงิน ✅ ความเสียหายจาก Conti ransomware ➡️ สร้างความเสียหายกว่า $150 ล้าน ➡️ มีเหยื่อมากกว่า 1,000 รายใน 47 รัฐของสหรัฐฯ และอีก 31 ประเทศ ➡️ ใช้เทคนิค double extortion คือเข้ารหัสและขู่เปิดเผยข้อมูล ✅ บทบาทของ Lytvynenko ➡️ ควบคุมข้อมูลที่ถูกขโมยจากเหยื่อ ➡️ มีส่วนในการสร้างข้อความเรียกค่าไถ่ ➡️ ถูกตั้งข้อหาสมรู้ร่วมคิดในการฉ้อโกงคอมพิวเตอร์ (โทษสูงสุด 5 ปี) และฉ้อโกงระบบการเงิน (โทษสูงสุด 20 ปี) https://securityonline.info/conti-ransomware-operator-oleksii-lytvynenko-extradited-from-ireland-to-face-federal-hacking-charges/

SECURITYONLINE.INFO

Conti Ransomware Operator Oleksii Lytvynenko Extradited from Ireland to Face Federal Hacking Charges
Ukrainian national Oleksii Lytvynenko was extradited from Ireland for his alleged role in the Conti ransomware operation. The DoJ charges him with wire/computer fraud for extorting over $500,000.

0 Comments 0 Shares 89 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-11-02 11:58:22 -

“SMILODON” แฝงร้ายในรูปภาพ: มัลแวร์สุดแนบเนียนโจมตีร้านค้า WooCommerce

ลองนึกภาพว่าคุณกำลังดูแลร้านค้าออนไลน์บน WordPress ที่ใช้ WooCommerce อยู่ดีๆ แล้วมีปลั๊กอินใหม่ที่ดูเหมือนจะช่วยเรื่อง SEO หรือระบบล็อกอิน แต่จริงๆ แล้วมันคือมัลแวร์ที่ซ่อนตัวอยู่ในไฟล์ภาพ PNG ปลอม! เรื่องนี้ไม่ใช่แค่จินตนาการ เพราะทีม Wordfence ได้เปิดโปงแคมเปญมัลแวร์ขั้นสูงที่ใช้ชื่อว่า “SMILODON” ซึ่งเป็นผลงานของกลุ่ม Magecart Group 12 ที่ขึ้นชื่อเรื่องการขโมยข้อมูลบัตรเครดิตจากเว็บไซต์อีคอมเมิร์ซ

มัลแวร์นี้แฝงตัวมาในรูปแบบปลั๊กอินปลอมที่มีชื่อคล้ายของจริง เช่น “jwt-log-pro” หรือ “share-seo-assistant” โดยภายในประกอบด้วยไฟล์ PHP และ PNG ปลอมที่ถูกเข้ารหัสและอำพรางอย่างแนบเนียน มันสามารถหลบซ่อนจากรายการปลั๊กอินใน WordPress ได้อย่างเงียบเชียบ และยังสามารถติดตามผู้ใช้ระดับแอดมินผ่านคุกกี้พิเศษเพื่อหลบเลี่ยงการตรวจจับ

ที่น่ากลัวคือ มัลแวร์นี้สามารถดักจับข้อมูลล็อกอินและข้อมูลบัตรเครดิตของลูกค้าได้ โดยใช้ JavaScript ที่ถูกฝังไว้ในหน้าชำระเงินของ WooCommerce ซึ่งจะทำงานหลังจากโหลดหน้าไปแล้ว 3 วินาที เพื่อไม่ให้รบกวนระบบ AJAX ของเว็บไซต์ และยังมีระบบตรวจสอบปลอมเพื่อหลอกให้ผู้ใช้รู้สึกว่าการชำระเงินปลอดภัย

ข้อมูลที่ถูกขโมยจะถูกส่งไปยังเซิร์ฟเวอร์ควบคุมของแฮกเกอร์ และในบางกรณีจะถูกส่งผ่านอีเมลไปยังบัญชีที่เชื่อมโยงกับผู้ให้บริการอีเมลในรัสเซีย

นอกจากนั้น ยังมีการใช้เทคนิค steganography คือการซ่อนโค้ดไว้ในไฟล์ภาพ ซึ่งเป็นวิธีที่นิยมในหมู่แฮกเกอร์ยุคใหม่ เพราะสามารถหลบเลี่ยงระบบตรวจจับมัลแวร์ได้อย่างมีประสิทธิภาพ

การโจมตีผ่านปลั๊กอินปลอมใน WordPress
ปลั๊กอินปลอมมีชื่อคล้ายของจริง เช่น “jwt-log-pro”
ประกอบด้วยไฟล์ PHP และ PNG ปลอมที่ถูกเข้ารหัส
ซ่อนตัวจากรายการปลั๊กอินใน WordPress ได้อย่างแนบเนียน

การดักจับข้อมูลผู้ใช้และข้อมูลบัตรเครดิต
ใช้คุกกี้พิเศษติดตามผู้ใช้ระดับแอดมิน
ดักจับข้อมูลล็อกอินผ่านกระบวนการสองขั้น
ฝัง JavaScript ในหน้าชำระเงินของ WooCommerce
ส่งข้อมูลไปยังเซิร์ฟเวอร์ควบคุมของแฮกเกอร์

เทคนิคการซ่อนโค้ดในไฟล์ภาพ (Steganography)
ใช้ไฟล์ PNG ปลอมที่มีโค้ดเข้ารหัสแบบ base64
มีระบบ payload หลายชั้นเพื่อความต่อเนื่องในการโจมตี

การเชื่อมโยงกับกลุ่ม Magecart Group 12
พบโครงสร้างโค้ดและเซิร์ฟเวอร์ที่เชื่อมโยงกับกลุ่มนี้
เป็นกลุ่มที่มีประวัติการโจมตีเว็บไซต์อีคอมเมิร์ซอย่างต่อเนื่อง

https://securityonline.info/magecart-smilodon-skimmer-infiltrates-woocommerce-via-rogue-plugin-hiding-payload-in-fake-png-image/

🕵️‍♂️ “SMILODON” แฝงร้ายในรูปภาพ: มัลแวร์สุดแนบเนียนโจมตีร้านค้า WooCommerce ลองนึกภาพว่าคุณกำลังดูแลร้านค้าออนไลน์บน WordPress ที่ใช้ WooCommerce อยู่ดีๆ แล้วมีปลั๊กอินใหม่ที่ดูเหมือนจะช่วยเรื่อง SEO หรือระบบล็อกอิน แต่จริงๆ แล้วมันคือมัลแวร์ที่ซ่อนตัวอยู่ในไฟล์ภาพ PNG ปลอม! เรื่องนี้ไม่ใช่แค่จินตนาการ เพราะทีม Wordfence ได้เปิดโปงแคมเปญมัลแวร์ขั้นสูงที่ใช้ชื่อว่า “SMILODON” ซึ่งเป็นผลงานของกลุ่ม Magecart Group 12 ที่ขึ้นชื่อเรื่องการขโมยข้อมูลบัตรเครดิตจากเว็บไซต์อีคอมเมิร์ซ มัลแวร์นี้แฝงตัวมาในรูปแบบปลั๊กอินปลอมที่มีชื่อคล้ายของจริง เช่น “jwt-log-pro” หรือ “share-seo-assistant” โดยภายในประกอบด้วยไฟล์ PHP และ PNG ปลอมที่ถูกเข้ารหัสและอำพรางอย่างแนบเนียน มันสามารถหลบซ่อนจากรายการปลั๊กอินใน WordPress ได้อย่างเงียบเชียบ และยังสามารถติดตามผู้ใช้ระดับแอดมินผ่านคุกกี้พิเศษเพื่อหลบเลี่ยงการตรวจจับ ที่น่ากลัวคือ มัลแวร์นี้สามารถดักจับข้อมูลล็อกอินและข้อมูลบัตรเครดิตของลูกค้าได้ โดยใช้ JavaScript ที่ถูกฝังไว้ในหน้าชำระเงินของ WooCommerce ซึ่งจะทำงานหลังจากโหลดหน้าไปแล้ว 3 วินาที เพื่อไม่ให้รบกวนระบบ AJAX ของเว็บไซต์ และยังมีระบบตรวจสอบปลอมเพื่อหลอกให้ผู้ใช้รู้สึกว่าการชำระเงินปลอดภัย ข้อมูลที่ถูกขโมยจะถูกส่งไปยังเซิร์ฟเวอร์ควบคุมของแฮกเกอร์ และในบางกรณีจะถูกส่งผ่านอีเมลไปยังบัญชีที่เชื่อมโยงกับผู้ให้บริการอีเมลในรัสเซีย นอกจากนั้น ยังมีการใช้เทคนิค steganography คือการซ่อนโค้ดไว้ในไฟล์ภาพ ซึ่งเป็นวิธีที่นิยมในหมู่แฮกเกอร์ยุคใหม่ เพราะสามารถหลบเลี่ยงระบบตรวจจับมัลแวร์ได้อย่างมีประสิทธิภาพ ✅ การโจมตีผ่านปลั๊กอินปลอมใน WordPress ➡️ ปลั๊กอินปลอมมีชื่อคล้ายของจริง เช่น “jwt-log-pro” ➡️ ประกอบด้วยไฟล์ PHP และ PNG ปลอมที่ถูกเข้ารหัส ➡️ ซ่อนตัวจากรายการปลั๊กอินใน WordPress ได้อย่างแนบเนียน ✅ การดักจับข้อมูลผู้ใช้และข้อมูลบัตรเครดิต ➡️ ใช้คุกกี้พิเศษติดตามผู้ใช้ระดับแอดมิน ➡️ ดักจับข้อมูลล็อกอินผ่านกระบวนการสองขั้น ➡️ ฝัง JavaScript ในหน้าชำระเงินของ WooCommerce ➡️ ส่งข้อมูลไปยังเซิร์ฟเวอร์ควบคุมของแฮกเกอร์ ✅ เทคนิคการซ่อนโค้ดในไฟล์ภาพ (Steganography) ➡️ ใช้ไฟล์ PNG ปลอมที่มีโค้ดเข้ารหัสแบบ base64 ➡️ มีระบบ payload หลายชั้นเพื่อความต่อเนื่องในการโจมตี ✅ การเชื่อมโยงกับกลุ่ม Magecart Group 12 ➡️ พบโครงสร้างโค้ดและเซิร์ฟเวอร์ที่เชื่อมโยงกับกลุ่มนี้ ➡️ เป็นกลุ่มที่มีประวัติการโจมตีเว็บไซต์อีคอมเมิร์ซอย่างต่อเนื่อง https://securityonline.info/magecart-smilodon-skimmer-infiltrates-woocommerce-via-rogue-plugin-hiding-payload-in-fake-png-image/

SECURITYONLINE.INFO

Magecart SMILODON Skimmer Infiltrates WooCommerce Via Rogue Plugin Hiding Payload in Fake PNG Image
Wordfence exposed a Magecart campaign using a rogue WooCommerce plugin to hide skimmer code in a fake PNG image. The malware uses an AJAX backdoor to maintain access and steal customer cards.

0 Comments 0 Shares 72 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-11-01 08:42:46 -

รัสเซียจับผู้พัฒนา Meduza Stealer หลังแฮกระบบรัฐบาล — จุดเปลี่ยนจาก “ปล่อยผ่าน” สู่ “จัดการจริง”

เจ้าหน้าที่รัสเซียบุกจับกลุ่มแฮกเกอร์ผู้พัฒนา Meduza Stealer ซึ่งเป็นมัลแวร์แบบ MaaS (Malware-as-a-Service) ที่ใช้ขโมยข้อมูลจากเบราว์เซอร์, กระเป๋าคริปโต, และแอปแชท โดยการจับกุมครั้งนี้เกิดขึ้นหลังกลุ่มแฮกเกอร์ละเมิด “กฎเงียบ” ด้วยการโจมตีหน่วยงานรัฐในประเทศ

Meduza Stealer เป็นมัลแวร์ที่เริ่มขายตั้งแต่กลางปี 2023 โดยมีฟีเจอร์ขั้นสูง เช่น:
ขโมยรหัสผ่านจากเบราว์เซอร์กว่า 100 ตัวและโปรแกรมจัดการรหัสผ่าน 27 ตัว
ดึงข้อมูลจากกระเป๋าคริปโตมากกว่า 100 แบบ
เจาะข้อมูลจาก Telegram และ Steam
ใช้การเข้ารหัส ChaCha20 และระบบหลบ VM เพื่อหลบการวิเคราะห์

ราคาขายอยู่ที่ $199/เดือน หรือ $1,199 แบบตลอดชีพ และถูกขายผ่าน Telegram และฟอรั่มใต้ดิน

แต่จุดเปลี่ยนคือการที่กลุ่มนี้ตัดสินใจโจมตีหน่วยงานรัฐบาลในภูมิภาค Astrakhan ซึ่งขัดกับ “กฎเงียบ” ของแฮกเกอร์รัสเซียที่มักตั้ง geo-filter เพื่อหลีกเลี่ยงการโจมตีในประเทศตนเอง, คาซัคสถาน และเบลารุส เพื่อไม่ให้ถูกจับ

ผลคือเจ้าหน้าที่รัสเซียบุกจับผู้ต้องสงสัย 3 คน พร้อมยึดคอมพิวเตอร์, โทรศัพท์ และบัตรธนาคาร โดยหนึ่งในผู้ต้องสงสัยถูกจับขณะใส่ชุดนอน Hello Kitty

นอกจากนี้ยังพบว่ากลุ่มนี้พัฒนา “มัลแวร์ตัวที่สอง” ที่สามารถปิดระบบป้องกันและสร้าง botnet ได้ หากถูกตัดสินว่าผิดจริง อาจต้องโทษจำคุกสูงสุด 5 ปี

รายละเอียดของ Meduza Stealer
เป็นมัลแวร์แบบ MaaS ที่ขายผ่าน Telegram
ขโมยข้อมูลจากเบราว์เซอร์, กระเป๋าคริปโต, Telegram และ Steam
ใช้การเข้ารหัส ChaCha20 และหลบ VM
ราคาขาย $199/เดือน หรือ $1,199 แบบตลอดชีพ

เหตุการณ์การจับกุม
เกิดขึ้นหลังกลุ่มแฮกเกอร์โจมตีหน่วยงานรัฐใน Astrakhan
ขัดกับกฎเงียบที่ห้ามโจมตีภายในประเทศ
เจ้าหน้าที่จับผู้ต้องสงสัย 3 คน พร้อมยึดอุปกรณ์
พบมัลแวร์ตัวที่สองที่ใช้สร้าง botnet

