มีการค้นพบมัลแวร์ตัวใหม่ที่ชื่อว่า Eleven11bot ซึ่งติดตั้งไปยังอุปกรณ์ IoT (Internet of Things) กว่า 86,000 เครื่อง โดยเฉพาะอย่างยิ่งในกล้องวงจรปิดและ Network Video Recorders (NVRs) เพื่อทำการโจมตี DDoS (Distributed Denial of Service) ผู้เชี่ยวชาญจาก Nokia ได้ตรวจพบ Eleven11bot และแชร์ข้อมูลนี้กับแพลตฟอร์มการติดตามภัยคุกคาม GreyNoise Jérôme Meyer นักวิจัยความปลอดภัยของ Nokia กล่าวว่า Eleven11bot เป็นหนึ่งในบ็อตเน็ตที่ใหญ่ที่สุดที่พวกเขาเคยเห็นในช่วงหลายปีที่ผ่านมา และมาจากอุปกรณ์ IoT ที่ถูกเจาะระบบ ซึ่งส่วนใหญ่มาจากกล้องวงจรปิดและ NVRs บ็อตเน็ต Eleven11bot นี้ถูกใช้เพื่อโจมตีให้บริการโทรคมนาคมและเซิร์ฟเวอร์เกมออนไลน์หลายแห่ง โดยในวันนี้ แพลตฟอร์มการติดตามภัยคุกคาม The Shadowserver Foundation รายงานว่าพบอุปกรณ์ที่ติดเชื้อจาก Eleven11bot กว่า 86,400 เครื่องในสหรัฐฯ สหราชอาณาจักร เม็กซิโก แคนาดา และออสเตรเลีย การโจมตีจาก Eleven11bot นั้นมีปริมาณข้อมูลหลายร้อยล้านแพ็คเก็ตต่อวินาที และมักจะดำเนินไปหลายวัน โดย GreyNoise ได้บันทึก IP 1,400 แห่งที่เกี่ยวข้องกับการทำงานของบ็อตเน็ตนี้ในเดือนที่ผ่านมา ซึ่งส่วนใหญ่เป็นอุปกรณ์จริงไม่ใช่ IP ปลอม มัลแวร์นี้แพร่กระจายโดยการใช้ช่องโหว่ของรหัสผ่านที่อ่อนแอหรือรหัสผ่านที่เป็นค่าเริ่มต้นของอุปกรณ์ IoT ทำให้แฮกเกอร์สามารถเข้าถึงอุปกรณ์เหล่านี้ได้ นอกจากนี้ยังมีการสแกนพอร์ต Telnet และ SSH ที่เปิดอยู่ในเครือข่ายเพื่อหาช่องทางในการเจาะระบบ GreyNoise ได้เผยแพร่รายชื่อ IP ที่เกี่ยวข้องกับ Eleven11bot และแนะนำให้ผู้ดูแลระบบเพิ่มรายการนี้ในบล็อกลิสต์ของพวกเขา และเฝ้าระวังการพยายามเข้าสู่ระบบที่น่าสงสัย เพื่อป้องกันการโจมตีนี้ ขอแนะนำให้ผู้ใช้งานตรวจสอบให้อุปกรณ์ IoT ของพวกเขาใช้เฟิร์มแวร์เวอร์ชันล่าสุดและปิดฟีเจอร์การเข้าถึงระยะไกลหากไม่จำเป็น ควรเปลี่ยนรหัสผ่านของบัญชีผู้ดูแลระบบให้แข็งแรงและไม่ซ้ำกับค่าเริ่มต้น นอกจากนี้ควรตรวจสอบว่าอุปกรณ์ที่ใช้งานยังได้รับการสนับสนุนจากผู้ผลิตหรือไม่ และหากอุปกรณ์ถึงจุดสิ้นสุดของการสนับสนุน (EOL) ก็ควรเปลี่ยนเป็นรุ่นใหม่ที่มีความปลอดภัยมากขึ้น https://www.bleepingcomputer.com/news/security/new-eleven11bot-botnet-infects-86-000-devices-for-ddos-attacks/

ไม่นานมานี้มีการวิจัยพบความเชื่อมโยงระหว่างกลุ่มแรนซัมแวร์ Black Basta และ Cactus โดยพบว่าทั้งสองกลุ่มใช้วิธีการโจมตีที่คล้ายกันผ่านทาง Microsoft Teams และมัลแวร์ BackConnect ในเดือนมกราคม Zscaler พบตัวอย่างมัลแวร์ Zloader ที่มีฟีเจอร์ DNS tunneling ใหม่ ต่อมา Walmart พบว่า Zloader กำลังปล่อยมันเป็นมัลแวร์พร็อกซี BackConnect ที่เชื่อมต่อกับมัลแวร์ Qbot (QakBot) มัลแวร์ BackConnect ทำหน้าที่เป็นเครื่องมือพร็อกซีสำหรับการเข้าถึงเซิร์ฟเวอร์ที่ถูกโจมตีจากระยะไกล โดยช่วยให้แฮกเกอร์สามารถทำการโจมตีและซ่อนกิจกรรมของพวกเขาในเครือข่ายของเหยื่อโดยไม่ถูกตรวจจับ ทั้ง Zloader, Qbot และ BackConnect เชื่อมโยงกับกลุ่มแรนซัมแวร์ Black Basta ซึ่งใช้มัลแวร์เหล่านี้ในการเจาะเครือข่ายองค์กรและขยายการโจมตี Trend Micro รายงานว่ากลุ่มแรนซัมแวร์ Cactus ก็ใช้ BackConnect ในการโจมตีเช่นกัน โดยทั้งสองกลุ่มมีลักษณะการโจมตีที่คล้ายกัน คือการส่งอีเมลจำนวนมากมายังเป้าหมายเพื่อกระตุ้นความสนใจ จากนั้นจะติดต่อเป้าหมายผ่าน Microsoft Teams โดยแสร้งเป็นเจ้าหน้าที่ฝ่ายช่วยเหลือทางไอที และหลอกลวงเหยื่อให้เปิดการเข้าถึงระยะไกลผ่าน Windows Quick Assist การโจมตีของทั้งสองกลุ่มมีความคล้ายคลึงกันมาก เช่น การใช้เซิร์ฟเวอร์ Command and Control ที่เคยเชื่อมโยงกับ Black Basta กลุ่มแรนซัมแวร์ Black Basta เริ่มต้นขึ้นในเดือนเมษายน 2022 และมีสมาชิกที่เคยเป็นส่วนหนึ่งของกลุ่ม Conti ซึ่งถูกยุบในเดือนพฤษภาคม 2022 หลังจากข้อมูลภายในของกลุ่มรั่วไหล ในรายงานของ Trend Micro พบว่ากลุ่มแรนซัมแวร์ Cactus เกิดขึ้นในปี 2023 และใช้วิธีการโจมตีที่คล้ายคลึงกับ Black Basta แสดงถึงความเชื่อมโยงหรือความร่วมมือระหว่างสมาชิกของทั้งสองกลุ่ม https://www.bleepingcomputer.com/news/security/microsoft-teams-tactics-malware-connect-black-basta-cactus-ransomware/