สัญญาณจากรัฐบาลรัสเซีย
เปลี่ยนจาก “ปล่อยผ่าน” เป็น “จัดการจริง”
ใช้การจับกุมเพื่อควบคุมแฮกเกอร์ในประเทศ
สอดคล้องกับรายงานจาก Recorded Future ว่ารัสเซียเริ่มจัดการแฮกเกอร์ที่ “ดังเกินไป” หรือ “ไม่สะดวกทางการเมือง”

https://hackread.com/russia-arrests-meduza-stealer-developers/

🇷🇺💻 รัสเซียจับผู้พัฒนา Meduza Stealer หลังแฮกระบบรัฐบาล — จุดเปลี่ยนจาก “ปล่อยผ่าน” สู่ “จัดการจริง” เจ้าหน้าที่รัสเซียบุกจับกลุ่มแฮกเกอร์ผู้พัฒนา Meduza Stealer ซึ่งเป็นมัลแวร์แบบ MaaS (Malware-as-a-Service) ที่ใช้ขโมยข้อมูลจากเบราว์เซอร์, กระเป๋าคริปโต, และแอปแชท โดยการจับกุมครั้งนี้เกิดขึ้นหลังกลุ่มแฮกเกอร์ละเมิด “กฎเงียบ” ด้วยการโจมตีหน่วยงานรัฐในประเทศ Meduza Stealer เป็นมัลแวร์ที่เริ่มขายตั้งแต่กลางปี 2023 โดยมีฟีเจอร์ขั้นสูง เช่น: 🎗️ ขโมยรหัสผ่านจากเบราว์เซอร์กว่า 100 ตัวและโปรแกรมจัดการรหัสผ่าน 27 ตัว 🎗️ ดึงข้อมูลจากกระเป๋าคริปโตมากกว่า 100 แบบ 🎗️ เจาะข้อมูลจาก Telegram และ Steam 🎗️ ใช้การเข้ารหัส ChaCha20 และระบบหลบ VM เพื่อหลบการวิเคราะห์ ราคาขายอยู่ที่ $199/เดือน หรือ $1,199 แบบตลอดชีพ และถูกขายผ่าน Telegram และฟอรั่มใต้ดิน แต่จุดเปลี่ยนคือการที่กลุ่มนี้ตัดสินใจโจมตีหน่วยงานรัฐบาลในภูมิภาค Astrakhan ซึ่งขัดกับ “กฎเงียบ” ของแฮกเกอร์รัสเซียที่มักตั้ง geo-filter เพื่อหลีกเลี่ยงการโจมตีในประเทศตนเอง, คาซัคสถาน และเบลารุส เพื่อไม่ให้ถูกจับ ผลคือเจ้าหน้าที่รัสเซียบุกจับผู้ต้องสงสัย 3 คน พร้อมยึดคอมพิวเตอร์, โทรศัพท์ และบัตรธนาคาร โดยหนึ่งในผู้ต้องสงสัยถูกจับขณะใส่ชุดนอน Hello Kitty นอกจากนี้ยังพบว่ากลุ่มนี้พัฒนา “มัลแวร์ตัวที่สอง” ที่สามารถปิดระบบป้องกันและสร้าง botnet ได้ หากถูกตัดสินว่าผิดจริง อาจต้องโทษจำคุกสูงสุด 5 ปี ✅ รายละเอียดของ Meduza Stealer ➡️ เป็นมัลแวร์แบบ MaaS ที่ขายผ่าน Telegram ➡️ ขโมยข้อมูลจากเบราว์เซอร์, กระเป๋าคริปโต, Telegram และ Steam ➡️ ใช้การเข้ารหัส ChaCha20 และหลบ VM ➡️ ราคาขาย $199/เดือน หรือ $1,199 แบบตลอดชีพ ✅ เหตุการณ์การจับกุม ➡️ เกิดขึ้นหลังกลุ่มแฮกเกอร์โจมตีหน่วยงานรัฐใน Astrakhan ➡️ ขัดกับกฎเงียบที่ห้ามโจมตีภายในประเทศ ➡️ เจ้าหน้าที่จับผู้ต้องสงสัย 3 คน พร้อมยึดอุปกรณ์ ➡️ พบมัลแวร์ตัวที่สองที่ใช้สร้าง botnet ✅ สัญญาณจากรัฐบาลรัสเซีย ➡️ เปลี่ยนจาก “ปล่อยผ่าน” เป็น “จัดการจริง” ➡️ ใช้การจับกุมเพื่อควบคุมแฮกเกอร์ในประเทศ ➡️ สอดคล้องกับรายงานจาก Recorded Future ว่ารัสเซียเริ่มจัดการแฮกเกอร์ที่ “ดังเกินไป” หรือ “ไม่สะดวกทางการเมือง” https://hackread.com/russia-arrests-meduza-stealer-developers/

HACKREAD.COM

Russia Arrests Meduza Stealer Developers After Government Hack
Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread

0 Comments 0 Shares 101 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-11-01 08:31:00 -

NPM ถูกถล่มด้วยแพ็กเกจอันตรายกว่า 126 รายการ ดาวน์โหลดไปแล้วกว่า 86,000 ครั้ง!

บริษัทความปลอดภัย Koi เปิดเผยแคมเปญโจมตีชื่อ “PhantomRaven” ที่ใช้ช่องโหว่ในระบบ Remote Dynamic Dependencies (RDD) ของ NPM เพื่อแฝงมัลแวร์ในแพ็กเกจ JavaScript โดยไม่สามารถตรวจจับได้ด้วยเครื่องมือวิเคราะห์ทั่วไป

NPM เป็นระบบจัดการแพ็กเกจสำหรับ JavaScript ที่นักพัฒนาทั่วโลกใช้กันอย่างแพร่หลาย โดยปกติแล้ว dependency จะถูกดึงจากแหล่งที่เชื่อถือได้ของ NPM แต่ฟีเจอร์ RDD เปิดให้แพ็กเกจสามารถดึง dependency จากเว็บไซต์ภายนอกได้ แม้จะเป็น HTTP ที่ไม่เข้ารหัส

แฮกเกอร์ใช้ช่องทางนี้อัปโหลดแพ็กเกจ 126 รายการที่มีโค้ดแอบโหลดมัลแวร์จากเซิร์ฟเวอร์ภายนอก โดยแพ็กเกจเหล่านี้แสดงว่า “ไม่มี dependency” ทำให้เครื่องมือวิเคราะห์ไม่สามารถตรวจจับได้

มัลแวร์ที่ถูกโหลดจะสแกนเครื่องของเหยื่อเพื่อขโมยข้อมูล เช่น:
ตัวแปร environment ที่ใช้ตั้งค่าระบบ
Credential ของ GitHub, Jenkins และ NPM
ข้อมูลจากระบบ CI/CD ที่ใช้ deploy โค้ด
ส่งข้อมูลออกผ่าน HTTP, JSON และ WebSocket แบบซ้ำซ้อน

ที่น่าตกใจคือบาง dependency ใช้ชื่อที่ “AI chatbot มัก hallucinate” หรือแนะนำผิด ๆ ทำให้แฮกเกอร์สามารถหลอกนักพัฒนาให้ติดตั้งแพ็กเกจปลอมได้ง่ายขึ้น

รายละเอียดแคมเปญ PhantomRaven
ใช้ Remote Dynamic Dependencies (RDD) เพื่อโหลดมัลแวร์จากเว็บภายนอก
อัปโหลดแพ็กเกจ 126 รายการลง NPM
ดาวน์โหลดไปแล้วกว่า 86,000 ครั้ง
แสดงว่าไม่มี dependency เพื่อหลบการตรวจจับ

วิธีการโจมตี
โหลดมัลแวร์ “สด” ทุกครั้งที่ติดตั้งแพ็กเกจ
ตรวจสอบ IP ของผู้ติดตั้งเพื่อเลือก payload ที่เหมาะสม
ส่งโค้ดสะอาดให้ security researcher แต่ส่งโค้ดอันตรายให้บริษัท

ข้อมูลที่ถูกขโมย
Environment variables และ config ภายใน
Credential ของแพลตฟอร์มพัฒนา
ข้อมูลจากระบบ CI/CD
ส่งออกผ่านหลายช่องทางเพื่อความแน่นอน

จุดอ่อนของระบบ NPM
RDD ไม่สามารถตรวจสอบด้วย static analysis
ไม่มีการ cache หรือ versioning ทำให้โหลดโค้ดใหม่ทุกครั้ง
แพ็กเกจปลอมใช้ชื่อที่ AI มักแนะนำผิด

ความเสี่ยงจากการใช้แพ็กเกจโดยไม่ตรวจสอบ
อาจติดตั้งมัลแวร์โดยไม่รู้ตัว
ข้อมูล credential และระบบ deploy อาจถูกขโมย
การใช้ชื่อแพ็กเกจจาก AI chatbot อาจนำไปสู่การติดตั้งแพ็กเกจปลอม

วิธีป้องกันเบื้องต้น
ตรวจสอบแพ็กเกจก่อนติดตั้ง โดยดู source และ dependency
หลีกเลี่ยงการใช้แพ็กเกจที่โหลด dependency จากเว็บภายนอก
ใช้ระบบ sandbox หรือ container เมื่อติดตั้งแพ็กเกจใหม่
ติดตามรายชื่อแพ็กเกจอันตรายจากรายงานของ Koi และชุมชน

นี่คืออีกหนึ่งตัวอย่างของ “supply chain attack” ที่แฝงตัวในเครื่องมือที่นักพัฒนาใช้ทุกวัน และเตือนว่าแม้ระบบจะยืดหยุ่นแค่ไหน ก็ต้องมีการตรวจสอบและป้องกันอย่างรัดกุมเสมอ.

https://arstechnica.com/security/2025/10/npm-flooded-with-malicious-packages-downloaded-more-than-86000-times/

📦💀 NPM ถูกถล่มด้วยแพ็กเกจอันตรายกว่า 126 รายการ ดาวน์โหลดไปแล้วกว่า 86,000 ครั้ง! บริษัทความปลอดภัย Koi เปิดเผยแคมเปญโจมตีชื่อ “PhantomRaven” ที่ใช้ช่องโหว่ในระบบ Remote Dynamic Dependencies (RDD) ของ NPM เพื่อแฝงมัลแวร์ในแพ็กเกจ JavaScript โดยไม่สามารถตรวจจับได้ด้วยเครื่องมือวิเคราะห์ทั่วไป NPM เป็นระบบจัดการแพ็กเกจสำหรับ JavaScript ที่นักพัฒนาทั่วโลกใช้กันอย่างแพร่หลาย โดยปกติแล้ว dependency จะถูกดึงจากแหล่งที่เชื่อถือได้ของ NPM แต่ฟีเจอร์ RDD เปิดให้แพ็กเกจสามารถดึง dependency จากเว็บไซต์ภายนอกได้ แม้จะเป็น HTTP ที่ไม่เข้ารหัส แฮกเกอร์ใช้ช่องทางนี้อัปโหลดแพ็กเกจ 126 รายการที่มีโค้ดแอบโหลดมัลแวร์จากเซิร์ฟเวอร์ภายนอก โดยแพ็กเกจเหล่านี้แสดงว่า “ไม่มี dependency” ทำให้เครื่องมือวิเคราะห์ไม่สามารถตรวจจับได้ มัลแวร์ที่ถูกโหลดจะสแกนเครื่องของเหยื่อเพื่อขโมยข้อมูล เช่น: 🪲 ตัวแปร environment ที่ใช้ตั้งค่าระบบ 🪲 Credential ของ GitHub, Jenkins และ NPM 🪲 ข้อมูลจากระบบ CI/CD ที่ใช้ deploy โค้ด 🪲 ส่งข้อมูลออกผ่าน HTTP, JSON และ WebSocket แบบซ้ำซ้อน ที่น่าตกใจคือบาง dependency ใช้ชื่อที่ “AI chatbot มัก hallucinate” หรือแนะนำผิด ๆ ทำให้แฮกเกอร์สามารถหลอกนักพัฒนาให้ติดตั้งแพ็กเกจปลอมได้ง่ายขึ้น ✅ รายละเอียดแคมเปญ PhantomRaven ➡️ ใช้ Remote Dynamic Dependencies (RDD) เพื่อโหลดมัลแวร์จากเว็บภายนอก ➡️ อัปโหลดแพ็กเกจ 126 รายการลง NPM ➡️ ดาวน์โหลดไปแล้วกว่า 86,000 ครั้ง ➡️ แสดงว่าไม่มี dependency เพื่อหลบการตรวจจับ ✅ วิธีการโจมตี ➡️ โหลดมัลแวร์ “สด” ทุกครั้งที่ติดตั้งแพ็กเกจ ➡️ ตรวจสอบ IP ของผู้ติดตั้งเพื่อเลือก payload ที่เหมาะสม ➡️ ส่งโค้ดสะอาดให้ security researcher แต่ส่งโค้ดอันตรายให้บริษัท ✅ ข้อมูลที่ถูกขโมย ➡️ Environment variables และ config ภายใน ➡️ Credential ของแพลตฟอร์มพัฒนา ➡️ ข้อมูลจากระบบ CI/CD ➡️ ส่งออกผ่านหลายช่องทางเพื่อความแน่นอน ✅ จุดอ่อนของระบบ NPM ➡️ RDD ไม่สามารถตรวจสอบด้วย static analysis ➡️ ไม่มีการ cache หรือ versioning ทำให้โหลดโค้ดใหม่ทุกครั้ง ➡️ แพ็กเกจปลอมใช้ชื่อที่ AI มักแนะนำผิด ‼️ ความเสี่ยงจากการใช้แพ็กเกจโดยไม่ตรวจสอบ ⛔ อาจติดตั้งมัลแวร์โดยไม่รู้ตัว ⛔ ข้อมูล credential และระบบ deploy อาจถูกขโมย ⛔ การใช้ชื่อแพ็กเกจจาก AI chatbot อาจนำไปสู่การติดตั้งแพ็กเกจปลอม ‼️ วิธีป้องกันเบื้องต้น ⛔ ตรวจสอบแพ็กเกจก่อนติดตั้ง โดยดู source และ dependency ⛔ หลีกเลี่ยงการใช้แพ็กเกจที่โหลด dependency จากเว็บภายนอก ⛔ ใช้ระบบ sandbox หรือ container เมื่อติดตั้งแพ็กเกจใหม่ ⛔ ติดตามรายชื่อแพ็กเกจอันตรายจากรายงานของ Koi และชุมชน นี่คืออีกหนึ่งตัวอย่างของ “supply chain attack” ที่แฝงตัวในเครื่องมือที่นักพัฒนาใช้ทุกวัน และเตือนว่าแม้ระบบจะยืดหยุ่นแค่ไหน ก็ต้องมีการตรวจสอบและป้องกันอย่างรัดกุมเสมอ. https://arstechnica.com/security/2025/10/npm-flooded-with-malicious-packages-downloaded-more-than-86000-times/

ARSTECHNICA.COM

NPM flooded with malicious packages downloaded more than 86,000 times
Packages downloaded from NPM can fetch dependencies from untrusted sites.

0 Comments 0 Shares 124 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-11-01 08:29:23 -

สหรัฐฯ ปฏิเสธลงนามในสนธิสัญญาไซเบอร์ของ UN แม้กว่า 70 ประเทศร่วมมือกันสร้างกรอบต่อต้านอาชญากรรมดิจิทัล

ในพิธีลงนามสนธิสัญญาไซเบอร์ของสหประชาชาติที่กรุงฮานอยเมื่อปลายตุลาคม 2025 ประเทศต่าง ๆ กว่า 70 แห่ง รวมถึงจีน รัสเซีย สหภาพยุโรป และบราซิล ได้ร่วมลงนามในข้อตกลงเพื่อสร้างกลไกสากลในการรับมือกับอาชญากรรมไซเบอร์ แต่สหรัฐอเมริกากลับเลือก “ไม่ลงนาม” โดยให้เหตุผลว่ายังอยู่ระหว่างการพิจารณาเนื้อหาของสนธิสัญญา

สนธิสัญญานี้มีเป้าหมายเพื่อสร้างมาตรฐานสากลในการจัดการหลักฐานอิเล็กทรอนิกส์, การแบ่งปันข้อมูลข้ามประเทศ, และการนิยามอาชญากรรมที่เกิดขึ้นผ่านอินเทอร์เน็ต เช่น การเผยแพร่ภาพลับโดยไม่ได้รับความยินยอม, การฟอกเงินผ่านคริปโต, และการโจมตีด้วยแรนซัมแวร์

เลขาธิการ UN António Guterres กล่าวว่าสนธิสัญญานี้จะช่วยประเทศกำลังพัฒนาให้มีทรัพยากรและความสามารถในการรับมือกับภัยไซเบอร์ ซึ่งสร้างความเสียหายทั่วโลกกว่า 10.5 ล้านล้านดอลลาร์ต่อปี

แต่ในอีกด้านหนึ่ง กลุ่มสิทธิมนุษยชนและบริษัทเทคโนโลยีออกมาเตือนว่าสนธิสัญญานี้อาจเปิดช่องให้รัฐบาลใช้อำนาจสอดแนมประชาชน, ละเมิดสิทธิความเป็นส่วนตัว, และใช้กฎหมายนี้ปราบปรามผู้เห็นต่าง โดยไม่มีการคุ้มครองข้อมูลที่ชัดเจน

แม้ Guterres จะย้ำว่าสนธิสัญญานี้ต้อง “เคารพสิทธิมนุษยชนทั้งออนไลน์และออฟไลน์” แต่การที่สหรัฐฯ ไม่ลงนามก็สะท้อนถึงความกังวลในระดับสูง และอาจส่งผลต่อการยอมรับของสนธิสัญญานี้ในระดับโลก

ประเทศที่ลงนามในสนธิสัญญาไซเบอร์ UN
รวมกว่า 70 ประเทศ เช่น จีน รัสเซีย EU บราซิล ไนจีเรีย
มีเป้าหมายเพื่อสร้างกลไกสากลในการจัดการอาชญากรรมไซเบอร์

จุดเด่นของสนธิสัญญา
สร้างมาตรฐานการจัดการหลักฐานอิเล็กทรอนิกส์
นิยามอาชญากรรมใหม่ เช่น การเผยแพร่ภาพลับโดยไม่ยินยอม
สร้างเครือข่าย 24/7 สำหรับความร่วมมือข้ามประเทศ
สนับสนุนประเทศกำลังพัฒนาในการฝึกอบรมและรับมือภัยไซเบอร์

ท่าทีของสหรัฐฯ
ไม่ลงนาม โดยระบุว่า “ยังอยู่ระหว่างการพิจารณา”
ส่งตัวแทนเข้าร่วมพิธี แต่ไม่ร่วมลงนาม

ความเห็นจาก UN
Guterres ย้ำว่าต้องเคารพสิทธิความเป็นส่วนตัวและศักดิ์ศรี
สนธิสัญญานี้ช่วยแก้ปัญหาการแบ่งปันหลักฐานข้ามประเทศ

ความเสี่ยงจากสนธิสัญญา
อาจเปิดช่องให้รัฐบาลใช้กฎหมายนี้สอดแนมประชาชน
ขาดการคุ้มครองข้อมูลส่วนบุคคลที่ชัดเจน
อาจถูกใช้ปราบปรามผู้เห็นต่างหรือผู้ประท้วง

ความเห็นจากนักสิทธิมนุษยชน
สนธิสัญญานี้อาจ “รับรองการกดขี่ไซเบอร์” ทั้งในประเทศและข้ามพรมแดน
การลงนามอาจเท่ากับการยอมรับการละเมิดเสรีภาพดิจิทัล

นี่คือจุดตัดสำคัญระหว่าง “ความมั่นคงดิจิทัล” กับ “สิทธิเสรีภาพออนไลน์” และการที่สหรัฐฯ ยังไม่ลงนาม อาจเป็นสัญญาณว่าการสร้างกฎไซเบอร์ระดับโลกยังต้องหาจุดสมดุลที่ทุกฝ่ายยอมรับได้.

https://therecord.media/us-declines-signing-cybercrime-treaty?

🇺🇳🛡️ สหรัฐฯ ปฏิเสธลงนามในสนธิสัญญาไซเบอร์ของ UN แม้กว่า 70 ประเทศร่วมมือกันสร้างกรอบต่อต้านอาชญากรรมดิจิทัล ในพิธีลงนามสนธิสัญญาไซเบอร์ของสหประชาชาติที่กรุงฮานอยเมื่อปลายตุลาคม 2025 ประเทศต่าง ๆ กว่า 70 แห่ง รวมถึงจีน รัสเซีย สหภาพยุโรป และบราซิล ได้ร่วมลงนามในข้อตกลงเพื่อสร้างกลไกสากลในการรับมือกับอาชญากรรมไซเบอร์ แต่สหรัฐอเมริกากลับเลือก “ไม่ลงนาม” โดยให้เหตุผลว่ายังอยู่ระหว่างการพิจารณาเนื้อหาของสนธิสัญญา สนธิสัญญานี้มีเป้าหมายเพื่อสร้างมาตรฐานสากลในการจัดการหลักฐานอิเล็กทรอนิกส์, การแบ่งปันข้อมูลข้ามประเทศ, และการนิยามอาชญากรรมที่เกิดขึ้นผ่านอินเทอร์เน็ต เช่น การเผยแพร่ภาพลับโดยไม่ได้รับความยินยอม, การฟอกเงินผ่านคริปโต, และการโจมตีด้วยแรนซัมแวร์ เลขาธิการ UN António Guterres กล่าวว่าสนธิสัญญานี้จะช่วยประเทศกำลังพัฒนาให้มีทรัพยากรและความสามารถในการรับมือกับภัยไซเบอร์ ซึ่งสร้างความเสียหายทั่วโลกกว่า 10.5 ล้านล้านดอลลาร์ต่อปี แต่ในอีกด้านหนึ่ง กลุ่มสิทธิมนุษยชนและบริษัทเทคโนโลยีออกมาเตือนว่าสนธิสัญญานี้อาจเปิดช่องให้รัฐบาลใช้อำนาจสอดแนมประชาชน, ละเมิดสิทธิความเป็นส่วนตัว, และใช้กฎหมายนี้ปราบปรามผู้เห็นต่าง โดยไม่มีการคุ้มครองข้อมูลที่ชัดเจน แม้ Guterres จะย้ำว่าสนธิสัญญานี้ต้อง “เคารพสิทธิมนุษยชนทั้งออนไลน์และออฟไลน์” แต่การที่สหรัฐฯ ไม่ลงนามก็สะท้อนถึงความกังวลในระดับสูง และอาจส่งผลต่อการยอมรับของสนธิสัญญานี้ในระดับโลก ✅ ประเทศที่ลงนามในสนธิสัญญาไซเบอร์ UN ➡️ รวมกว่า 70 ประเทศ เช่น จีน รัสเซีย EU บราซิล ไนจีเรีย ➡️ มีเป้าหมายเพื่อสร้างกลไกสากลในการจัดการอาชญากรรมไซเบอร์ ✅ จุดเด่นของสนธิสัญญา ➡️ สร้างมาตรฐานการจัดการหลักฐานอิเล็กทรอนิกส์ ➡️ นิยามอาชญากรรมใหม่ เช่น การเผยแพร่ภาพลับโดยไม่ยินยอม ➡️ สร้างเครือข่าย 24/7 สำหรับความร่วมมือข้ามประเทศ ➡️ สนับสนุนประเทศกำลังพัฒนาในการฝึกอบรมและรับมือภัยไซเบอร์ ✅ ท่าทีของสหรัฐฯ ➡️ ไม่ลงนาม โดยระบุว่า “ยังอยู่ระหว่างการพิจารณา” ➡️ ส่งตัวแทนเข้าร่วมพิธี แต่ไม่ร่วมลงนาม ✅ ความเห็นจาก UN ➡️ Guterres ย้ำว่าต้องเคารพสิทธิความเป็นส่วนตัวและศักดิ์ศรี ➡️ สนธิสัญญานี้ช่วยแก้ปัญหาการแบ่งปันหลักฐานข้ามประเทศ ‼️ ความเสี่ยงจากสนธิสัญญา ⛔ อาจเปิดช่องให้รัฐบาลใช้กฎหมายนี้สอดแนมประชาชน ⛔ ขาดการคุ้มครองข้อมูลส่วนบุคคลที่ชัดเจน ⛔ อาจถูกใช้ปราบปรามผู้เห็นต่างหรือผู้ประท้วง ‼️ ความเห็นจากนักสิทธิมนุษยชน ⛔ สนธิสัญญานี้อาจ “รับรองการกดขี่ไซเบอร์” ทั้งในประเทศและข้ามพรมแดน ⛔ การลงนามอาจเท่ากับการยอมรับการละเมิดเสรีภาพดิจิทัล นี่คือจุดตัดสำคัญระหว่าง “ความมั่นคงดิจิทัล” กับ “สิทธิเสรีภาพออนไลน์” และการที่สหรัฐฯ ยังไม่ลงนาม อาจเป็นสัญญาณว่าการสร้างกฎไซเบอร์ระดับโลกยังต้องหาจุดสมดุลที่ทุกฝ่ายยอมรับได้. https://therecord.media/us-declines-signing-cybercrime-treaty?

THERECORD.MEDIA

US declines to join more than 70 countries in signing UN cybercrime treaty
More than 70 countries signed the landmark UN Convention against Cybercrime in Hanoi this weekend, a significant step in the yearslong effort to create a global mechanism to counteract digital crime.

0 Comments 0 Shares 161 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-11-01 08:14:00 -

ช่องโหว่ CVE-2025-11833 ในปลั๊กอิน Post SMTP ทำให้เว็บไซต์ WordPress กว่า 400,000 แห่งเสี่ยงถูกยึดบัญชีผู้ดูแลระบบ!

ปลั๊กอิน Post SMTP เวอร์ชัน ≤ 3.6.0 มีช่องโหว่ Missing Authorization ที่เปิดทางให้ผู้ไม่ล็อกอินสามารถเข้าถึงอีเมลรีเซ็ตรหัสผ่านและยึดบัญชีแอดมินได้ทันที โดยไม่ต้องมีสิทธิ์ใด ๆ

ปลั๊กอิน Post SMTP ใช้กันอย่างแพร่หลายในเว็บไซต์ WordPress เพื่อจัดการการส่งอีเมลให้เชื่อถือได้ เช่น อีเมลแจ้งเตือนหรือรีเซ็ตรหัสผ่าน แต่ในเวอร์ชัน ≤ 3.6.0 มีฟังก์ชันที่เปิดให้เข้าถึง log อีเมลโดยไม่ตรวจสอบสิทธิ์ผู้ใช้

ช่องโหว่นี้ (CVE-2025-11833) มีคะแนนความรุนแรง CVSS 9.8 ซึ่งถือว่า “วิกฤต” เพราะ:
ผู้โจมตีไม่จำเป็นต้องล็อกอิน
สามารถเข้าถึงอีเมลรีเซ็ตรหัสผ่านของผู้ดูแลระบบ
คลิกลิงก์รีเซ็ตแล้วตั้งรหัสใหม่ได้ทันที
ส่งผลให้สามารถยึดเว็บไซต์ได้เต็มรูปแบบ

นักวิจัยจาก Wordfence รายงานว่ามีการโจมตีจริงแล้ว โดยบล็อกได้ 2 ครั้งใน 24 ชั่วโมงที่ผ่านมา และแนะนำให้ผู้ดูแลระบบอัปเดตปลั๊กอินเป็นเวอร์ชัน 3.6.1 โดยด่วน

รายละเอียดช่องโหว่ CVE-2025-11833
ปลั๊กอิน Post SMTP เวอร์ชัน ≤ 3.6.0 มีช่องโหว่ Missing Authorization
เปิดให้ผู้ไม่ล็อกอินเข้าถึง log อีเมล
สามารถเข้าถึงลิงก์รีเซ็ตรหัสผ่านของผู้ดูแลระบบ
คะแนน CVSS 9.8 (ระดับวิกฤต)

ผลกระทบต่อเว็บไซต์ WordPress
เสี่ยงถูกยึดบัญชีผู้ดูแลระบบ
ส่งผลให้เว็บไซต์ถูกควบคุมโดยผู้โจมตี
มีการโจมตีจริงแล้วในช่วง 24 ชั่วโมงที่ผ่านมา

วิธีป้องกันและแก้ไข
อัปเดตปลั๊กอิน Post SMTP เป็นเวอร์ชัน 3.6.1 ทันที
ตรวจสอบ log อีเมลย้อนหลังว่ามีการเข้าถึงผิดปกติหรือไม่
เปลี่ยนรหัสผ่านผู้ดูแลระบบและเปิดใช้งาน 2FA หากเป็นไปได้
ตรวจสอบสิทธิ์ของผู้ใช้ทั้งหมดในระบบ

https://securityonline.info/cve-2025-11833-cvss-9-8-critical-flaw-exposes-400000-wordpress-sites-to-unauthenticated-account-takeover/

🚨🔓 ช่องโหว่ CVE-2025-11833 ในปลั๊กอิน Post SMTP ทำให้เว็บไซต์ WordPress กว่า 400,000 แห่งเสี่ยงถูกยึดบัญชีผู้ดูแลระบบ! ปลั๊กอิน Post SMTP เวอร์ชัน ≤ 3.6.0 มีช่องโหว่ Missing Authorization ที่เปิดทางให้ผู้ไม่ล็อกอินสามารถเข้าถึงอีเมลรีเซ็ตรหัสผ่านและยึดบัญชีแอดมินได้ทันที โดยไม่ต้องมีสิทธิ์ใด ๆ ปลั๊กอิน Post SMTP ใช้กันอย่างแพร่หลายในเว็บไซต์ WordPress เพื่อจัดการการส่งอีเมลให้เชื่อถือได้ เช่น อีเมลแจ้งเตือนหรือรีเซ็ตรหัสผ่าน แต่ในเวอร์ชัน ≤ 3.6.0 มีฟังก์ชันที่เปิดให้เข้าถึง log อีเมลโดยไม่ตรวจสอบสิทธิ์ผู้ใช้ ช่องโหว่นี้ (CVE-2025-11833) มีคะแนนความรุนแรง CVSS 9.8 ซึ่งถือว่า “วิกฤต” เพราะ: 🪲 ผู้โจมตีไม่จำเป็นต้องล็อกอิน 🪲 สามารถเข้าถึงอีเมลรีเซ็ตรหัสผ่านของผู้ดูแลระบบ 🪲 คลิกลิงก์รีเซ็ตแล้วตั้งรหัสใหม่ได้ทันที 🪲 ส่งผลให้สามารถยึดเว็บไซต์ได้เต็มรูปแบบ นักวิจัยจาก Wordfence รายงานว่ามีการโจมตีจริงแล้ว โดยบล็อกได้ 2 ครั้งใน 24 ชั่วโมงที่ผ่านมา และแนะนำให้ผู้ดูแลระบบอัปเดตปลั๊กอินเป็นเวอร์ชัน 3.6.1 โดยด่วน ✅ รายละเอียดช่องโหว่ CVE-2025-11833 ➡️ ปลั๊กอิน Post SMTP เวอร์ชัน ≤ 3.6.0 มีช่องโหว่ Missing Authorization ➡️ เปิดให้ผู้ไม่ล็อกอินเข้าถึง log อีเมล ➡️ สามารถเข้าถึงลิงก์รีเซ็ตรหัสผ่านของผู้ดูแลระบบ ➡️ คะแนน CVSS 9.8 (ระดับวิกฤต) ✅ ผลกระทบต่อเว็บไซต์ WordPress ➡️ เสี่ยงถูกยึดบัญชีผู้ดูแลระบบ ➡️ ส่งผลให้เว็บไซต์ถูกควบคุมโดยผู้โจมตี ➡️ มีการโจมตีจริงแล้วในช่วง 24 ชั่วโมงที่ผ่านมา ✅ วิธีป้องกันและแก้ไข ➡️ อัปเดตปลั๊กอิน Post SMTP เป็นเวอร์ชัน 3.6.1 ทันที ➡️ ตรวจสอบ log อีเมลย้อนหลังว่ามีการเข้าถึงผิดปกติหรือไม่ ➡️ เปลี่ยนรหัสผ่านผู้ดูแลระบบและเปิดใช้งาน 2FA หากเป็นไปได้ ➡️ ตรวจสอบสิทธิ์ของผู้ใช้ทั้งหมดในระบบ https://securityonline.info/cve-2025-11833-cvss-9-8-critical-flaw-exposes-400000-wordpress-sites-to-unauthenticated-account-takeover/

SECURITYONLINE.INFO

CVE-2025-11833 (CVSS 9.8): Critical Flaw Exposes 400,000 WordPress Sites to Unauthenticated Account Takeover
Urgent patch for Post SMTP plugin. A CVSS 9.8 flaw lets unauthenticated attackers read email logs and steal password reset links to take over accounts.