VTT Technical Research Centre of Finland ร่วมกับ IQM Quantum Computers ได้เปิดตัวคอมพิวเตอร์ควอนตัมแบบใหม่ที่มีขนาด 50-qubit เป็นครั้งแรกในยุโรป โดยคอมพิวเตอร์ควอนตัมตัวใหม่นี้จะเปิดให้ใช้งานสำหรับนักวิจัยและบริษัทต่างๆ ผ่านบริการ VTT QX quantum computing service การเปิดตัวครั้งนี้ช่วยเพิ่มความแข็งแกร่งให้กับฟินแลนด์ในฐานะประเทศที่สามารถพัฒนาและลงทุนในเทคโนโลยีควอนตัมได้อย่างยิ่งใหญ่ ย้อนกลับไปในเดือนพฤศจิกายนปี 2020 รัฐบาลฟินแลนด์ได้ประกาศแผนการพัฒนาคอมพิวเตอร์ควอนตัมขนาด 50-qubit ด้วยงบประมาณทั้งหมด 20.7 ล้านยูโร และในวันนี้คอมพิวเตอร์ควอนตัมตัวใหม่นี้ก็พร้อมใช้งานแล้ว เพื่อให้บริษัทและนักวิจัยสามารถพัฒนาแอปพลิเคชันควอนตัมคอมพิวติ้งในด้านต่างๆ อย่างการจำลองและโมเดลลิ่งวัสดุ การแก้ปัญหาการปรับปรุงประสิทธิภาพ และปัญญาประดิษฐ์ รองประธานบริหารของ VTT, Erja Turunen, กล่าวว่าการพัฒนาและสร้างคอมพิวเตอร์ควอนตัมขนาด 50-qubit แสดงให้เห็นว่าฟินแลนด์เป็นผู้นำระดับโลกในด้านนี้ คอมพิวเตอร์ควอนตัมตัวใหม่นี้จะช่วยให้พัฒนาการแอปพลิเคชันและอัลกอริทึมใหม่ๆ สำหรับการจำลองและโมเดลลิ่งวัสดุ ปัญหาการปรับปรุงประสิทธิภาพ และปัญญาประดิษฐ์ได้อย่างมาก การพัฒนาโครงการนี้แบ่งออกเป็นสามช่วง เริ่มจากการพัฒนาคอมพิวเตอร์ควอนตัมขนาด 5-qubit ในปี 2021 และต่อมาในฤดูใบไม้ผลิปี 2022 ได้มีการเชื่อมต่อกับซูเปอร์คอมพิวเตอร์ LUMI ของ CSC สำหรับการใช้งานของนักวิจัยชาวฟินแลนด์ และยังเปิดใช้งานให้กับผู้ใช้งานทางธุรกิจอีกด้วย คอมพิวเตอร์ควอนตัมขนาด 20-qubit ได้รับการพัฒนาในปี 2023 และในขั้นตอนสุดท้ายได้ถูกยกระดับเป็น 50 qubits ทำให้สามารถทำการคำนวณที่ไม่สามารถทำได้ด้วยคอมพิวเตอร์คลาสสิก การเปิดตัวคอมพิวเตอร์ควอนตัมขนาด 50 qubits เป็นก้าวสำคัญในเทคโนโลยีนี้ โดยทำให้สามารถลดเสียงรบกวนของคอมพิวเตอร์และเพิ่มจำนวน qubits ที่ใช้ในการคำนวณอย่างมีประสิทธิภาพมากขึ้น https://www.techpowerup.com/333563/vtt-and-iqm-launch-first-50-qubit-quantum-computer-developed-in-europe

ลุงไม่รู้ว่ายังมีใครใช้ VMware กันอยู่ไหมนะ Broadcom ได้ทำการอัปเดตระบบเพื่อแก้ไขช่องโหว่สามจุดที่ถูกโจมตีโดยแฮกเกอร์ ช่องโหว่เหล่านี้ถูกค้นพบและรายงานโดย Microsoft Threat Intelligence Center โดยช่องโหว่นี้มีผลกระทบต่อผลิตภัณฑ์ของ VMware เช่น VMware ESXi, vSphere, Workstation, Fusion, Cloud Foundation และ Telco Cloud Platform ช่องโหว่ทั้ง 3 ที่ถูกระบุว่าเป็นช่องโหว่ร้ายแรงและมีการโจมตีแล้ว ได้แก่: - CVE-2025-22224: เป็นช่องโหว่ VCMI heap overflow ที่อนุญาตให้ผู้โจมตีที่มีสิทธิ์ผู้ดูแลระบบใน VM สามารถรันโค้ดในกระบวนการ VMX บนโฮสต์ได้ - CVE-2025-22225: เป็นช่องโหว่ที่อนุญาตให้กระบวนการ VMX ทำการเขียนข้อมูลเข้าสู่เคอร์เนลแบบไม่มีการยืนยันตัวตน ทำให้เกิดการหนีออกจากแซนด์บ็อกซ์ (sandbox escape) - CVE-2025-22226: เป็นช่องโหว่ที่เกี่ยวกับการเปิดเผยข้อมูล (HGFS information-disclosure flaw) ที่อนุญาตให้ผู้โจมตีที่มีสิทธิ์ผู้ดูแลระบบสามารถดึงข้อมูลหน่วยความจำจากกระบวนการ VMX ได้ ช่องโหว่เหล่านี้ถูกโจมตีในสภาพแวดล้อมจริง ๆ แล้ว Broadcom ได้รับข้อมูลการโจมตีที่เกิดขึ้นจริงและออกมาประกาศเตือนลูกค้าให้ทำการอัปเดตระบบโดยเร็ว สำหรับผู้ที่ใช้งาน VMware ในองค์กร ควรตรวจสอบและอัปเดตระบบให้เป็นรุ่นล่าสุดเพื่อลดความเสี่ยงจากการโจมตี ทั้งนี้ VMware เป็นหนึ่งในเป้าหมายหลักของกลุ่มแรนซัมแวร์และแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐ เนื่องจากใช้งานในองค์กรใหญ่ ๆ ในการเก็บและส่งข้อมูลสำคัญ Broadcom ได้เตือนเมื่อเดือนพฤศจิกายนที่ผ่านมาว่ามีการโจมตีช่องโหว่ของ VMware vCenter Server ที่ถูกแพตช์ในเดือนกันยายน ช่องโหว่นี้อนุญาตให้ทำการยกระดับสิทธิ์ไปถึง root (CVE-2024-38813) และการรันโค้ดจากระยะไกล (CVE-2024-38812) นอกจากนี้ในเดือนมกราคม 2024 Broadcom ยังได้เปิดเผยว่ามีการโจมตีช่องโหว่ของ vCenter Server ที่สำคัญ (CVE-2023-34048) ตั้งแต่ปลายปี 2021 ที่ใช้ในการติดตั้ง backdoor ใน ESXi hosts https://www.bleepingcomputer.com/news/security/broadcom-fixes-three-vmware-zero-days-exploited-in-attacks/

หน่วยงานด้านความมั่นคงปลอดภัยทางไซเบอร์ของสหรัฐฯ (CISA) ได้เตือนหน่วยงานรัฐบาลให้เสริมความปลอดภัยของระบบจากการโจมตีที่ใช้ช่องโหว่ในระบบของ Cisco และ Windows ซึ่งถูกระบุว่าเป็นช่องโหว่ที่ถูกโจมตีอย่างแข็งขัน ช่องโหว่แรก (CVE-2023-20118) ทำให้ผู้โจมตีสามารถรันคำสั่งใด ๆ บนอุปกรณ์ VPN เราเตอร์รุ่น RV016, RV042, RV042G, RV082, RV320, และ RV325 ของ Cisco ได้ แม้ว่าผู้โจมตีต้องการข้อมูลการเข้าถึงระดับผู้ดูแลระบบที่ถูกต้อง แต่ก็สามารถเชื่อมโยงกับการเลี่ยงการยืนยันตัวตน (CVE-2023-20025) ที่ให้สิทธิ์ root ได้เช่นกัน ช่องโหว่นี้ถูกระบุและประกาศในเดือนมกราคม 2023 และมีการเผยแพร่โค้ดการโจมตีให้เห็นในที่สาธารณะ ช่องโหว่ที่สอง (CVE-2018-8639) เป็นช่องโหว่ใน Win32k ที่ทำให้ผู้โจมตีในระบบสามารถรันโค้ดในโหมดเคอร์เนลได้ ซึ่งการโจมตีสำเร็จจะทำให้ผู้โจมตีสามารถเปลี่ยนข้อมูลหรือสร้างบัญชีผู้ใช้ใหม่ที่มีสิทธิ์เต็มบนอุปกรณ์ Windows ที่มีช่องโหว่นี้ CISA ได้เพิ่มช่องโหว่ทั้งสองนี้ในรายการช่องโหว่ที่ถูกโจมตี และกำหนดให้หน่วยงานรัฐบาล (FCEB) ต้องเสริมความปลอดภัยในเครือข่ายภายในสามสัปดาห์หรือภายในวันที่ 23 มีนาคม สิ่งที่น่าสนใจคือ ทั้ง Microsoft และ Cisco ยังไม่ได้ปรับปรุงประกาศความปลอดภัยหลังจาก CISA ระบุว่าช่องโหว่นี้ถูกโจมตี นอกจากนี้ในเดือนกุมภาพันธ์ที่ผ่านมา CISA ยังได้ประกาศว่าช่องโหว่ใน Microsoft Outlook (CVE-2024-21413) ถูกโจมตีและกำหนดให้หน่วยงานรัฐบาลต้องอัปเดตระบบภายในวันที่ 27 กุมภาพันธ์ https://www.bleepingcomputer.com/news/security/cisa-tags-windows-and-cisco-vulnerabilities-as-actively-exploited/

มีการรายงานเกี่ยวกับปัญหาการใช้งาน Microsoft 365 ที่ส่งผลกระทบต่อผู้ใช้ Teams ทำให้ไม่สามารถรับสายและเกิดปัญหาในการยืนยันตัวตนได้ นอกจากนี้ ผู้ใช้ยังรายงานว่ามีปัญหาในการเชื่อมต่อกับบริการอื่น ๆ เช่น Outlook, OneDrive และ Exchange โดยเหตุการณ์นี้เริ่มต้นขึ้นเมื่อประมาณหนึ่งชั่วโมงที่แล้วและยังคงดำเนินต่อไป Microsoft ได้ออกประกาศในศูนย์ดูแลระบบ Microsoft 365 โดยระบุว่า "ผู้ใช้อาจไม่สามารถรับสายผ่านระบบรับสายอัตโนมัติและคิวสายของ Microsoft Teams ได้" และกล่าวว่ากำลังวิเคราะห์ข้อมูลการบริการและเมทาดาท้าของสายเพื่อทำความเข้าใจลักษณะของผลกระทบและกำหนดขั้นตอนถัดไป แม้ว่า Microsoft จะบอกว่าเหตุการณ์นี้ส่งผลเฉพาะกับแพลตฟอร์มการสื่อสารของ Teams แต่ผู้ใช้รายงานว่าผลกระทบกว้างขวางมากกว่านั้น และยังพบปัญหาการเชื่อมต่อกับ Outlook, OneDrive และ Exchange วันนี้ บริษัทยังได้เตือนในหน้าสถานะสุขภาพการบริการว่า ลูกค้าในแคนาดากำลังประสบปัญหาการยืนยันตัวตนและการเชื่อมต่อเมื่อพยายามเข้าถึงบริการ Microsoft 365 หลายรายการ เช่น Exchange Online, Microsoft Teams และศูนย์ดูแลระบบ Microsoft 365 ในสุดสัปดาห์ที่ผ่านมา Microsoft ได้แก้ไขปัญหาที่เกิดขึ้นกับ Outlook และ Exchange Online ซึ่งส่งผลกระทบต่อการยืนยันตัวตนและทำให้การใช้งาน Teams และ Power Platform ลดลง ทั้งนี้ บริษัทเชื่อมโยงเหตุการณ์นี้กับปัญหาการเขียนโค้ดในอัปเดตล่าสุดของระบบการยืนยันตัวตนของ Microsoft 365 นอกจากนี้ ในสัปดาห์ที่ผ่านมา Microsoft ได้แก้ไขปัญหาที่เกิดจากการเปลี่ยนแปลง DNS ซึ่งทำให้เกิดข้อผิดพลาดในการยืนยันตัวตนของ Entra ID สำหรับลูกค้าที่ใช้ Seamless SSO และ Microsoft Entra Connect Sync https://www.bleepingcomputer.com/news/microsoft/new-microsoft-365-outage-impacts-teams-causes-call-failures/

มีข่าวล่าสุดจาก BleepingComputer เกี่ยวกับการที่กลุ่มแรนซัมแวร์ใช้ช่องโหว่ในโปรแกรม Paragon Partition Manager ในการโจมตีแบบ BYOVD (Bring Your Own Vulnerable Driver) เพื่อยกระดับสิทธิ์ในระบบ Windows Microsoft พบข้อบกพร่อง 5 จุดในไดรเวอร์ BioNTdrv.sys ของ Paragon Partition Manager หนึ่งในนั้นคือ CVE-2025-0289 ที่ถูกใช้ในการโจมตีแบบศูนย์วันโดยกลุ่มแรนซัมแวร์เพื่อยกระดับสิทธิ์เป็น SYSTEM บน Windows การโจมตีแบบ BYOVD คือการที่แฮกเกอร์นำไดรเวอร์ที่มีช่องโหว่มาใช้ในระบบที่เป้าหมาย แม้ว่า Paragon Partition Manager จะไม่ได้ติดตั้งในระบบก็ยังสามารถถูกโจมตีได้ นักวิจัยจาก Microsoft พบว่าข้อบกพร่องที่ค้นพบมีดังนี้: 1) CVE-2025-0288 – เขียนข้อมูลในหน่วยความจำของเคอร์เนลอย่างไม่ถูกต้อง ทำให้แฮกเกอร์สามารถเขียนข้อมูลและยกระดับสิทธิ์ได้ 2)CVE-2025-0287 – การเข้าถึงชี้ตำแหน่ง null pointer ทำให้สามารถรันโค้ดที่เป็นอันตรายในเคอร์เนลได้ 3)CVE-2025-0286 – เขียนข้อมูลในหน่วยความจำของเคอร์เนลอย่างไม่ถูกต้อง ทำให้แฮกเกอร์สามารถรันโค้ดที่เป็นอันตรายได้ 4)CVE-2025-0285 – การแมปหน่วยความจำของเคอร์เนลอย่างไม่ถูกต้อง ทำให้แฮกเกอร์สามารถยกระดับสิทธิ์โดยการปรับเปลี่ยนการแมปหน่วยความจำ 5) CVE-2025-0289 – การเข้าถึงทรัพยากรของเคอร์เนลอย่างไม่ปลอดภัย ทำให้แฮกเกอร์สามารถรันคำสั่งที่เป็นอันตรายได้ ผู้ใช้ที่ใช้ซอฟต์แวร์ Paragon Partition Manager ควรอัปเกรดเป็นเวอร์ชันล่าสุดเพื่อแก้ไขข้อบกพร่องเหล่านี้ นอกจากนี้ Microsoft ยังได้อัปเดตรายการบล็อกไดรเวอร์ที่มีช่องโหว่เพื่อป้องกันการโหลดไดรเวอร์ที่มีปัญหาบน Windows สิ่งที่น่าสนใจคือ การโจมตีแบบ BYOVD กำลังเป็นที่นิยมในกลุ่มแรนซัมแวร์ เนื่องจากช่วยให้แฮกเกอร์สามารถยกระดับสิทธิ์ในระบบได้ง่ายขึ้น กลุ่มแรนซัมแวร์ที่เป็นที่รู้จักในใช้การโจมตีแบบนี้ ได้แก่ Scattered Spider, Lazarus, BlackByte, และ LockBit การป้องกันจากการโจมตีเหล่านี้ ผู้ใช้ควรตรวจสอบและเปิดใช้งานฟีเจอร์ "Microsoft Vulnerable Driver Blocklist" ในการตั้งค่าความปลอดภัยของ Windows === การเปิดใช้งานฟีเจอร์ "Microsoft Vulnerable Driver Blocklist" === ใน Windows 11 สามารถทำได้ตามขั้นตอนดังนี้: 1) เปิดแอป Windows Security: - กดปุ่ม Windows แล้วพิมพ์ Windows Security ในช่องค้นหา จากนั้นคลิกที่ผลลัพธ์ที่เกี่ยวข้อง 2) ไปที่ Device security: - ในหน้าต่าง Windows Security คลิกที่ Device security ทางด้านซ้าย 3) คลิกที่ Core isolation details: - ในหน้าต่าง Device security คลิกที่ลิงก์ Core isolation details 4) เปิดใช้งาน Microsoft Vulnerable Driver Blocklist: - ในหน้าต่าง Core isolation details ให้เปิดสวิตช์ Microsoft Vulnerable Driver Blocklist ให้เป็น On 5) หากมีการแจ้งเตือนจาก UAC (User Account Control) ให้คลิก Yes เพื่อยืนยันการเปลี่ยนแปลง 6) ปิดหน้าต่าง Windows Security: - เมื่อเปิดใช้งานเรียบร้อยแล้ว คุณสามารถปิดหน้าต่าง Windows Security ได้ หากคุณพบว่าตัวเลือกนี้ถูกปิดใช้งาน (greyed out) คุณอาจต้องตรวจสอบว่าฟีเจอร์อื่น ๆ เช่น Memory Integrity (HVCI), Smart App Control, หรือ S mode ถูกเปิดใช้งานอยู่หรือไม่ หากเปิดใช้งานอยู่ คุณอาจต้องปิดฟีเจอร์เหล่านี้ก่อนเพื่อเปิดใช้งาน Microsoft Vulnerable Driver Blocklist https://www.bleepingcomputer.com/news/security/ransomware-gangs-exploit-paragon-partition-manager-bug-in-byovd-attacks/