0 Comments 0 Shares 72 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-10-31 05:06:41 -

“มาเลเซียผลักดันอาเซียนขยายความร่วมมือด้านความมั่นคงสู่ไซเบอร์สเปซ”

ที่ประชุมรัฐมนตรีกลาโหมอาเซียน ณ กรุงกัวลาลัมเปอร์ เมื่อวันที่ 31 ตุลาคม 2025 กลายเป็นเวทีสำคัญที่มาเลเซียใช้เรียกร้องให้ประเทศสมาชิกอาเซียนขยายความร่วมมือด้านความมั่นคงจากทะเลไปสู่โลกไซเบอร์

รัฐมนตรีกลาโหมมาเลเซีย นายโมฮัมหมัด คาเลด นอร์ดิน กล่าวเปิดประชุมว่า “ภัยคุกคามในยุคนี้ไม่จำกัดแค่พรมแดนหรือภูมิประเทศอีกต่อไป” พร้อมเตือนว่า การโจมตีทางไซเบอร์สามารถทำลายโครงสร้างพื้นฐาน ล้มรัฐบาล และสร้างความปั่นป่วนในสังคมได้ไม่แพ้ภัยทางทะเล

การประชุมครั้งนี้ยังมีการหารือร่วมกับประเทศคู่เจรจา เช่น สหรัฐฯ จีน ญี่ปุ่น อินเดีย ออสเตรเลีย เกาหลีใต้ และรัสเซีย โดยมีรัฐมนตรีกลาโหมสหรัฐฯ และจีนเข้าร่วมด้วย

นอกจากนี้ มาเลเซียยังเสนอให้จัดตั้งทีมสังเกตการณ์อาเซียนเพื่อช่วยเหลือไทยและกัมพูชาในการแก้ไขปัญหาชายแดน และย้ำถึงความมุ่งมั่นของอาเซียนในการผลักดันสันติภาพในเมียนมา ซึ่งยังเผชิญกับวิกฤติหลังรัฐประหารในปี 2021

ในมุมที่น่าสนใจเพิ่มเติม โลกไซเบอร์กลายเป็นสนามรบใหม่ที่ไม่มีเส้นแบ่งพรมแดน และการโจมตีไม่จำเป็นต้องใช้กำลังทหาร แต่ใช้ “ข้อมูล” และ “ช่องโหว่” เป็นอาวุธ การร่วมมือระดับภูมิภาคจึงเป็นสิ่งจำเป็นอย่างยิ่ง โดยเฉพาะในยุคที่เทคโนโลยี AI และ IoT ทำให้ระบบต่างๆ เชื่อมโยงกันมากขึ้น

มาเลเซียเสนอขยายความร่วมมือด้านความมั่นคงจากทะเลสู่ไซเบอร์
ภัยไซเบอร์สามารถทำลายโครงสร้างพื้นฐานและเสถียรภาพของประเทศ
การโจมตีทางไซเบอร์มีผลกระทบเทียบเท่าการรุกรานทางทหาร
มาเลเซียชี้ว่า “ภัยคุกคามวันนี้ไร้พรมแดน”

การประชุมมีประเทศคู่เจรจาเข้าร่วมหลายชาติ
สหรัฐฯ จีน ญี่ปุ่น อินเดีย ออสเตรเลีย เกาหลีใต้ และรัสเซีย
รัฐมนตรีกลาโหมสหรัฐฯ และจีนเข้าร่วมประชุมโดยตรง

มาเลเซียเสนอจัดตั้งทีมสังเกตการณ์อาเซียนช่วยไทย-กัมพูชา
เพื่อสนับสนุนการแก้ไขปัญหาชายแดนระหว่างสองประเทศ
ข้อตกลงหยุดยิงได้รับการรับรองโดยผู้นำสหรัฐฯ และมาเลเซีย

อาเซียนยังคงผลักดันสันติภาพในเมียนมา
เรียกร้องให้เมียนมากลับสู่แนวทางตามฉันทามติ 5 ข้อ
ผู้นำทหารเมียนมายังถูกกีดกันจากการประชุมอาเซียน

https://www.thestar.com.my/tech/tech-news/2025/10/31/malaysia-urges-asean-to-expand-defense-cooperation-in-cyberspace

🛡️ “มาเลเซียผลักดันอาเซียนขยายความร่วมมือด้านความมั่นคงสู่ไซเบอร์สเปซ” ที่ประชุมรัฐมนตรีกลาโหมอาเซียน ณ กรุงกัวลาลัมเปอร์ เมื่อวันที่ 31 ตุลาคม 2025 กลายเป็นเวทีสำคัญที่มาเลเซียใช้เรียกร้องให้ประเทศสมาชิกอาเซียนขยายความร่วมมือด้านความมั่นคงจากทะเลไปสู่โลกไซเบอร์ รัฐมนตรีกลาโหมมาเลเซีย นายโมฮัมหมัด คาเลด นอร์ดิน กล่าวเปิดประชุมว่า “ภัยคุกคามในยุคนี้ไม่จำกัดแค่พรมแดนหรือภูมิประเทศอีกต่อไป” พร้อมเตือนว่า การโจมตีทางไซเบอร์สามารถทำลายโครงสร้างพื้นฐาน ล้มรัฐบาล และสร้างความปั่นป่วนในสังคมได้ไม่แพ้ภัยทางทะเล การประชุมครั้งนี้ยังมีการหารือร่วมกับประเทศคู่เจรจา เช่น สหรัฐฯ จีน ญี่ปุ่น อินเดีย ออสเตรเลีย เกาหลีใต้ และรัสเซีย โดยมีรัฐมนตรีกลาโหมสหรัฐฯ และจีนเข้าร่วมด้วย นอกจากนี้ มาเลเซียยังเสนอให้จัดตั้งทีมสังเกตการณ์อาเซียนเพื่อช่วยเหลือไทยและกัมพูชาในการแก้ไขปัญหาชายแดน และย้ำถึงความมุ่งมั่นของอาเซียนในการผลักดันสันติภาพในเมียนมา ซึ่งยังเผชิญกับวิกฤติหลังรัฐประหารในปี 2021 ในมุมที่น่าสนใจเพิ่มเติม โลกไซเบอร์กลายเป็นสนามรบใหม่ที่ไม่มีเส้นแบ่งพรมแดน และการโจมตีไม่จำเป็นต้องใช้กำลังทหาร แต่ใช้ “ข้อมูล” และ “ช่องโหว่” เป็นอาวุธ การร่วมมือระดับภูมิภาคจึงเป็นสิ่งจำเป็นอย่างยิ่ง โดยเฉพาะในยุคที่เทคโนโลยี AI และ IoT ทำให้ระบบต่างๆ เชื่อมโยงกันมากขึ้น ✅ มาเลเซียเสนอขยายความร่วมมือด้านความมั่นคงจากทะเลสู่ไซเบอร์ ➡️ ภัยไซเบอร์สามารถทำลายโครงสร้างพื้นฐานและเสถียรภาพของประเทศ ➡️ การโจมตีทางไซเบอร์มีผลกระทบเทียบเท่าการรุกรานทางทหาร ➡️ มาเลเซียชี้ว่า “ภัยคุกคามวันนี้ไร้พรมแดน” ✅ การประชุมมีประเทศคู่เจรจาเข้าร่วมหลายชาติ ➡️ สหรัฐฯ จีน ญี่ปุ่น อินเดีย ออสเตรเลีย เกาหลีใต้ และรัสเซีย ➡️ รัฐมนตรีกลาโหมสหรัฐฯ และจีนเข้าร่วมประชุมโดยตรง ✅ มาเลเซียเสนอจัดตั้งทีมสังเกตการณ์อาเซียนช่วยไทย-กัมพูชา ➡️ เพื่อสนับสนุนการแก้ไขปัญหาชายแดนระหว่างสองประเทศ ➡️ ข้อตกลงหยุดยิงได้รับการรับรองโดยผู้นำสหรัฐฯ และมาเลเซีย ✅ อาเซียนยังคงผลักดันสันติภาพในเมียนมา ➡️ เรียกร้องให้เมียนมากลับสู่แนวทางตามฉันทามติ 5 ข้อ ➡️ ผู้นำทหารเมียนมายังถูกกีดกันจากการประชุมอาเซียน https://www.thestar.com.my/tech/tech-news/2025/10/31/malaysia-urges-asean-to-expand-defense-cooperation-in-cyberspace

WWW.THESTAR.COM.MY

Malaysia urges Asean to expand defense cooperation in cyberspace
Malaysia called on Oct 31 for fellow members of the Association of South-East Asian Nations to extend their security partnerships from the high seas to cyberspace at an annual meeting of the bloc's defense ministers.

0 Comments 0 Shares 159 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-10-31 05:00:30 -

Akira Ransomware อ้างขโมยข้อมูล 23GB จาก Apache OpenOffice — ยังไม่มีการยืนยันจากทาง Apache

กลุ่มแฮกเกอร์ Akira Ransomware ได้ออกมาอ้างว่าได้เจาะระบบของ Apache OpenOffice และขโมยข้อมูลภายในองค์กรกว่า 23GB ซึ่งรวมถึงข้อมูลพนักงาน เช่น ที่อยู่ เบอร์โทร เลขบัตรประชาชน หมายเลขบัตรเครดิต และเอกสารการเงินภายในองค์กร

Akira เป็นกลุ่ม ransomware-as-a-service (RaaS) ที่เริ่มปรากฏตัวในปี 2023 และมีชื่อเสียงจากการใช้กลยุทธ์ “double extortion” คือขโมยข้อมูลก่อน แล้วจึงเข้ารหัสระบบเพื่อเรียกค่าไถ่ โดยในกรณีนี้ พวกเขาโพสต์ข้อความบน dark web ว่าจะเผยแพร่เอกสารทั้งหมดในเร็ว ๆ นี้

อย่างไรก็ตาม ทาง Apache Software Foundation ยังไม่ออกมายืนยันว่ามีการเจาะระบบจริงหรือไม่ และไม่มีหลักฐานว่าการแจกจ่ายซอฟต์แวร์ของ OpenOffice ถูกกระทบ

Akira ยังมีพฤติกรรมที่น่าสนใจ เช่น:
ใช้ ransomware ที่ตรวจสอบ layout ของคีย์บอร์ดเพื่อหลีกเลี่ยงการโจมตีในประเทศที่ใช้ภาษารัสเซีย
เคยถูกพบว่ามีการแฮกกล้องเว็บแคมของเหยื่อเพื่อเพิ่มแรงกดดันในการเรียกค่าไถ่

ข้อมูลที่ถูกอ้างว่าถูกขโมย
ข้อมูลพนักงาน: ที่อยู่ เบอร์โทร วันเกิด เลขบัตรประชาชน
ข้อมูลการเงินและเอกสารภายในองค์กร
รายงานปัญหาการใช้งานซอฟต์แวร์

พฤติกรรมของ Akira Ransomware
ใช้กลยุทธ์ double extortion
มี ransomware สำหรับ Windows และ Linux/VMware ESXi
ตรวจสอบ layout คีย์บอร์ดเพื่อหลีกเลี่ยงประเทศรัสเซีย
เคยแฮกกล้องเว็บแคมของเหยื่อ

สถานะปัจจุบัน
Apache ยังไม่ยืนยันว่ามีการเจาะระบบ
ไม่มีผลกระทบต่อระบบแจกจ่ายซอฟต์แวร์ของ OpenOffice
ผู้ใช้ยังสามารถดาวน์โหลด OpenOffice ได้จากเว็บไซต์ทางการ

คำเตือนสำหรับผู้ใช้งาน
อย่าดาวน์โหลด OpenOffice จากลิงก์ที่แชร์ในโซเชียลหรือฟอรั่ม
ควรติดตามประกาศจาก Apache Software Foundation อย่างใกล้ชิด
หากใช้งานในองค์กร ควรตรวจสอบระบบภายในและอัปเดตมาตรการรักษาความปลอดภัย

https://hackread.com/akira-ransomware-stole-apache-openoffice-data/

🕵️ Akira Ransomware อ้างขโมยข้อมูล 23GB จาก Apache OpenOffice — ยังไม่มีการยืนยันจากทาง Apache กลุ่มแฮกเกอร์ Akira Ransomware ได้ออกมาอ้างว่าได้เจาะระบบของ Apache OpenOffice และขโมยข้อมูลภายในองค์กรกว่า 23GB ซึ่งรวมถึงข้อมูลพนักงาน เช่น ที่อยู่ เบอร์โทร เลขบัตรประชาชน หมายเลขบัตรเครดิต และเอกสารการเงินภายในองค์กร Akira เป็นกลุ่ม ransomware-as-a-service (RaaS) ที่เริ่มปรากฏตัวในปี 2023 และมีชื่อเสียงจากการใช้กลยุทธ์ “double extortion” คือขโมยข้อมูลก่อน แล้วจึงเข้ารหัสระบบเพื่อเรียกค่าไถ่ โดยในกรณีนี้ พวกเขาโพสต์ข้อความบน dark web ว่าจะเผยแพร่เอกสารทั้งหมดในเร็ว ๆ นี้ อย่างไรก็ตาม ทาง Apache Software Foundation ยังไม่ออกมายืนยันว่ามีการเจาะระบบจริงหรือไม่ และไม่มีหลักฐานว่าการแจกจ่ายซอฟต์แวร์ของ OpenOffice ถูกกระทบ 🔐 Akira ยังมีพฤติกรรมที่น่าสนใจ เช่น: 💠 ใช้ ransomware ที่ตรวจสอบ layout ของคีย์บอร์ดเพื่อหลีกเลี่ยงการโจมตีในประเทศที่ใช้ภาษารัสเซีย 💠 เคยถูกพบว่ามีการแฮกกล้องเว็บแคมของเหยื่อเพื่อเพิ่มแรงกดดันในการเรียกค่าไถ่ ✅ ข้อมูลที่ถูกอ้างว่าถูกขโมย ➡️ ข้อมูลพนักงาน: ที่อยู่ เบอร์โทร วันเกิด เลขบัตรประชาชน ➡️ ข้อมูลการเงินและเอกสารภายในองค์กร ➡️ รายงานปัญหาการใช้งานซอฟต์แวร์ ✅ พฤติกรรมของ Akira Ransomware ➡️ ใช้กลยุทธ์ double extortion ➡️ มี ransomware สำหรับ Windows และ Linux/VMware ESXi ➡️ ตรวจสอบ layout คีย์บอร์ดเพื่อหลีกเลี่ยงประเทศรัสเซีย ➡️ เคยแฮกกล้องเว็บแคมของเหยื่อ ✅ สถานะปัจจุบัน ➡️ Apache ยังไม่ยืนยันว่ามีการเจาะระบบ ➡️ ไม่มีผลกระทบต่อระบบแจกจ่ายซอฟต์แวร์ของ OpenOffice ➡️ ผู้ใช้ยังสามารถดาวน์โหลด OpenOffice ได้จากเว็บไซต์ทางการ ‼️ คำเตือนสำหรับผู้ใช้งาน ⛔ อย่าดาวน์โหลด OpenOffice จากลิงก์ที่แชร์ในโซเชียลหรือฟอรั่ม ⛔ ควรติดตามประกาศจาก Apache Software Foundation อย่างใกล้ชิด ⛔ หากใช้งานในองค์กร ควรตรวจสอบระบบภายในและอัปเดตมาตรการรักษาความปลอดภัย https://hackread.com/akira-ransomware-stole-apache-openoffice-data/

HACKREAD.COM

Akira Ransomware Claims It Stole 23GB from Apache OpenOffice
Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread

0 Comments 0 Shares 81 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-10-31 03:55:17 -

Proton เปิดตัว Data Breach Observatory — เครื่องมือตรวจจับข้อมูลรั่วไหลจาก Dark Web แบบเรียลไทม์

Proton เปิดตัวแพลตฟอร์มใหม่ชื่อว่า “Data Breach Observatory” ที่ช่วยติดตามการรั่วไหลของข้อมูลจากตลาดมืดบน Dark Web โดยสามารถตรวจสอบได้ว่าองค์กรใดถูกเจาะ ข้อมูลใดถูกขโมย และจำนวนที่รั่วไหล — ทั้งหมดนี้เพื่อสร้างความโปร่งใสในโลกไซเบอร์ที่มักถูกปิดบัง

Proton เป็นบริษัทที่ขึ้นชื่อเรื่องความปลอดภัยและความเป็นส่วนตัว เช่น ProtonMail, ProtonVPN และ Proton Drive ล่าสุดพวกเขาเปิดตัว “Data Breach Observatory” ซึ่งเป็นแพลตฟอร์มสาธารณะที่ช่วยติดตามการรั่วไหลของข้อมูลจาก Dark Web แบบเรียลไทม์

แพลตฟอร์มนี้จะดึงข้อมูลจากฟอรั่มและตลาดมืดที่แฮกเกอร์ใช้ซื้อขายข้อมูลที่ถูกขโมย แล้วนำมาวิเคราะห์และเผยแพร่ให้สาธารณชนเข้าถึงได้ฟรี ผู้ใช้สามารถตรวจสอบได้ว่าองค์กรใดถูกเจาะ ข้อมูลประเภทใดที่รั่วไหล และจำนวนเรคคอร์ดที่ถูกขโมย

Proton ร่วมมือกับ Constella Intelligence ในการตรวจสอบข้อมูลจาก Dark Web และในปี 2025 เพียงปีเดียว พบเหตุการณ์รั่วไหล 794 ครั้งที่เชื่อมโยงกับองค์กรโดยตรง และอีก 1,571 เหตุการณ์ที่เป็นชุดข้อมูลรวม ซึ่งรวมแล้วมีข้อมูลหลายร้อยพันล้านเรคคอร์ดที่ถูกเปิดเผย

ข้อมูลที่รั่วไหลส่วนใหญ่ประกอบด้วย:
อีเมล (100%)
ชื่อ (90%)
ข้อมูลติดต่อ (72%)
รหัสผ่าน (49%)

แพลตฟอร์มนี้ไม่เพียงแต่ช่วยให้องค์กรรู้ตัวก่อนจะถูกเปิดเผย แต่ยังช่วยให้บุคคลทั่วไปสามารถตรวจสอบได้ว่าข้อมูลของตนเองเคยปรากฏในตลาดมืดหรือไม่

เกร็ดน่ารู้เพิ่มเติม
Proton ใช้หลัก “your data, your rules” ในการออกแบบทุกบริการ
Constella Intelligence เป็นบริษัทด้านความปลอดภัยที่เชี่ยวชาญการตรวจสอบข้อมูลจาก Dark Web
การเปิดเผยข้อมูลรั่วไหลแบบเรียลไทม์ช่วยให้องค์กรสามารถตอบสนองได้เร็วขึ้น และลดผลกระทบจากการโจมตีทางไซเบอร์

Data Breach Observatory ไม่ใช่แค่เครื่องมือ — แต่มันคือ “ไฟฉาย” ที่ส่องให้เห็นสิ่งที่เคยถูกซ่อนไว้ในเงามืดของโลกไซเบอร์

https://news.itsfoss.com/proton-data-breach-observatory/

🔍 Proton เปิดตัว Data Breach Observatory — เครื่องมือตรวจจับข้อมูลรั่วไหลจาก Dark Web แบบเรียลไทม์ Proton เปิดตัวแพลตฟอร์มใหม่ชื่อว่า “Data Breach Observatory” ที่ช่วยติดตามการรั่วไหลของข้อมูลจากตลาดมืดบน Dark Web โดยสามารถตรวจสอบได้ว่าองค์กรใดถูกเจาะ ข้อมูลใดถูกขโมย และจำนวนที่รั่วไหล — ทั้งหมดนี้เพื่อสร้างความโปร่งใสในโลกไซเบอร์ที่มักถูกปิดบัง Proton เป็นบริษัทที่ขึ้นชื่อเรื่องความปลอดภัยและความเป็นส่วนตัว เช่น ProtonMail, ProtonVPN และ Proton Drive ล่าสุดพวกเขาเปิดตัว “Data Breach Observatory” ซึ่งเป็นแพลตฟอร์มสาธารณะที่ช่วยติดตามการรั่วไหลของข้อมูลจาก Dark Web แบบเรียลไทม์ แพลตฟอร์มนี้จะดึงข้อมูลจากฟอรั่มและตลาดมืดที่แฮกเกอร์ใช้ซื้อขายข้อมูลที่ถูกขโมย แล้วนำมาวิเคราะห์และเผยแพร่ให้สาธารณชนเข้าถึงได้ฟรี ผู้ใช้สามารถตรวจสอบได้ว่าองค์กรใดถูกเจาะ ข้อมูลประเภทใดที่รั่วไหล และจำนวนเรคคอร์ดที่ถูกขโมย Proton ร่วมมือกับ Constella Intelligence ในการตรวจสอบข้อมูลจาก Dark Web และในปี 2025 เพียงปีเดียว พบเหตุการณ์รั่วไหล 794 ครั้งที่เชื่อมโยงกับองค์กรโดยตรง และอีก 1,571 เหตุการณ์ที่เป็นชุดข้อมูลรวม ซึ่งรวมแล้วมีข้อมูลหลายร้อยพันล้านเรคคอร์ดที่ถูกเปิดเผย ข้อมูลที่รั่วไหลส่วนใหญ่ประกอบด้วย: 🎗️ อีเมล (100%) 🎗️ ชื่อ (90%) 🎗️ ข้อมูลติดต่อ (72%) 🎗️ รหัสผ่าน (49%) แพลตฟอร์มนี้ไม่เพียงแต่ช่วยให้องค์กรรู้ตัวก่อนจะถูกเปิดเผย แต่ยังช่วยให้บุคคลทั่วไปสามารถตรวจสอบได้ว่าข้อมูลของตนเองเคยปรากฏในตลาดมืดหรือไม่ 🧠 เกร็ดน่ารู้เพิ่มเติม 💠 Proton ใช้หลัก “your data, your rules” ในการออกแบบทุกบริการ 💠 Constella Intelligence เป็นบริษัทด้านความปลอดภัยที่เชี่ยวชาญการตรวจสอบข้อมูลจาก Dark Web 💠 การเปิดเผยข้อมูลรั่วไหลแบบเรียลไทม์ช่วยให้องค์กรสามารถตอบสนองได้เร็วขึ้น และลดผลกระทบจากการโจมตีทางไซเบอร์ Data Breach Observatory ไม่ใช่แค่เครื่องมือ — แต่มันคือ “ไฟฉาย” ที่ส่องให้เห็นสิ่งที่เคยถูกซ่อนไว้ในเงามืดของโลกไซเบอร์ https://news.itsfoss.com/proton-data-breach-observatory/

NEWS.ITSFOSS.COM

Proton Launches Data Breach Observatory to Track Dark Web Activity in Real-Time
A constantly updated dark web monitoring tool.

0 Comments 0 Shares 67 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-10-31 03:51:14 -

Bronze Butler โจมตีองค์กรผ่านช่องโหว่ Zero-Day ใน Lanscope — แฮกเกอร์จีนใช้ช่องทางควบคุมระบบแบบลับๆ

กลุ่ม APT จากจีนชื่อ Bronze Butler ถูกพบว่าใช้ช่องโหว่ Zero-Day ในซอฟต์แวร์ Lanscope เพื่อลอบควบคุมระบบขององค์กรในญี่ปุ่น โดยไม่ต้องใช้มัลแวร์หรือไฟล์ใดๆ — เป็นการโจมตีแบบ “fileless” ที่ยากต่อการตรวจจับ

Lanscope เป็นซอฟต์แวร์ที่ใช้ในองค์กรเพื่อควบคุมและตรวจสอบอุปกรณ์ภายในเครือข่าย เช่น การล็อกการใช้งาน USB หรือการตรวจสอบการเข้าเว็บไซต์ ล่าสุดพบว่ามีช่องโหว่ Zero-Day ที่เปิดให้ผู้โจมตีสามารถใช้ API ภายในเพื่อควบคุมระบบได้โดยไม่ต้องติดตั้งมัลแวร์ใดๆ

กลุ่ม Bronze Butler ซึ่งเป็นกลุ่มแฮกเกอร์ที่เชื่อว่ามีความเกี่ยวข้องกับรัฐบาลจีน ได้ใช้ช่องโหว่นี้ในการโจมตีองค์กรในญี่ปุ่น โดยใช้เทคนิค “living off the land” คือการใช้เครื่องมือที่มีอยู่ในระบบ เช่น PowerShell หรือ WMI เพื่อควบคุมเครื่องเป้าหมายโดยไม่ทิ้งร่องรอย

การโจมตีนี้ไม่ต้องใช้ไฟล์หรือ payload แบบเดิมๆ ทำให้ระบบป้องกันไวรัสหรือ EDR ตรวจจับได้ยากมาก และสามารถแฝงตัวในระบบได้นานโดยไม่ถูกพบ

นักวิจัยด้านความปลอดภัยแนะนำให้องค์กรที่ใช้ Lanscope ตรวจสอบการเรียกใช้งาน API ภายใน และอัปเดตแพตช์ทันทีเมื่อมีการเปิดเผยช่องโหว่ พร้อมทั้งเสริมระบบตรวจสอบพฤติกรรมที่ผิดปกติในเครือข่าย

เกร็ดน่ารู้เพิ่มเติม
“Living off the land” คือเทคนิคที่แฮกเกอร์ใช้เครื่องมือในระบบเพื่อหลบเลี่ยงการตรวจจับ
Fileless attack เป็นรูปแบบการโจมตีที่ไม่ใช้ไฟล์ ทำให้ระบบป้องกันแบบ signature-based ไม่สามารถตรวจจับได้
Bronze Butler เคยถูกจับตาในกรณีโจมตีหน่วยงานรัฐบาลและบริษัทเทคโนโลยีในญี่ปุ่นตั้งแต่ปี 2016

ช่องโหว่ Zero-Day ใน Lanscope
เปิดให้ควบคุมระบบผ่าน API ภายใน
ไม่ต้องใช้ไฟล์หรือมัลแวร์ในการโจมตี
เป็นการโจมตีแบบ fileless ที่ยากต่อการตรวจจับ

กลุ่มผู้โจมตี: Bronze Butler
เป็นกลุ่ม APT ที่เชื่อว่ามีความเกี่ยวข้องกับรัฐบาลจีน
มีประวัติการโจมตีองค์กรในญี่ปุ่นและเอเชียตะวันออก
ใช้เทคนิค “living off the land” เพื่อหลบเลี่ยงการตรวจจับ

วิธีการโจมตี
ใช้ PowerShell, WMI และ API ภายในของ Lanscope
ไม่ต้องติดตั้งโปรแกรมเพิ่ม
ควบคุมระบบจากระยะไกลโดยไม่ทิ้งร่องรอย

ความเสี่ยงต่อองค์กร
ระบบตรวจสอบทั่วไปอาจไม่สามารถตรวจจับได้
อาจถูกควบคุมโดยไม่รู้ตัวเป็นเวลานาน
ข้อมูลสำคัญอาจถูกขโมยหรือเปลี่ยนแปลง

ข้อควรระวังสำหรับผู้ใช้ Lanscope
ควรตรวจสอบการเรียกใช้งาน API ที่ผิดปกติ
อัปเดตแพตช์ทันทีเมื่อมีการเปิดเผยช่องโหว่
เสริมระบบตรวจสอบพฤติกรรมในเครือข่าย เช่น UEBA หรือ XDR

https://securityonline.info/chinese-apt-bronze-butler-exploits-lanscope-zero-day-for-system-control/