Spec คอมพิวเตอร์แนะนำวันนี้ Core ultra รุ่น non-k ขอขอบคุณข้อมูลราคาจากร้าน Advice ครับ #spec #computer #advice

Microsoft ได้ระบุรายชื่อของกลุ่มอาชญากรไซเบอร์ที่ถูกกล่าวหาว่าพัฒนาซอฟต์แวร์ที่เป็นอันตรายเพื่อข้ามการป้องกันของปัญญาประดิษฐ์ (AI) และสร้างเนื้อหา deepfake ของคนดังและเนื้อหาอื่น ๆ ที่ผิดกฎหมาย กลุ่มนี้ถูกติดตามโดย Microsoft ในชื่อ Storm-2139 และมีสมาชิกหลักคือ Arian Yadegarnia จากอิหร่าน (หรือที่รู้จักในชื่อ 'Fiz'), Alan Krysiak จากสหราชอาณาจักร (หรือที่รู้จักในชื่อ 'Drago'), Ricky Yuen จากฮ่องกง (หรือที่รู้จักในชื่อ 'cg-dot'), และ Phát Phùng Tấn จากเวียดนาม (หรือที่รู้จักในชื่อ 'Asakuri') วิธีการทำงานของกลุ่ม Storm-2139 สมาชิกของ Storm-2139 ใช้ข้อมูลประจำตัวของลูกค้าที่ถูกขโมยจากแหล่งที่เปิดเผยสู่สาธารณะเพื่อเข้าถึงบัญชีในบริการ AI สร้างเนื้อหา จากนั้นพวกเขาจะปรับเปลี่ยนความสามารถของบริการเหล่านั้นและขายการเข้าถึงให้กับกลุ่มอาชญากรอื่น ๆ พร้อมกับคำแนะนำในการสร้างเนื้อหาที่ผิดกฎหมาย เช่น ภาพลามกอนาจารของคนดัง การจัดการของกลุ่ม กลุ่มอาชญากรไซเบอร์ Storm-2139 แบ่งการทำงานออกเป็นสามประเภท: ผู้สร้างเครื่องมือ (creators), ผู้แจกจ่ายเครื่องมือ (providers), และผู้ใช้เครื่องมือ (users) ผู้สร้างเครื่องมือพัฒนาซอฟต์แวร์ที่ช่วยในการใช้บริการ AI ในทางที่ผิด ผู้แจกจ่ายเครื่องมือทำการปรับแต่งและเผยแพร่ซอฟต์แวร์นั้นให้กับผู้ใช้ ผู้ใช้จะใช้ซอฟต์แวร์เพื่อสร้างเนื้อหาที่ละเมิดนโยบายการใช้งานของ Microsoft มาตรการทางกฎหมาย Microsoft ได้ยื่นฟ้องกลุ่มนี้ในศาล Eastern District of Virginia ในเดือนธันวาคม 2024 และมีการออกคำสั่งห้ามชั่วคราวเพื่อหยุดการกระทำของพวกเขา นอกจากนี้ยังมีการยึดเว็บไซต์ที่เกี่ยวข้องกับกลุ่มเพื่อป้องกันการใช้บริการอย่างผิดกฎหมาย Microsoft ยังได้รับอีเมลหลายฉบับจากสมาชิกกลุ่ม Storm-2139 ที่ตำหนิซึ่งกันและกันในเรื่องการกระทำที่เป็นอันตราย การดำเนินการต่อไป Microsoft ตั้งเป้าที่จะหยุดการกระทำของกลุ่มนี้และดำเนินการสืบสวนเพิ่มเติมเพื่อป้องกันการนำ AI ไปใช้ในทางที่ผิดในอนาคต และเตรียมการส่งข้อมูลทางอาญาไปยังหน่วยงานบังคับใช้กฎหมายในสหรัฐฯ และต่างประเทศ https://www.bleepingcomputer.com/news/microsoft/microsoft-names-cybercriminals-behind-ai-deepfake-network/