🕵️‍♂️ Bronze Butler โจมตีองค์กรผ่านช่องโหว่ Zero-Day ใน Lanscope — แฮกเกอร์จีนใช้ช่องทางควบคุมระบบแบบลับๆ กลุ่ม APT จากจีนชื่อ Bronze Butler ถูกพบว่าใช้ช่องโหว่ Zero-Day ในซอฟต์แวร์ Lanscope เพื่อลอบควบคุมระบบขององค์กรในญี่ปุ่น โดยไม่ต้องใช้มัลแวร์หรือไฟล์ใดๆ — เป็นการโจมตีแบบ “fileless” ที่ยากต่อการตรวจจับ Lanscope เป็นซอฟต์แวร์ที่ใช้ในองค์กรเพื่อควบคุมและตรวจสอบอุปกรณ์ภายในเครือข่าย เช่น การล็อกการใช้งาน USB หรือการตรวจสอบการเข้าเว็บไซต์ ล่าสุดพบว่ามีช่องโหว่ Zero-Day ที่เปิดให้ผู้โจมตีสามารถใช้ API ภายในเพื่อควบคุมระบบได้โดยไม่ต้องติดตั้งมัลแวร์ใดๆ กลุ่ม Bronze Butler ซึ่งเป็นกลุ่มแฮกเกอร์ที่เชื่อว่ามีความเกี่ยวข้องกับรัฐบาลจีน ได้ใช้ช่องโหว่นี้ในการโจมตีองค์กรในญี่ปุ่น โดยใช้เทคนิค “living off the land” คือการใช้เครื่องมือที่มีอยู่ในระบบ เช่น PowerShell หรือ WMI เพื่อควบคุมเครื่องเป้าหมายโดยไม่ทิ้งร่องรอย การโจมตีนี้ไม่ต้องใช้ไฟล์หรือ payload แบบเดิมๆ ทำให้ระบบป้องกันไวรัสหรือ EDR ตรวจจับได้ยากมาก และสามารถแฝงตัวในระบบได้นานโดยไม่ถูกพบ นักวิจัยด้านความปลอดภัยแนะนำให้องค์กรที่ใช้ Lanscope ตรวจสอบการเรียกใช้งาน API ภายใน และอัปเดตแพตช์ทันทีเมื่อมีการเปิดเผยช่องโหว่ พร้อมทั้งเสริมระบบตรวจสอบพฤติกรรมที่ผิดปกติในเครือข่าย 🧠 เกร็ดน่ารู้เพิ่มเติม 💠 “Living off the land” คือเทคนิคที่แฮกเกอร์ใช้เครื่องมือในระบบเพื่อหลบเลี่ยงการตรวจจับ 💠 Fileless attack เป็นรูปแบบการโจมตีที่ไม่ใช้ไฟล์ ทำให้ระบบป้องกันแบบ signature-based ไม่สามารถตรวจจับได้ 💠 Bronze Butler เคยถูกจับตาในกรณีโจมตีหน่วยงานรัฐบาลและบริษัทเทคโนโลยีในญี่ปุ่นตั้งแต่ปี 2016 ✅ ช่องโหว่ Zero-Day ใน Lanscope ➡️ เปิดให้ควบคุมระบบผ่าน API ภายใน ➡️ ไม่ต้องใช้ไฟล์หรือมัลแวร์ในการโจมตี ➡️ เป็นการโจมตีแบบ fileless ที่ยากต่อการตรวจจับ ✅ กลุ่มผู้โจมตี: Bronze Butler ➡️ เป็นกลุ่ม APT ที่เชื่อว่ามีความเกี่ยวข้องกับรัฐบาลจีน ➡️ มีประวัติการโจมตีองค์กรในญี่ปุ่นและเอเชียตะวันออก ➡️ ใช้เทคนิค “living off the land” เพื่อหลบเลี่ยงการตรวจจับ ✅ วิธีการโจมตี ➡️ ใช้ PowerShell, WMI และ API ภายในของ Lanscope ➡️ ไม่ต้องติดตั้งโปรแกรมเพิ่ม ➡️ ควบคุมระบบจากระยะไกลโดยไม่ทิ้งร่องรอย ‼️ ความเสี่ยงต่อองค์กร ⛔ ระบบตรวจสอบทั่วไปอาจไม่สามารถตรวจจับได้ ⛔ อาจถูกควบคุมโดยไม่รู้ตัวเป็นเวลานาน ⛔ ข้อมูลสำคัญอาจถูกขโมยหรือเปลี่ยนแปลง ‼️ ข้อควรระวังสำหรับผู้ใช้ Lanscope ⛔ ควรตรวจสอบการเรียกใช้งาน API ที่ผิดปกติ ⛔ อัปเดตแพตช์ทันทีเมื่อมีการเปิดเผยช่องโหว่ ⛔ เสริมระบบตรวจสอบพฤติกรรมในเครือข่าย เช่น UEBA หรือ XDR https://securityonline.info/chinese-apt-bronze-butler-exploits-lanscope-zero-day-for-system-control/

SECURITYONLINE.INFO

Chinese APT BRONZE BUTLER Exploits LANSCOPE Zero-Day for SYSTEM Control
Chinese APT BRONZE BUTLER exploited CVE-2025-61932 in Motex LANSCOPE Endpoint Manager to gain SYSTEM access. CISA added the actively exploited zero-day to KEV.

0 Comments 0 Shares 87 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-10-31 03:49:28 -

CISA เตือนภัย! ช่องโหว่ XWiki และ VMware ถูกโจมตีจริงแล้ว — องค์กรต้องเร่งอุดช่องโหว่ทันที

หน่วยงาน CISA ของสหรัฐฯ ออกประกาศเตือนว่าช่องโหว่ใน XWiki และ VMware กำลังถูกใช้โจมตีอย่างต่อเนื่องในโลกจริง พร้อมแนะนำให้องค์กรรีบอัปเดตแพตช์และตรวจสอบระบบโดยด่วน

CISA (Cybersecurity and Infrastructure Security Agency) ได้เพิ่มช่องโหว่สองรายการลงใน Known Exploited Vulnerabilities (KEV) ซึ่งหมายความว่า “มีการโจมตีจริงแล้ว” ไม่ใช่แค่ทฤษฎี

ช่องโหว่แรกคือ CVE-2023-41327 ใน XWiki ซึ่งเป็นระบบจัดการเอกสารแบบโอเพ่นซอร์สที่หลายองค์กรใช้สำหรับวิกิภายใน ช่องโหว่นี้เปิดช่องให้ผู้โจมตีสามารถรันโค้ดจากระยะไกลได้โดยไม่ต้องยืนยันตัวตน — แปลว่าแค่เปิดหน้าเว็บก็อาจโดนเจาะได้

ช่องโหว่ที่สองคือ CVE-2024-22267 ใน VMware Aria Automation ซึ่งเป็นระบบจัดการการทำงานอัตโนมัติในคลาวด์ ช่องโหว่นี้เปิดให้ผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญหรือควบคุมระบบได้จากระยะไกลเช่นกัน

CISA ระบุว่าองค์กรที่ใช้ซอฟต์แวร์เหล่านี้ควรอัปเดตแพตช์ทันที และตรวจสอบระบบย้อนหลังเพื่อดูว่ามีการเข้าถึงที่ผิดปกติหรือไม่ โดยเฉพาะในระบบที่เปิดให้เข้าจากอินเทอร์เน็ต

การที่ช่องโหว่เหล่านี้ถูกเพิ่มลงใน KEV หมายความว่าเป็นภัยระดับสูง และอาจถูกใช้โดยกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐ หรือกลุ่ม ransomware ที่มุ่งเป้าโจมตีองค์กรขนาดใหญ่

เกร็ดน่ารู้เพิ่มเติม
Known Exploited Vulnerabilities (KEV) คือรายการช่องโหว่ที่ “มีการโจมตีจริงแล้ว” ไม่ใช่แค่เสี่ยง
VMware Aria Automation เคยเป็นส่วนหนึ่งของ vRealize Automation ซึ่งใช้ในระบบคลาวด์ระดับองค์กร
XWiki เป็นระบบที่นิยมในองค์กรด้านวิจัย การศึกษา และเทคโนโลยี เพราะมีความยืดหยุ่นสูง

ช่องโหว่ที่ถูกใช้งานจริง
CVE-2023-41327 ใน XWiki (Remote Code Execution)
CVE-2024-22267 ใน VMware Aria Automation (Remote Access)
ถูกเพิ่มลงในรายการ Known Exploited Vulnerabilities ของ CISA

ผลกระทบต่อองค์กร
เสี่ยงต่อการถูกเจาะระบบจากระยะไกล
อาจถูกขโมยข้อมูลหรือควบคุมระบบ
มีความเสี่ยงสูงหากเปิดระบบให้เข้าจากอินเทอร์เน็ต

คำแนะนำจาก CISA
อัปเดตแพตช์ล่าสุดทันที
ตรวจสอบระบบย้อนหลังเพื่อหาการเข้าถึงผิดปกติ
ปิดการเข้าถึงจากภายนอกหากไม่จำเป็น

https://securityonline.info/cisa-warns-of-active-exploitation-in-xwiki-and-vmware-vulnerabilities/

🚨 CISA เตือนภัย! ช่องโหว่ XWiki และ VMware ถูกโจมตีจริงแล้ว — องค์กรต้องเร่งอุดช่องโหว่ทันที หน่วยงาน CISA ของสหรัฐฯ ออกประกาศเตือนว่าช่องโหว่ใน XWiki และ VMware กำลังถูกใช้โจมตีอย่างต่อเนื่องในโลกจริง พร้อมแนะนำให้องค์กรรีบอัปเดตแพตช์และตรวจสอบระบบโดยด่วน CISA (Cybersecurity and Infrastructure Security Agency) ได้เพิ่มช่องโหว่สองรายการลงใน Known Exploited Vulnerabilities (KEV) ซึ่งหมายความว่า “มีการโจมตีจริงแล้ว” ไม่ใช่แค่ทฤษฎี ช่องโหว่แรกคือ CVE-2023-41327 ใน XWiki ซึ่งเป็นระบบจัดการเอกสารแบบโอเพ่นซอร์สที่หลายองค์กรใช้สำหรับวิกิภายใน ช่องโหว่นี้เปิดช่องให้ผู้โจมตีสามารถรันโค้ดจากระยะไกลได้โดยไม่ต้องยืนยันตัวตน — แปลว่าแค่เปิดหน้าเว็บก็อาจโดนเจาะได้ ช่องโหว่ที่สองคือ CVE-2024-22267 ใน VMware Aria Automation ซึ่งเป็นระบบจัดการการทำงานอัตโนมัติในคลาวด์ ช่องโหว่นี้เปิดให้ผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญหรือควบคุมระบบได้จากระยะไกลเช่นกัน CISA ระบุว่าองค์กรที่ใช้ซอฟต์แวร์เหล่านี้ควรอัปเดตแพตช์ทันที และตรวจสอบระบบย้อนหลังเพื่อดูว่ามีการเข้าถึงที่ผิดปกติหรือไม่ โดยเฉพาะในระบบที่เปิดให้เข้าจากอินเทอร์เน็ต การที่ช่องโหว่เหล่านี้ถูกเพิ่มลงใน KEV หมายความว่าเป็นภัยระดับสูง และอาจถูกใช้โดยกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐ หรือกลุ่ม ransomware ที่มุ่งเป้าโจมตีองค์กรขนาดใหญ่ 🧠 เกร็ดน่ารู้เพิ่มเติม 💠 Known Exploited Vulnerabilities (KEV) คือรายการช่องโหว่ที่ “มีการโจมตีจริงแล้ว” ไม่ใช่แค่เสี่ยง 💠 VMware Aria Automation เคยเป็นส่วนหนึ่งของ vRealize Automation ซึ่งใช้ในระบบคลาวด์ระดับองค์กร 💠 XWiki เป็นระบบที่นิยมในองค์กรด้านวิจัย การศึกษา และเทคโนโลยี เพราะมีความยืดหยุ่นสูง ✅ ช่องโหว่ที่ถูกใช้งานจริง ➡️ CVE-2023-41327 ใน XWiki (Remote Code Execution) ➡️ CVE-2024-22267 ใน VMware Aria Automation (Remote Access) ➡️ ถูกเพิ่มลงในรายการ Known Exploited Vulnerabilities ของ CISA ✅ ผลกระทบต่อองค์กร ➡️ เสี่ยงต่อการถูกเจาะระบบจากระยะไกล ➡️ อาจถูกขโมยข้อมูลหรือควบคุมระบบ ➡️ มีความเสี่ยงสูงหากเปิดระบบให้เข้าจากอินเทอร์เน็ต ✅ คำแนะนำจาก CISA ➡️ อัปเดตแพตช์ล่าสุดทันที ➡️ ตรวจสอบระบบย้อนหลังเพื่อหาการเข้าถึงผิดปกติ ➡️ ปิดการเข้าถึงจากภายนอกหากไม่จำเป็น https://securityonline.info/cisa-warns-of-active-exploitation-in-xwiki-and-vmware-vulnerabilities/

SECURITYONLINE.INFO

CISA Warns of Active Exploitation in XWiki and VMware Vulnerabilities
CISA adds XWiki (CVE-2025-24893) and VMware (CVE-2025-41244) to its KEV Catalog after confirming active exploitation in the wild.

0 Comments 0 Shares 80 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-10-31 03:47:52 -

Brash Attack: ช่องโหว่ร้ายแรงในเบราว์เซอร์ Chromium แค่เปลี่ยนชื่อแท็บก็ทำให้ระบบล่มได้!

นักวิจัยด้านความปลอดภัยเปิดเผยช่องโหว่ใหม่ใน Blink engine ของ Chromium ที่สามารถทำให้เบราว์เซอร์ล่มภายในไม่กี่วินาที ด้วยการเปลี่ยนค่า document.title อย่างต่อเนื่อง — ส่งผลกระทบต่อผู้ใช้กว่า 3 พันล้านคนทั่วโลก

Brash คือชื่อของช่องโหว่ใหม่ที่ถูกค้นพบใน Blink rendering engine ซึ่งเป็นหัวใจของเบราว์เซอร์ยอดนิยมอย่าง Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi และแม้แต่ ChatGPT Atlas หรือ Perplexity Comet ก็ไม่รอด

ช่องโหว่นี้เกิดจากการที่ API document.title ไม่มีการจำกัดความถี่ในการอัปเดต ทำให้แฮกเกอร์สามารถ inject โค้ดที่เปลี่ยนชื่อแท็บได้หลายล้านครั้งต่อวินาที ส่งผลให้ thread หลักของเบราว์เซอร์ทำงานหนักจนล่มในเวลาเพียง 15–60 วินาที

นักวิจัย Jose Pino ผู้ค้นพบช่องโหว่นี้ ได้เผยแพร่ proof-of-concept (PoC) ที่ชื่อว่า “Brash” ซึ่งสามารถทำให้เบราว์เซอร์ล่มได้จริง โดยไม่ต้องใช้สิทธิ์พิเศษหรือมัลแวร์ เพียงแค่เปิดหน้าเว็บที่ฝังโค้ดไว้เท่านั้น

เกร็ดน่ารู้เพิ่มเติมจากภายนอก
ช่องโหว่นี้มีผลกับ Chromium เวอร์ชัน ≤ 143.0.7483.0
นักวิจัยแนะนำให้ผู้ใช้และองค์กรอัปเดตเบราว์เซอร์ทันทีเมื่อมีแพตช์
การใช้เบราว์เซอร์ใน sandbox หรือ virtual environment ช่วยลดความเสี่ยง

ช่องโหว่ Brash ใน Blink engine
ใช้ document.title อัปเดตชื่อแท็บหลายล้านครั้งต่อวินาที
ทำให้เบราว์เซอร์ล่มภายใน 15–60 วินาที
ไม่ต้องใช้สิทธิ์พิเศษหรือมัลแวร์

เบราว์เซอร์ที่ได้รับผลกระทบ
Chrome, Edge, Brave, Opera, Vivaldi, Arc, Dia, ChatGPT Atlas, Perplexity Comet
ทุกแพลตฟอร์ม: Windows, macOS, Linux, Android
Firefox และ Safari ไม่ได้รับผลกระทบ (ใช้ engine คนละตัว)

วิธีการโจมตี
แฮกเกอร์ preload สตริงยาว 512 ตัวอักษร 100 ชุด
ยิงคำสั่งเปลี่ยนชื่อแท็บแบบ burst (เช่น 8,000 ครั้งต่อ 1 มิลลิวินาที)
ทำให้ thread หลักของเบราว์เซอร์ล่ม

ความเสี่ยงต่อผู้ใช้ทั่วไป
แค่เปิดหน้าเว็บที่ฝังโค้ดก็ทำให้เบราว์เซอร์ล่ม
อาจสูญเสียงานที่ยังไม่ได้บันทึก
ส่งผลกระทบต่อระบบโดยรวม เช่น CPU พุ่งสูง, เครื่องค้าง

ความเสี่ยงต่อองค์กร
ระบบที่ใช้เบราว์เซอร์เป็นเครื่องมือหลักอาจหยุดชะงัก
การโจมตีสามารถใช้เป็น logic bomb หรือโจมตีแบบเจาะจงเวลา
ระบบป้องกันทั่วไปอาจไม่สามารถตรวจจับได้

https://securityonline.info/brash-attack-critical-chromium-flaw-allows-dos-via-simple-code-injection/

⚠️ Brash Attack: ช่องโหว่ร้ายแรงในเบราว์เซอร์ Chromium แค่เปลี่ยนชื่อแท็บก็ทำให้ระบบล่มได้! นักวิจัยด้านความปลอดภัยเปิดเผยช่องโหว่ใหม่ใน Blink engine ของ Chromium ที่สามารถทำให้เบราว์เซอร์ล่มภายในไม่กี่วินาที ด้วยการเปลี่ยนค่า document.title อย่างต่อเนื่อง — ส่งผลกระทบต่อผู้ใช้กว่า 3 พันล้านคนทั่วโลก Brash คือชื่อของช่องโหว่ใหม่ที่ถูกค้นพบใน Blink rendering engine ซึ่งเป็นหัวใจของเบราว์เซอร์ยอดนิยมอย่าง Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi และแม้แต่ ChatGPT Atlas หรือ Perplexity Comet ก็ไม่รอด ช่องโหว่นี้เกิดจากการที่ API document.title ไม่มีการจำกัดความถี่ในการอัปเดต ทำให้แฮกเกอร์สามารถ inject โค้ดที่เปลี่ยนชื่อแท็บได้หลายล้านครั้งต่อวินาที ส่งผลให้ thread หลักของเบราว์เซอร์ทำงานหนักจนล่มในเวลาเพียง 15–60 วินาที นักวิจัย Jose Pino ผู้ค้นพบช่องโหว่นี้ ได้เผยแพร่ proof-of-concept (PoC) ที่ชื่อว่า “Brash” ซึ่งสามารถทำให้เบราว์เซอร์ล่มได้จริง โดยไม่ต้องใช้สิทธิ์พิเศษหรือมัลแวร์ เพียงแค่เปิดหน้าเว็บที่ฝังโค้ดไว้เท่านั้น 🧠 เกร็ดน่ารู้เพิ่มเติมจากภายนอก 💠 ช่องโหว่นี้มีผลกับ Chromium เวอร์ชัน ≤ 143.0.7483.0 💠 นักวิจัยแนะนำให้ผู้ใช้และองค์กรอัปเดตเบราว์เซอร์ทันทีเมื่อมีแพตช์ 💠 การใช้เบราว์เซอร์ใน sandbox หรือ virtual environment ช่วยลดความเสี่ยง ✅ ช่องโหว่ Brash ใน Blink engine ➡️ ใช้ document.title อัปเดตชื่อแท็บหลายล้านครั้งต่อวินาที ➡️ ทำให้เบราว์เซอร์ล่มภายใน 15–60 วินาที ➡️ ไม่ต้องใช้สิทธิ์พิเศษหรือมัลแวร์ ✅ เบราว์เซอร์ที่ได้รับผลกระทบ ➡️ Chrome, Edge, Brave, Opera, Vivaldi, Arc, Dia, ChatGPT Atlas, Perplexity Comet ➡️ ทุกแพลตฟอร์ม: Windows, macOS, Linux, Android ➡️ Firefox และ Safari ไม่ได้รับผลกระทบ (ใช้ engine คนละตัว) ✅ วิธีการโจมตี ➡️ แฮกเกอร์ preload สตริงยาว 512 ตัวอักษร 100 ชุด ➡️ ยิงคำสั่งเปลี่ยนชื่อแท็บแบบ burst (เช่น 8,000 ครั้งต่อ 1 มิลลิวินาที) ➡️ ทำให้ thread หลักของเบราว์เซอร์ล่ม ‼️ ความเสี่ยงต่อผู้ใช้ทั่วไป ⛔ แค่เปิดหน้าเว็บที่ฝังโค้ดก็ทำให้เบราว์เซอร์ล่ม ⛔ อาจสูญเสียงานที่ยังไม่ได้บันทึก ⛔ ส่งผลกระทบต่อระบบโดยรวม เช่น CPU พุ่งสูง, เครื่องค้าง ‼️ ความเสี่ยงต่อองค์กร ⛔ ระบบที่ใช้เบราว์เซอร์เป็นเครื่องมือหลักอาจหยุดชะงัก ⛔ การโจมตีสามารถใช้เป็น logic bomb หรือโจมตีแบบเจาะจงเวลา ⛔ ระบบป้องกันทั่วไปอาจไม่สามารถตรวจจับได้ https://securityonline.info/brash-attack-critical-chromium-flaw-allows-dos-via-simple-code-injection/

SECURITYONLINE.INFO

Brash Attack: Critical Chromium Flaw Allows DoS via Simple Code Injection
The Brash exploit leverages a missing rate limit on Chromium's document.title API to trigger a Denial-of-Service attack, crashing browsers in seconds.

0 Comments 0 Shares 112 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-10-31 03:46:15 -

MOVEit โดนอีกแล้ว! ช่องโหว่ CVE-2025-10932 ในโมดูล AS2 เสี่ยงทำระบบล่ม — Progress เร่งออกแพตช์อุดช่องโหว่

Progress Software ออกแพตช์ด่วนเพื่อแก้ไขช่องโหว่ระดับสูงใน MOVEit Transfer ที่อาจถูกใช้โจมตีแบบ DoS ผ่านโมดูล AS2 ซึ่งเป็นหัวใจของการแลกเปลี่ยนไฟล์แบบปลอดภัยในองค์กร

MOVEit Transfer คือระบบจัดการไฟล์ที่องค์กรทั่วโลกใช้กันอย่างแพร่หลาย โดยเฉพาะในงานที่ต้องการความปลอดภัยสูง เช่น การส่งข้อมูลระหว่างหน่วยงานหรือคู่ค้า ล่าสุดพบช่องโหว่ใหม่ CVE-2025-10932 ซึ่งเป็นช่องโหว่ “Uncontrolled Resource Consumption” หรือการใช้ทรัพยากรโดยไม่จำกัด

ช่องโหว่นี้อยู่ในโมดูล AS2 (Applicability Statement 2) ซึ่งใช้สำหรับการแลกเปลี่ยนไฟล์แบบเข้ารหัสและลงลายเซ็นดิจิทัล หากถูกโจมตีด้วยคำขอ AS2 ที่ถูกสร้างขึ้นอย่างเจาะจง อาจทำให้ระบบล่มหรือประสิทธิภาพลดลงอย่างรุนแรง

Progress ได้ออกแพตช์สำหรับ MOVEit Transfer ทุกเวอร์ชันที่ได้รับผลกระทบ และเพิ่มฟีเจอร์ whitelist IP เพื่อจำกัดการเข้าถึงโมดูล AS2 โดยเฉพาะ สำหรับผู้ที่ไม่ได้ใช้ AS2 แนะนำให้ลบไฟล์ endpoint ที่เกี่ยวข้องออกชั่วคราวเพื่อปิดช่องทางโจมตี

ช่องโหว่นี้ยังไม่มีรายงานการโจมตีจริงในขณะนี้ แต่เนื่องจาก MOVEit เคยถูกใช้เป็นช่องทางโจมตีในกรณี Clop ransomware มาก่อน จึงถือเป็นเป้าหมายสำคัญที่ควรเฝ้าระวัง

ช่องโหว่ CVE-2025-10932 ใน MOVEit Transfer
เป็นช่องโหว่ Uncontrolled Resource Consumption
อยู่ในโมดูล AS2 ที่ใช้แลกเปลี่ยนไฟล์แบบปลอดภัย
เสี่ยงต่อการโจมตีแบบ DoS หากถูกใช้โดยผู้ไม่หวังดี

เวอร์ชันที่ได้รับผลกระทบ
2025.0.0 ก่อน 2025.0.3
2024.1.0 ก่อน 2024.1.7
2023.1.0 ก่อน 2023.1.16

วิธีแก้ไขและป้องกัน
อัปเดตเป็นเวอร์ชันที่มีแพตช์ล่าสุด
เพิ่ม whitelist IP สำหรับโมดูล AS2
สำหรับผู้ไม่ใช้ AS2 ให้ลบไฟล์ AS2Rec2.ashx และ AS2Receiver.aspx ชั่วคราว

https://securityonline.info/progress-patches-high-severity-vulnerability-in-moveit-transfer-as2-module-cve-2025-10932/

🛡️ MOVEit โดนอีกแล้ว! ช่องโหว่ CVE-2025-10932 ในโมดูล AS2 เสี่ยงทำระบบล่ม — Progress เร่งออกแพตช์อุดช่องโหว่ Progress Software ออกแพตช์ด่วนเพื่อแก้ไขช่องโหว่ระดับสูงใน MOVEit Transfer ที่อาจถูกใช้โจมตีแบบ DoS ผ่านโมดูล AS2 ซึ่งเป็นหัวใจของการแลกเปลี่ยนไฟล์แบบปลอดภัยในองค์กร MOVEit Transfer คือระบบจัดการไฟล์ที่องค์กรทั่วโลกใช้กันอย่างแพร่หลาย โดยเฉพาะในงานที่ต้องการความปลอดภัยสูง เช่น การส่งข้อมูลระหว่างหน่วยงานหรือคู่ค้า ล่าสุดพบช่องโหว่ใหม่ CVE-2025-10932 ซึ่งเป็นช่องโหว่ “Uncontrolled Resource Consumption” หรือการใช้ทรัพยากรโดยไม่จำกัด ช่องโหว่นี้อยู่ในโมดูล AS2 (Applicability Statement 2) ซึ่งใช้สำหรับการแลกเปลี่ยนไฟล์แบบเข้ารหัสและลงลายเซ็นดิจิทัล หากถูกโจมตีด้วยคำขอ AS2 ที่ถูกสร้างขึ้นอย่างเจาะจง อาจทำให้ระบบล่มหรือประสิทธิภาพลดลงอย่างรุนแรง Progress ได้ออกแพตช์สำหรับ MOVEit Transfer ทุกเวอร์ชันที่ได้รับผลกระทบ และเพิ่มฟีเจอร์ whitelist IP เพื่อจำกัดการเข้าถึงโมดูล AS2 โดยเฉพาะ สำหรับผู้ที่ไม่ได้ใช้ AS2 แนะนำให้ลบไฟล์ endpoint ที่เกี่ยวข้องออกชั่วคราวเพื่อปิดช่องทางโจมตี ช่องโหว่นี้ยังไม่มีรายงานการโจมตีจริงในขณะนี้ แต่เนื่องจาก MOVEit เคยถูกใช้เป็นช่องทางโจมตีในกรณี Clop ransomware มาก่อน จึงถือเป็นเป้าหมายสำคัญที่ควรเฝ้าระวัง ✅ ช่องโหว่ CVE-2025-10932 ใน MOVEit Transfer ➡️ เป็นช่องโหว่ Uncontrolled Resource Consumption ➡️ อยู่ในโมดูล AS2 ที่ใช้แลกเปลี่ยนไฟล์แบบปลอดภัย ➡️ เสี่ยงต่อการโจมตีแบบ DoS หากถูกใช้โดยผู้ไม่หวังดี ✅ เวอร์ชันที่ได้รับผลกระทบ ➡️ 2025.0.0 ก่อน 2025.0.3 ➡️ 2024.1.0 ก่อน 2024.1.7 ➡️ 2023.1.0 ก่อน 2023.1.16 ✅ วิธีแก้ไขและป้องกัน ➡️ อัปเดตเป็นเวอร์ชันที่มีแพตช์ล่าสุด ➡️ เพิ่ม whitelist IP สำหรับโมดูล AS2 ➡️ สำหรับผู้ไม่ใช้ AS2 ให้ลบไฟล์ AS2Rec2.ashx และ AS2Receiver.aspx ชั่วคราว https://securityonline.info/progress-patches-high-severity-vulnerability-in-moveit-transfer-as2-module-cve-2025-10932/

SECURITYONLINE.INFO

Progress Patches High-Severity Vulnerability in MOVEit Transfer AS2 Module (CVE-2025-10932)
Progress patched a High-severity DoS flaw (CVE-2025-10932) in MOVEit Transfer’s AS2 module. The vulnerability allows unauthenticated attackers to exhaust server resources. Patch to v2025.0.3 immediately.