น่าสนใจมากครับ Exo software ซึ่งเป็นโซลูชันปัญญาประดิษฐ์แบบกระจายที่สามารถทำงานได้แม้กระทั่งบนสมาร์ทโฟนและคอมพิวเตอร์เครื่องเก่าๆ Exo ช่วยลดความจำเป็นในการใช้ระบบที่มีประสิทธิภาพสูงสำหรับการทำงานแบบ inference ของปัญญาประดิษฐ์ โดยปกติแล้ว การรันโมเดลปัญญาประดิษฐ์ขนาดใหญ่ (LLM) เช่น LLaMA, Mistral, LlaVA, Qwen และ DeepSeek ต้องใช้ฮาร์ดแวร์ที่มีประสิทธิภาพสูงและมีหน่วยความจำมาก แต่ Exo ช่วยให้ผู้ใช้สามารถรวมพลังการประมวลผลของอุปกรณ์หลายๆ เครื่อง เช่น คอมพิวเตอร์ สมาร์ทโฟน หรือแม้กระทั่ง Raspberry Pi เพื่อรันโมเดลที่ไม่สามารถเข้าถึงได้มาก่อน การทำงานของ Exo คล้ายกับโครงการ SETI@home ที่ใช้ระบบคอมพิวเตอร์ของอาสาสมัครในการกระจายภาระงานการคำนวณ โดย Exo ใช้เครือข่ายแบบ peer-to-peer (P2P) ซึ่งไม่จำเป็นต้องใช้ระบบที่มีประสิทธิภาพสูงเพียงเครื่องเดียว แต่สามารถใช้เครื่องหลายๆ เครื่องร่วมกันในการทำงาน Alex Cheema, ผู้ร่วมก่อตั้ง EXO Labs กล่าวว่า "ข้อจำกัดพื้นฐานของปัญญาประดิษฐ์คือการคำนวณ ถ้าคุณไม่มีการคำนวณที่เพียงพอ คุณก็ไม่สามารถแข่งขันได้ แต่ถ้าคุณสร้างเครือข่ายกระจายนี้ เราอาจจะสามารถทำได้" Exo สามารถติดตั้งบนระบบปฏิบัติการ Linux, macOS, Android, และ iOS โดย Windows ยังไม่รองรับ การใช้งานต้องการ Python รุ่น 3.12.0 ขึ้นไป พร้อมกับส่วนเสริมเพิ่มเติมสำหรับระบบที่ใช้ Linux และมี GPU ของ NVIDIA หนึ่งในความสามารถที่โดดเด่นของ Exo คือการที่มันไม่จำเป็นต้องใช้ GPU ที่มีประสิทธิภาพสูง เช่น AI model ที่ต้องการ RAM 16GB สามารถรันบนแล็ปท็อปสองเครื่องที่มี RAM 8GB ได้ การใช้อุปกรณ์ที่มีประสิทธิภาพน้อยกว่าอาจทำให้การทำงานล่าช้าลง แต่ทางผู้พัฒนา Exo ยืนยันว่าผลรวมของการคำนวณจะดีขึ้นเมื่อเพิ่มอุปกรณ์ในเครือข่ายมากขึ้น การรักษาความปลอดภัยเป็นสิ่งที่สำคัญเมื่อมีการแบ่งภาระงานระหว่างเครื่องหลายๆ เครื่อง ดังนั้น Exo ต้องมีการป้องกันข้อมูลรั่วไหลและการเข้าถึงที่ไม่ได้รับอนุญาต การใช้ Exo นี้อาจเป็นทางเลือกที่น่าสนใจสำหรับองค์กรที่มีทรัพยากรจำกัดในการใช้ปัญญาประดิษฐ์ https://www.techradar.com/computing/bittorrent-for-llm-exo-software-is-a-distributed-llm-solution-that-can-run-even-on-old-smartphones-and-computers

ในข่าวจาก Bleeping Computer, Microsoft ได้แก้ไขปัญหาที่เกิดขึ้นหลังจากการอัปเดต Windows ล่าสุดทำให้ผู้ใช้ไม่สามารถลากและวางอีเมลและไอเท็มปฏิทินใน Outlook แบบคลาสสิคได้ ปัญหานี้เกิดขึ้นจากการติดตั้งการอัปเดตสะสมในเดือนมกราคมและกุมภาพันธ์ 2025 บนระบบ Windows 24H2 การอัปเดตที่มีปัญหาคือ KB5050094 (การอัปเดตตัวอย่างในเดือนมกราคม 2025) และ KB5051987 (การอัปเดตด้านความปลอดภัยในเดือนกุมภาพันธ์ 2025) Microsoft ได้ออกการอัปเดต KB5052093 ในเดือนกุมภาพันธ์เพื่อแก้ไขปัญหานี้โดยเฉพาะ สำหรับผู้ใช้ที่ยังไม่ได้ติดตั้งการอัปเดตนี้ สามารถแก้ไขปัญหาชั่วคราวได้โดยการปิดใช้งานการตั้งค่า Optimize for compatibility ใน Outlook โดยทำตามขั้นตอนต่อไปนี้: 1) เลือกแท็บ File 2) เลือก Options 3) ภายใต้ตัวเลือก User interface options ในแท็บ General เลือก Optimize for best appearance ตั้งแต่ต้นปี Microsoft ได้แก้ไขปัญหา Outlook อื่นๆ หลายประการ เช่น การล้มเหลวของ Outlook แบบคลาสสิคเมื่อเขียน ตอบกลับ หรือส่งต่ออีเมล และปัญหาที่ทำให้ Outlook และแอปพลิเคชัน Microsoft 365 อื่นๆ ล้มเหลวบน Windows Server 2016 และ 2019 นอกจากนี้ยังมีการแก้ไขปัญหาชั่วคราวสำหรับปัญหาการลงชื่อเข้าใช้ Gmail และปัญหาที่ทำให้ Outlook ล้มเหลวหลังจากเปิดใช้งาน ในเดือนกุมภาพันธ์ 2025, Microsoft จะบังคับติดตั้งไคลเอนต์อีเมล Outlook ใหม่บนอุปกรณ์ Windows 10 ผ่านการอัปเดตความปลอดภัย ซึ่งเริ่มทดสอบในเดือนมกราคม 2025 https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-outlook-drag-and-drop-broken-by-windows-updates/

ไมโครซอฟท์ได้ถอดปลั๊กอินยอดนิยมสองตัวออกจาก Visual Studio Marketplace เนื่องจากพบว่ามีโค้ดที่เป็นอันตราย ปลั๊กอินที่ถูกถอดออกคือ 'Material Theme – Free' และ 'Material Theme Icons – Free' ซึ่งมียอดดาวน์โหลดรวมกันเกือบ 9 ล้านครั้ง ผู้ใช้ได้รับการแจ้งเตือนใน VSCode ว่าปลั๊กอินเหล่านี้ถูกปิดใช้งานโดยอัตโนมัติ นักวิจัยด้านความปลอดภัยทางไซเบอร์ Amit Assaraf และ Itay Kruk พบโค้ดที่น่าสงสัยในปลั๊กอินเหล่านี้และรายงานผลการค้นพบให้กับไมโครซอฟท์ ไมโครซอฟท์ได้ถอดปลั๊กอินทั้งสองออกจากตลาดและแบนผู้พัฒนา Mattia Astorino (หรือที่รู้จักในชื่อ equinusocio) ซึ่งมีปลั๊กอินหลายตัวในตลาด VSCode รวมยอดดาวน์โหลดกว่า 13 ล้านครั้ง นักวิจัยกล่าวว่าโค้ดที่เป็นอันตรายอาจถูกแทรกเข้ามาในการอัปเดตของปลั๊กอิน ซึ่งอาจเป็นการโจมตีทางซัพพลายเชนหรือบัญชีของผู้พัฒนาถูกแฮ็ก code ที่น่าสงสัยในไฟล์ 'release-notes.js' มีการเข้ารหัสอย่างหนักและมีการอ้างอิงถึงชื่อผู้ใช้และรหัสผ่านหลายครั้ง ผู้พัฒนาปลั๊กอิน Mattia Astorino อ้างว่าปัญหาเกิดจากการพึ่งพา Sanity.io ที่ล้าสมัยและไม่ได้ตั้งใจทำอันตราย เขากล่าวว่าไมโครซอฟท์ไม่ได้ติดต่อเขาเพื่อขอคำชี้แจงก่อนที่จะถอดปลั๊กอินออก ประเด็นที่น่าสนใจเพิ่มเติมคือ การโจมตีทางซัพพลายเชนเป็นปัญหาที่เพิ่มขึ้นในวงการซอฟต์แวร์ การพึ่งพาโค้ดจากบุคคลที่สามอาจทำให้เกิดความเสี่ยงด้านความปลอดภัยได้ https://www.bleepingcomputer.com/news/security/vscode-extensions-with-9-million-installs-pulled-over-security-risks/