0 Comments 0 Shares 91 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-10-31 03:38:53 -

Airstalk: มัลแวร์สายลับระดับชาติ แฝงตัวผ่านระบบ MDM ของ VMware เพื่อขโมยข้อมูลแบบไร้ร่องรอย

นักวิจัยจาก Unit 42 แห่ง Palo Alto Networks พบมัลแวร์ใหม่ชื่อ Airstalk ที่ใช้ API ของ VMware AirWatch (Workspace ONE) เป็นช่องทางสื่อสารลับ (C2) เพื่อขโมยข้อมูลจากองค์กรผ่านการโจมตีแบบ supply chain

Airstalk ไม่ใช่มัลแวร์ธรรมดา แต่มันคือเครื่องมือจารกรรมที่ถูกออกแบบมาอย่างชาญฉลาด โดยมีทั้งเวอร์ชัน PowerShell และ .NET ซึ่งสามารถขโมยข้อมูลจากเบราว์เซอร์ เช่น cookies, bookmarks, ประวัติการใช้งาน และภาพหน้าจอ

สิ่งที่ทำให้ Airstalk น่ากลัวคือมันใช้ API ของ AirWatch ซึ่งเป็นระบบจัดการอุปกรณ์พกพา (MDM) ที่องค์กรจำนวนมากใช้ในการควบคุมมือถือและแท็บเล็ตของพนักงาน โดย Airstalk แอบใช้ฟีเจอร์ “custom device attributes” และ “file uploads” เพื่อส่งคำสั่งและรับข้อมูลกลับจากเครื่องเหยื่อ — เหมือนกับการใช้ “ตู้ฝากของลับ” แบบสายลับ

มัลแวร์นี้ยังใช้เทคนิคขั้นสูง เช่น การเซ็นชื่อดิจิทัลด้วยใบรับรองที่ถูกขโมย การเปลี่ยนแปลง timestamp ของไฟล์ และการลบตัวเองหลังจากทำงานเสร็จ เพื่อหลบเลี่ยงการตรวจจับ

Unit 42 เชื่อว่ามัลแวร์นี้ถูกใช้โดยกลุ่มที่ได้รับการสนับสนุนจากรัฐ (nation-state actor) และมีเป้าหมายคือการจารกรรมระยะยาว ไม่ใช่การโจมตีแบบทำลายล้าง โดยเฉพาะการเจาะผ่านบริษัท BPO (outsourcing) ที่ให้บริการกับหลายองค์กร ทำให้สามารถเข้าถึงเหยื่อจำนวนมากได้ในคราวเดียว

เกร็ดน่ารู้เพิ่มเติม
“Dead drop” เป็นเทคนิคที่สายลับใช้ในการแลกเปลี่ยนข้อมูลโดยไม่พบกันโดยตรง
AirWatch (Workspace ONE) เป็นระบบ MDM ที่ใช้กันอย่างแพร่หลายในองค์กรขนาดใหญ่
การโจมตีแบบ supply chain เคยเกิดขึ้นแล้วในกรณี SolarWinds และ 3CX ซึ่งสร้างความเสียหายมหาศาล

Airstalk คือมัลแวร์จารกรรมระดับสูง
มีทั้งเวอร์ชัน PowerShell และ .NET
ขโมยข้อมูลจากเบราว์เซอร์ เช่น cookies, bookmarks, screenshots
ใช้ API ของ VMware AirWatch เป็นช่องทางสื่อสารลับ

เทคนิคการโจมตี
ใช้ “custom device attributes” และ “file uploads” เพื่อส่งคำสั่ง
ใช้ endpoint /api/mdm/devices/ และ /api/mam/blobs/uploadblob
สื่อสารแบบ “dead drop” โดยไม่ต้องเชื่อมต่อโดยตรง

ความสามารถของเวอร์ชัน .NET
รองรับ multi-threaded communication
มีระบบ debug, beaconing ทุก 10 นาที
รองรับเบราว์เซอร์หลายตัว เช่น Chrome, Edge, Island

เทคนิคหลบเลี่ยงการตรวจจับ
ใช้ใบรับรองดิจิทัลที่ถูกขโมย
เปลี่ยน timestamp ของไฟล์
ลบตัวเองหลังจากทำงานเสร็จ

ความเสี่ยงจากการใช้ MDM เป็นช่องทางโจมตี
ทำให้มัลแวร์แฝงตัวในระบบที่องค์กรไว้วางใจ
ยากต่อการตรวจจับโดยระบบป้องกันทั่วไป
อาจเข้าถึงข้อมูลของหลายองค์กรผ่านผู้ให้บริการ BPO

ความเสี่ยงต่อความมั่นคงขององค์กร
ข้อมูลสำคัญอาจถูกขโมยโดยไม่รู้ตัว
การโจมตีแบบ supply chain ทำให้ยากต่อการควบคุม
อาจนำไปสู่การจารกรรมระดับชาติหรืออุตสาหกรรม

https://securityonline.info/nation-state-espionage-airstalk-malware-hijacks-vmware-airwatch-mdm-api-for-covert-c2-channel/

🕵️‍♂️ Airstalk: มัลแวร์สายลับระดับชาติ แฝงตัวผ่านระบบ MDM ของ VMware เพื่อขโมยข้อมูลแบบไร้ร่องรอย นักวิจัยจาก Unit 42 แห่ง Palo Alto Networks พบมัลแวร์ใหม่ชื่อ Airstalk ที่ใช้ API ของ VMware AirWatch (Workspace ONE) เป็นช่องทางสื่อสารลับ (C2) เพื่อขโมยข้อมูลจากองค์กรผ่านการโจมตีแบบ supply chain Airstalk ไม่ใช่มัลแวร์ธรรมดา แต่มันคือเครื่องมือจารกรรมที่ถูกออกแบบมาอย่างชาญฉลาด โดยมีทั้งเวอร์ชัน PowerShell และ .NET ซึ่งสามารถขโมยข้อมูลจากเบราว์เซอร์ เช่น cookies, bookmarks, ประวัติการใช้งาน และภาพหน้าจอ สิ่งที่ทำให้ Airstalk น่ากลัวคือมันใช้ API ของ AirWatch ซึ่งเป็นระบบจัดการอุปกรณ์พกพา (MDM) ที่องค์กรจำนวนมากใช้ในการควบคุมมือถือและแท็บเล็ตของพนักงาน โดย Airstalk แอบใช้ฟีเจอร์ “custom device attributes” และ “file uploads” เพื่อส่งคำสั่งและรับข้อมูลกลับจากเครื่องเหยื่อ — เหมือนกับการใช้ “ตู้ฝากของลับ” แบบสายลับ มัลแวร์นี้ยังใช้เทคนิคขั้นสูง เช่น การเซ็นชื่อดิจิทัลด้วยใบรับรองที่ถูกขโมย การเปลี่ยนแปลง timestamp ของไฟล์ และการลบตัวเองหลังจากทำงานเสร็จ เพื่อหลบเลี่ยงการตรวจจับ Unit 42 เชื่อว่ามัลแวร์นี้ถูกใช้โดยกลุ่มที่ได้รับการสนับสนุนจากรัฐ (nation-state actor) และมีเป้าหมายคือการจารกรรมระยะยาว ไม่ใช่การโจมตีแบบทำลายล้าง โดยเฉพาะการเจาะผ่านบริษัท BPO (outsourcing) ที่ให้บริการกับหลายองค์กร ทำให้สามารถเข้าถึงเหยื่อจำนวนมากได้ในคราวเดียว 🧠 เกร็ดน่ารู้เพิ่มเติม 💠 “Dead drop” เป็นเทคนิคที่สายลับใช้ในการแลกเปลี่ยนข้อมูลโดยไม่พบกันโดยตรง 💠 AirWatch (Workspace ONE) เป็นระบบ MDM ที่ใช้กันอย่างแพร่หลายในองค์กรขนาดใหญ่ 💠 การโจมตีแบบ supply chain เคยเกิดขึ้นแล้วในกรณี SolarWinds และ 3CX ซึ่งสร้างความเสียหายมหาศาล ✅ Airstalk คือมัลแวร์จารกรรมระดับสูง ➡️ มีทั้งเวอร์ชัน PowerShell และ .NET ➡️ ขโมยข้อมูลจากเบราว์เซอร์ เช่น cookies, bookmarks, screenshots ➡️ ใช้ API ของ VMware AirWatch เป็นช่องทางสื่อสารลับ ✅ เทคนิคการโจมตี ➡️ ใช้ “custom device attributes” และ “file uploads” เพื่อส่งคำสั่ง ➡️ ใช้ endpoint /api/mdm/devices/ และ /api/mam/blobs/uploadblob ➡️ สื่อสารแบบ “dead drop” โดยไม่ต้องเชื่อมต่อโดยตรง ✅ ความสามารถของเวอร์ชัน .NET ➡️ รองรับ multi-threaded communication ➡️ มีระบบ debug, beaconing ทุก 10 นาที ➡️ รองรับเบราว์เซอร์หลายตัว เช่น Chrome, Edge, Island ✅ เทคนิคหลบเลี่ยงการตรวจจับ ➡️ ใช้ใบรับรองดิจิทัลที่ถูกขโมย ➡️ เปลี่ยน timestamp ของไฟล์ ➡️ ลบตัวเองหลังจากทำงานเสร็จ ‼️ ความเสี่ยงจากการใช้ MDM เป็นช่องทางโจมตี ⛔ ทำให้มัลแวร์แฝงตัวในระบบที่องค์กรไว้วางใจ ⛔ ยากต่อการตรวจจับโดยระบบป้องกันทั่วไป ⛔ อาจเข้าถึงข้อมูลของหลายองค์กรผ่านผู้ให้บริการ BPO ‼️ ความเสี่ยงต่อความมั่นคงขององค์กร ⛔ ข้อมูลสำคัญอาจถูกขโมยโดยไม่รู้ตัว ⛔ การโจมตีแบบ supply chain ทำให้ยากต่อการควบคุม ⛔ อาจนำไปสู่การจารกรรมระดับชาติหรืออุตสาหกรรม https://securityonline.info/nation-state-espionage-airstalk-malware-hijacks-vmware-airwatch-mdm-api-for-covert-c2-channel/

SECURITYONLINE.INFO

Nation-State Espionage: Airstalk Malware Hijacks VMware AirWatch (MDM) API for Covert C2 Channel
Unit 42 exposed Airstalk, a suspected nation-state malware that abuses VMware AirWatch (MDM) APIs for a covert C2 dead drop. The tool is used to steal credentials and browser data in supply chain attacks.

0 Comments 0 Shares 97 Views 0 Reviews

Please log in to like, share and comment!
ลุงบ้าคอม shared a link
2025-10-30 11:02:33 -

WP Freeio CVE-2025-11533: เมื่อการสมัครสมาชิกกลายเป็นช่องทางยึดเว็บ

Wordfence เตือนภัยด่วน: ช่องโหว่ WP Freeio เปิดทางให้แฮกเกอร์ยึดเว็บไซต์ WordPress ได้ทันที ปลั๊กอิน WP Freeio ถูกพบช่องโหว่ร้ายแรง CVE-2025-11533 ที่เปิดโอกาสให้ผู้โจมตีสร้างบัญชีผู้ดูแลระบบโดยไม่ต้องยืนยันตัวตน ส่งผลกระทบต่อเว็บไซต์ WordPress จำนวนมากทั่วโลก
Wordfence Threat Intelligence รายงานช่องโหว่ระดับวิกฤต (CVSS 9.8) ในปลั๊กอิน WP Freeio ซึ่งเป็นส่วนหนึ่งของธีม Freeio ที่ขายบน ThemeForest โดยช่องโหว่นี้อยู่ในฟังก์ชัน process_register() ของคลาส WP_Freeio_User ที่ใช้จัดการการสมัครสมาชิก

ปัญหาเกิดจากการที่ฟังก์ชันนี้อนุญาตให้ผู้ใช้กำหนด role ได้เองผ่านฟิลด์ $_POST['role'] โดยไม่มีการตรวจสอบ ทำให้ผู้โจมตีสามารถระบุ role เป็น “administrator” และสร้างบัญชีผู้ดูแลระบบได้ทันที

Wordfence ตรวจพบการโจมตีทันทีหลังการเปิดเผยช่องโหว่เมื่อวันที่ 10 ตุลาคม 2025 และบล็อกการโจมตีไปแล้วกว่า 33,200 ครั้ง

ตัวอย่างคำขอที่ใช้โจมตี:
POST /?wpfi-ajax=wp_freeio_ajax_register&action=wp_freeio_ajax_register
Content-Type: application/x-www-form-urlencoded
role=administrator&email=attacker@gmail.com&password=xxx&confirmpassword=xxx

เมื่อได้สิทธิ์ผู้ดูแลระบบแล้ว ผู้โจมตีสามารถ:
อัปโหลดปลั๊กอินหรือธีมที่มี backdoor
แก้ไขโพสต์หรือหน้าเว็บเพื่อ redirect ไปยังเว็บไซต์อันตราย
ฝังสแปมหรือมัลแวร์ในเนื้อหา

IP ที่พบว่ามีการโจมตีจำนวนมาก เช่น:
35.178.249.28
13.239.253.194
3.25.204.16
18.220.143.136

Wordfence แนะนำให้ผู้ดูแลระบบอัปเดต WP Freeio เป็นเวอร์ชัน 1.2.22 หรือใหม่กว่าโดยด่วน

https://securityonline.info/wordfence-warns-of-active-exploits-targeting-critical-privilege-escalation-flaw-in-wp-freeio-cve-2025-11533/

🔓 WP Freeio CVE-2025-11533: เมื่อการสมัครสมาชิกกลายเป็นช่องทางยึดเว็บ Wordfence เตือนภัยด่วน: ช่องโหว่ WP Freeio เปิดทางให้แฮกเกอร์ยึดเว็บไซต์ WordPress ได้ทันที ปลั๊กอิน WP Freeio ถูกพบช่องโหว่ร้ายแรง CVE-2025-11533 ที่เปิดโอกาสให้ผู้โจมตีสร้างบัญชีผู้ดูแลระบบโดยไม่ต้องยืนยันตัวตน ส่งผลกระทบต่อเว็บไซต์ WordPress จำนวนมากทั่วโลก Wordfence Threat Intelligence รายงานช่องโหว่ระดับวิกฤต (CVSS 9.8) ในปลั๊กอิน WP Freeio ซึ่งเป็นส่วนหนึ่งของธีม Freeio ที่ขายบน ThemeForest โดยช่องโหว่นี้อยู่ในฟังก์ชัน process_register() ของคลาส WP_Freeio_User ที่ใช้จัดการการสมัครสมาชิก ปัญหาเกิดจากการที่ฟังก์ชันนี้อนุญาตให้ผู้ใช้กำหนด role ได้เองผ่านฟิลด์ $_POST['role'] โดยไม่มีการตรวจสอบ ทำให้ผู้โจมตีสามารถระบุ role เป็น “administrator” และสร้างบัญชีผู้ดูแลระบบได้ทันที Wordfence ตรวจพบการโจมตีทันทีหลังการเปิดเผยช่องโหว่เมื่อวันที่ 10 ตุลาคม 2025 และบล็อกการโจมตีไปแล้วกว่า 33,200 ครั้ง 🔖 ตัวอย่างคำขอที่ใช้โจมตี: POST /?wpfi-ajax=wp_freeio_ajax_register&action=wp_freeio_ajax_register Content-Type: application/x-www-form-urlencoded role=administrator&email=attacker@gmail.com&password=xxx&confirmpassword=xxx เมื่อได้สิทธิ์ผู้ดูแลระบบแล้ว ผู้โจมตีสามารถ: 💠 อัปโหลดปลั๊กอินหรือธีมที่มี backdoor 💠 แก้ไขโพสต์หรือหน้าเว็บเพื่อ redirect ไปยังเว็บไซต์อันตราย 💠 ฝังสแปมหรือมัลแวร์ในเนื้อหา IP ที่พบว่ามีการโจมตีจำนวนมาก เช่น: 💠 35.178.249.28 💠 13.239.253.194 💠 3.25.204.16 💠 18.220.143.136 Wordfence แนะนำให้ผู้ดูแลระบบอัปเดต WP Freeio เป็นเวอร์ชัน 1.2.22 หรือใหม่กว่าโดยด่วน https://securityonline.info/wordfence-warns-of-active-exploits-targeting-critical-privilege-escalation-flaw-in-wp-freeio-cve-2025-11533/

SECURITYONLINE.INFO

Wordfence Warns of Active Exploits Targeting Critical Privilege Escalation Flaw in WP Freeio (CVE-2025-11533)
Urgent patch for WP Freeio plugin (v.< 1.2.22). Unauthenticated attackers can gain admin control instantly via a registration flaw. Update immediately to v.1.2.22.

0 Comments 0 Shares 139 Views 0 Reviews

Please log in to like, share and comment!

More Results