Mozilla ได้ตอกย้ำคำมั่นว่าจะสนับสนุนส่วนขยายที่ใช้ Manifest V2 ควบคู่ไปกับ Manifest V3 ซึ่งเป็นข้อกำหนดที่ Google พัฒนาขึ้นมาเพื่อความปลอดภัยของส่วนขยายในเว็บเบราว์เซอร์ โดยจำกัดการร้องขอเครือข่ายและการโหลดเนื้อหาจากแหล่งภายนอก Manifest V3 ถูกสร้างขึ้นเพื่อลดความเสี่ยงจากการใช้ส่วนขยายที่อนุญาตเกินไป แต่กลับจำกัดการทำงานของส่วนขยายบางประเภท เช่น โปรแกรมบล็อกโฆษณา ทำให้ความสามารถในการตรวจจับและบล็อกเนื้อหาโฆษณาลดลง ตัวอย่างที่ชัดเจนคือ uBlock Origin ซึ่งมีผู้ดาวน์โหลดมากกว่า 38 ล้านครั้งบน Chrome Web Store ได้ถูกปิดใช้งานในขณะที่ Manifest V3 กำลังถูกบังคับใช้ แม้ว่าเบราว์เซอร์อื่นๆ เช่น Microsoft Edge, Mozilla Firefox, และ Apple Safari ต่างยอมรับ Manifest V3 แต่พวกเขาก็ทำการปรับเปลี่ยนการใช้งานของตนเอง เพื่อให้ผู้ใช้ยังคงมีอิสระในการใช้ส่วนขยาย แต่การสนับสนุน Manifest V2 ยังคงเป็นวิธีเดียวสำหรับส่วนขยายรุ่นเก่า Mozilla ประกาศว่าจะยังคงสนับสนุนทั้ง API ของ blockingWebRequest และ declarativeNetRequest ที่สอดคล้องกับ Manifest V2 และ V3 ตามลำดับ โดยสาเหตุหลักคือการยึดมั่นต่อหลักการที่ 5 ของ Mozilla Manifesto ที่กล่าวว่า "บุคคลต้องมีความสามารถในการกำหนดอินเทอร์เน็ตและประสบการณ์ของตนเอง" แม้ว่า Mozilla จะประเมินการเลิกสนับสนุน Manifest V2 ในปลายปี 2023 แต่ด้วยความซับซ้อนทั้งด้านเทคนิคและปฏิบัติ ทำให้ Mozilla ยืนยันในเดือนมีนาคม 2024 ว่าจะไม่เลิกสนับสนุน Manifest V2 ในอนาคตอันใกล้ การประกาศล่าสุดนี้ย้ำให้เห็นว่า Firefox ยังคงเป็นหนึ่งในเบราว์เซอร์ไม่กี่ตัวที่ให้ผู้ใช้มีอิสระในการใช้ส่วนขยาย Manifest V2 ต่อไป ข่าวนี้แสดงให้เห็นถึงความสำคัญของการมีอิสระในการเลือกใช้ส่วนขยายที่ช่วยเสริมความเป็นส่วนตัวและความปลอดภัยของผู้ใช้ และการสนับสนุนจาก Mozilla ทำให้ผู้ใช้สามารถมีประสบการณ์การใช้งานเว็บที่ดียิ่งขึ้น https://www.bleepingcomputer.com/news/security/firefox-continues-manifest-v2-support-as-chrome-disables-mv2-ad-blockers/

แอปพลิเคชันมัลแวร์ที่ชื่อว่า SpyLend ได้ถูกดาวน์โหลดไปกว่า 100,000 ครั้งจาก Google Play โดยแอบอ้างเป็นเครื่องมือทางการเงิน แต่แท้จริงแล้วเป็นแอปเงินกู้ที่มีเจตนาหลอกลวงผู้ใช้งานในอินเดีย แอปเหล่านี้อยู่ในกลุ่มแอปพลิเคชันมัลแวร์ที่เรียกว่า SpyLoan ซึ่งแอบอ้างว่าเป็นบริการทางการเงินที่ถูกต้องแต่แท้จริงแล้วกลับขโมยข้อมูลจากอุปกรณ์ของผู้ใช้งานเพื่อใช้ในการกู้เงินที่ไม่เป็นธรรม แอปพลิเคชันเหล่านี้หลอกลวงผู้ใช้ด้วยข้อเสนอเงินกู้ที่รวดเร็วและง่ายดาย โดยไม่ต้องการเอกสารมากมายและมีเงื่อนไขที่น่าสนใจ แต่เมื่อผู้ใช้ติดตั้งแอปพลิเคชัน แอปจะขออนุญาตเข้าถึงข้อมูลส่วนตัวมากเกินไป เช่น ข้อมูลผู้ติดต่อ บันทึกการโทร ข้อความ SMS รูปถ่าย และตำแหน่งของอุปกรณ์ ข้อมูลที่ได้จะถูกนำไปใช้เพื่อคุกคาม บีบบังคับ และขู่กรรโชกผู้ใช้ โดยเฉพาะอย่างยิ่งหากพวกเขาไม่สามารถชำระคืนตามเงื่อนไขของแอปได้ บริษัทความปลอดภัยทางไซเบอร์ CYFIRMA ได้ค้นพบแอปพลิเคชันชื่อว่า Finance Simplified ซึ่งอ้างว่าเป็นแอปพลิเคชันการจัดการทางการเงินและมีการดาวน์โหลดกว่า 100,000 ครั้งจาก Google Play แต่มีพฤติกรรมที่เป็นอันตรายอย่างมากในบางประเทศเช่น อินเดีย โดยขโมยข้อมูลจากอุปกรณ์ของผู้ใช้เพื่อใช้ในการกู้เงินที่ไม่เป็นธรรม นักวิจัยยังค้นพบแอป APK ที่มีพฤติกรรมคล้ายกัน เช่น KreditApple, PokketMe และ StashFur แม้ว่าแอปพลิเคชันนี้จะถูกลบออกจาก Google Play แล้ว แต่ยังอาจทำงานในพื้นหลังเพื่อเก็บรวบรวมข้อมูลที่ละเอียดอ่อนจากอุปกรณ์ที่ติดตั้งไว้ ข้อมูลที่ถูกขโมยรวมถึงผู้ติดต่อ บันทึกการโทร ข้อความ SMS รายละเอียดของอุปกรณ์ รูปถ่าย วิดีโอ เอกสาร ตำแหน่งที่ตั้งที่ติดตามแบบเรียลไทม์ ข้อมูลการกู้ยืม และข้อความธุรกรรมทางการเงิน ข้อมูลเหล่านี้ถูกนำไปใช้ในการข่มขู่ผู้ใช้หรืออาจขายให้กับอาชญากรทางไซเบอร์เพื่อสร้างรายได้ การค้นพบนี้ชี้ให้เห็นถึงความสำคัญของการระมัดระวังในการติดตั้งแอปพลิเคชันที่ไม่รู้จัก และการตรวจสอบสิทธิ์ที่แอปพลิเคชันขออนุญาตอย่างละเอียด หากคุณสงสัยว่าอุปกรณ์ของคุณถูกติดตั้งแอปมัลแวร์ เช่น SpyLend, ให้ลบออกทันที รีเซ็ตการอนุญาต เปลี่ยนรหัสผ่านบัญชีธนาคาร และทำการสแกนอุปกรณ์ของคุณ Google Play Protect สามารถตรวจจับและบล็อกมัลแวร์ที่เป็นที่รู้จักได้ ดังนั้นควรเปิดใช้เครื่องมือนี้บนอุปกรณ์ของคุณ https://www.bleepingcomputer.com/news/security/spylend-android-malware-downloaded-100-000-times-from-google-play/

มีการศึกษาล่าสุดของนักวิจัยที่ใช้ซูเปอร์คอมพิวเตอร์ของ NASA เพื่อสร้างแบบจำลองใหม่ของ Oort Cloud ซึ่งอยู่ไกลออกไปจากวงโคจรของดาวพลูโต Oort Cloud เป็นพื้นที่ที่เต็มไปด้วยวัตถุที่เป็นน้ำแข็งซึ่งโคจรรอบดวงอาทิตย์ และเป็นที่มาของดาวหางระยะยาวที่บางครั้งจะพุ่งเข้าสู่ระบบสุริยะของเรา Oort Cloud เริ่มต้นที่ระยะประมาณ 2,000 ถึง 5,000 หน่วยดาราศาสตร์ (AU) จากดวงอาทิตย์ โดย 1 AU คือระยะทางเฉลี่ยระหว่างโลกและดวงอาทิตย์ ขอบเขตด้านนอกของ Oort Cloud ยาวถึง 10,000 ถึง 100,000 AU ซึ่งอยู่ไกลเกินกว่าที่เราจะเห็นได้ แต่สามารถอนุมานได้จากดาวหางที่มาจากพื้นที่นี้ จนถึงขณะนี้ นักวิทยาศาสตร์รู้ว่า Oort Cloud มีอยู่จริงแต่ไม่เข้าใจรูปร่างของมันมากนัก อย่างไรก็ตาม นักวิจัยจาก Southwest Research Institute และ American Museum of Natural History ได้เสนอว่าโครงสร้างภายในของ Oort Cloud อาจเป็น เกลียว คล้ายกับกาแล็กซีขนาดจิ๋ว นักวิจัยได้ศึกษาปรากฏการณ์ที่เรียกว่า "galactic tide" ซึ่งเป็นผลรวมของแรงดึงดูดจากดาวฤกษ์ หลุมดำ และมวลรวมอื่น ๆ ภายในกาแล็กซี่ทางช้างเผือก สำหรับวัตถุที่อยู่ใกล้ดวงอาทิตย์ แรงเหล่านี้ไม่สำคัญเท่าแรงดึงดูดของดวงอาทิตย์ แต่ใน Oort Cloud แรงเหล่านี้กลายเป็นปัจจัยหลัก โดยใช้ซูเปอร์คอมพิวเตอร์ Pleiades ของ NASA ทีมวิจัยได้รันการจำลองที่รวม galactic tide และผลกระทบอื่น ๆ เป็นเวลาหลายพันล้านปี ผลลัพธ์แสดงให้เห็นว่า Oort Cloud มีโครงสร้างเป็นแผ่นเกลียวขนาดประมาณ 15,000 AU โดยมีเกลียวสองเส้น ซึ่งทำให้ Oort Cloud ดูเหมือนกับกาแล็กซีขนาดเล็กและแปลกจากรูปแบบที่เคยเห็นในโมเดลส่วนใหญ่ในปัจจุบัน สาเหตุของการเกิดเกลียวนี้มาจากปรากฏการณ์ที่เรียกว่า Kozai-Lidov effect ซึ่งเป็นปรากฏการณ์แรงดึงดูดที่ทำให้เกิดการสั่นไหวระยะยาวในวงโคจรของวัตถุใน Oort Cloud ในขณะที่แรงดึงดูดจากดาวเคราะห์ในระบบสุริยะของเรามีผลกระทบน้อยมาก การจับภาพเพื่อยืนยันโครงสร้างนี้เป็นความท้าทายใหญ่ วิธีหนึ่งที่อาจใช้ได้คือการติดตามวัตถุใน Oort Cloud จำนวนมากในระยะยาว อีกวิธีหนึ่งคือการตรวจจับแสงที่มองเห็นร่วมกันของพวกมันในขณะที่กรองแสงจากแหล่งอื่นออกไป แต่น่าเสียดายว่าทั้งสองวิธีนี้ยังไม่มีการลงทุนที่เพียงพอ https://www.techspot.com/news/106898-nasa-supercomputer-suggests-oort-cloud-may-spiral-like.html

มีรายงานเกี่ยวกับการรั่วไหลของข้อมูลแชทภายในของกลุ่มแรนซัมแวร์ Black Basta ซึ่งถูกเปิดเผยโดยบุคคลลึกลับที่ใช้ชื่อว่า ExploitWhispers ข้อมูลดังกล่าวได้ถูกอัพโหลดไปยังช่อง Telegram เฉพาะทาง ซึ่งข้อมูลนี้ถูกพบว่ามีการเก็บบันทึกการแชทภายในตั้งแต่เดือนกันยายน 2023 ถึงกันยายน 2024 การรั่วไหลดังกล่าวมีข้อมูลหลากหลาย เช่น เทมเพลตฟิชชิ่ง อีเมลที่ใช้ในการส่งฟิชชิ่ง ที่อยู่คริปโตเคอร์เรนซี ข้อมูลรั่วไหลของเหยื่อ และข้อมูลการยืนยันการโจมตีแบบต่าง ๆ นอกจากนี้ยังพบลิงก์ ZoomInfo ที่มีมากถึง 367 ลิงก์ ซึ่งแสดงให้เห็นว่ามีบริษัทมากมายที่ถูกกลุ่มนี้โจมตีในช่วงเวลานี้ หนึ่งในบุคคลที่เกี่ยวข้องกับการรั่วไหลครั้งนี้ อ้างว่าการรั่วไหลเกิดขึ้นเพราะกลุ่ม Black Basta ได้โจมตีธนาคารรัสเซีย นอกจากนี้ PRODAFT บริษัทข่าวกรองภัยคุกคามไซเบอร์ กล่าวว่ากลุ่ม Black Basta มีความขัดแย้งภายในและบางสมาชิกยังเคยหลอกลวงเหยื่อด้วยการเก็บเงินค่าไถ่โดยไม่ให้ decryptors ที่ใช้งานได้ กลุ่ม Black Basta เป็นกลุ่มแรนซัมแวร์ที่มีชื่อเสียงและมีเหยื่อหลากหลายทั่วโลก รวมถึงบริษัทในเครือข่ายด้านการดูแลสุขภาพและหน่วยงานรัฐบาล พวกเขาเคยโจมตีบริษัทต่าง ๆ เช่น Rheinmetall (ผู้ผลิตเครื่องยนต์และอาวุธชั้นนำของเยอรมนี), Hyundai's European division, BT Group (อดีต British Telecom), Ascension (บริษัทการดูแลสุขภาพในสหรัฐ), ABB (ผู้รับเหมาของรัฐบาลสหรัฐ), American Dental Association, Capita (บริษัทด้านเทคโนโลยีในสหราชอาณาจักร), Toronto Public Library และ Yellow Pages Canada Black Basta เริ่มกิจการในเดือนเมษายน 2022 และกลายเป็นที่รู้จักเพราะการโจมตีองค์กรและเก็บค่าไถ่มากถึง $100 ล้านจากเหยื่อกว่า 90 รายจนถึงเดือนพฤศจิกายน 2023 ในเดือนกุมภาพันธ์ 2022 นักวิจัยจากยูเครนเคยรั่วไหลข้อมูลการแชทภายในและซอร์สโค้ดของ Conti ransomware ซึ่งมีพื้นฐานเป็นกลุ่มแรนซัมแวร์ชื่อดังจากรัสเซีย https://www.bleepingcomputer.com/news/security/black-basta-ransomware-gang-s-internal-chat-logs-leak-online/

Google Cloud ได้เปิดตัวฟีเจอร์ใหม่สำหรับ Cloud Key Management Service (Cloud KMS) ซึ่งรวมถึงลายเซ็นดิจิทัลที่ปลอดภัยจากควอนตัม (Quantum-Safe Digital Signatures) ซึ่งสามารถใช้งานได้ในสถานะพรีวิว ฟีเจอร์นี้ถูกพัฒนาเพื่อตอบสนองต่อมาตรฐานการเข้ารหัสหลังควอนตัม (Post-Quantum Cryptography: PQC) ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐอเมริกา (NIST) ซึ่งคำนึงถึงความเสี่ยงในอนาคตที่คอมพิวเตอร์ควอนตัมอาจทำลายระบบเข้ารหัสแบบเดิมได้ Cloud KMS เป็นเครื่องมือของ Google Cloud สำหรับการจัดการคีย์การเข้ารหัสที่ใช้เข้ารหัสและเซ็นข้อมูลอย่างปลอดภัย แต่การใช้การเข้ารหัสแบบปัจจุบันเช่น RSA และ ECC อาจมีความเสี่ยงที่ข้อมูลจะถูกเปิดเผยในอนาคตผ่านการโจมตีแบบ "เก็บข้อมูลไว้ก่อนและถอดรหัสภายหลัง" (Harvest Now, Decrypt Later: HNDL) แม้ว่าคอมพิวเตอร์ควอนตัมที่สามารถทำลายการเข้ารหัสแบบปัจจุบันยังไม่มีอยู่ในขณะนี้ ผู้เชี่ยวชาญทุกคนเห็นว่าความเสี่ยงนี้สูงเกินไปที่จะเพิกเฉย เพื่อป้องกันข้อมูลในอนาคต Google ได้รวมการเข้ารหัสที่ปลอดภัยจากควอนตัมเข้ากับ Cloud KMS และ Cloud HSM (Hardware Security Modules) ซึ่งใช้สองอัลกอริธึมใหม่คือ ML-DSA-65 (FIPS 204) ซึ่งเป็นอัลกอริธึมลายเซ็นดิจิทัลแบบ lattice-based และ SLH-DSA-SHA2-128S (FIPS 205) ซึ่งเป็นอัลกอริธึมลายเซ็นดิจิทัลแบบ stateless hash-based ลายเซ็นดิจิทัลที่ปลอดภัยจากควอนตัมจะช่วยให้ผู้ใช้สามารถเซ็นและตรวจสอบลายเซ็นดิจิทัลได้เหมือนกับการใช้การเข้ารหัสแบบคลาสสิค โดยการใช้งานอัลกอริธึม PQC ใหม่นี้จะเปิดให้ใช้งานได้ผ่านซอฟต์แวร์ BoringCrypto และ Tink ที่เป็นโอเพนซอร์ส ซึ่งจะช่วยรักษาความโปร่งใสและอนุญาตให้อิสระในการตรวจสอบด้านความปลอดภัย Google ยังเชิญชวนองค์กรต่าง ๆ ให้เริ่มทดสอบและรวมอัลกอริธึมที่ปลอดภัยจากควอนตัมเข้ากับระบบที่มีอยู่ และรายงานปัญหาที่พบเพื่อช่วยปรับปรุง การเปิดตัวฟีเจอร์ใหม่นี้เป็นการตอบสนองต่อการประกาศความก้าวหน้าในด้านควอนตัมของ Microsoft ที่เปิดตัวชิป Majorana 1 ซึ่งเป็นก้าวสำคัญในการสร้างคอมพิวเตอร์ควอนตัมในอนาคต https://www.bleepingcomputer.com/news/security/google-cloud-introduces-quantum-safe-digital-signatures-in-kms/

บริษัท Dell กำลังจะทำสัญญากับบริษัท xAI ของ Elon Musk เพื่อส่งมอบเซิร์ฟเวอร์ที่มีมูลค่าถึง $5 พันล้านเหรียญสหรัฐ เซิร์ฟเวอร์เหล่านี้จะใช้ชิป Nvidia GB200 ที่ออกแบบมาเพื่อรองรับการประมวลผลทางด้านปัญญาประดิษฐ์ (AI) ข้อตกลงนี้คาดว่าจะเป็นส่วนหนึ่งของโครงการ Memphis supercomputer ของ xAI ซึ่งกำลังสร้างขึ้นในเมืองเมมฟิส โดยใช้เซิร์ฟเวอร์จาก Dell และ Supermicro บางส่วน รายงานบอกว่าข้อตกลงนี้ยังอยู่ในขั้นตอนการเจรจาบางส่วน แต่คาดว่าจะสามารถส่งมอบเซิร์ฟเวอร์ได้ในปลายปี 2025 Elon Musk เคยกล่าวไว้ว่า "การจะสามารถแข่งขันในด้าน AI ได้นั้นต้องใช้เงินหลายพันล้านเหรียญต่อปี" และครั้งนี้เขาได้แสดงให้เห็นถึงการทุ่มทุนในโครงการที่เกี่ยวข้องกับ AI อย่างจริงจัง นอกจากนี้ Dell ยังคาดการณ์ว่ารายได้จากเซิร์ฟเวอร์ AI ของบริษัทจะเพิ่มขึ้นเป็น $14 พันล้านเหรียญสหรัฐ ในปีงบประมาณ 2026 การชนะข้อตกลงนี้จะทำให้ Dell สามารถยกระดับสถานะของตนในตลาดเซิร์ฟเวอร์ที่รองรับ AI ได้อย่างชัดเจน ก่อนหน้านี้ HPE ได้รับสัญญามูลค่า $1 พันล้านเหรียญสหรัฐจาก xAI เพื่อส่งมอบเซิร์ฟเวอร์ที่ออกแบบมาเฉพาะสำหรับการทำงาน AI ซึ่งแสดงถึงการแข่งขันที่รุนแรงในตลาดนี้ การที่ Dell สามารถเข้ามาแย่งข้อตกลงจากคู่แข่งยิ่งทำให้เห็นว่า Dell มีความตั้งใจที่จะขยายตลาดนี้อย่างจริงจัง นักวิเคราะห์คาดว่า Dell จะส่งมอบเซิร์ฟเวอร์ AI มูลค่ามากกว่า $10 พันล้านเหรียญสหรัฐในปีงบประมาณที่ผ่านมา และมูลค่านี้จะเพิ่มขึ้นเป็น $14 พันล้านเหรียญสหรัฐในปี 2026 การทำสัญญากับ xAI ครั้งนี้จะช่วยยกระดับสถานะของ Dell ในตลาด AI และเพิ่มยอดขายให้กับบริษัทอย่างชัดเจน ซึ่งนักวิเคราะห์ Woo Jin Ho ของ Bloomberg Intelligence ระบุว่าจะ "ทำให้บริษัทกลายเป็นผู้นำด้านเซิร์ฟเวอร์ AI อย่างมั่นคง" https://www.techradar.com/pro/xai-could-sign-a-usd5-billion-deal-with-dell-for-thousands-of-servers-with-nvidias-gb200-blackwell-ai-gpu-accelerators

Sandisk ได้เปิดเผยแผนการเปิดตัว SSD ที่มีความจุสูงถึง 1 เพตะไบต์ (PB) ในอนาคตอันใกล้นี้ โดยตั้งเป้าไปที่การใช้งานที่ต้องการประสิทธิภาพสูงและความจุเยอะ เช่น งานด้านปัญญาประดิษฐ์ (AI) ที่ซับซ้อน แม้ว่าจะยังไม่มีการกำหนดระยะเวลาที่แน่นอนสำหรับการเปิดตัว SSD ขนาด 1PB นี้ แต่ Sandisk ได้ประกาศแผนการเปิดตัว SSD ขนาด 256TB ในปี 2026 และ 512TB ในปี 2027 Sandisk ได้เริ่มกระบวนการแยกธุรกิจฮาร์ดดิสก์ (HDD) และแฟลชออกเป็นสองส่วนตั้งแต่ปี 2023 และเริ่มดำเนินการในเดือนตุลาคม 2024 ขณะที่ Western Digital จะมุ่งเน้นไปที่ฮาร์ดดิสก์และแพลตฟอร์ม ส่วน Sandisk จะมุ่งเน้นไปที่ผลิตภัณฑ์แฟลชเทคโนโลยี เช่น SSD การ์ดหน่วยความจำ และ USB นอกจากนี้ Sandisk ยังเปิดตัว SSD รุ่นใหม่ที่ชื่อว่า UltraQLC DC SN670 ซึ่งเป็น NVMe PCIe Gen 5 QLC Data Center SSD ที่ให้ความเร็วในการอ่านเพิ่มขึ้น 68% และความเร็วในการเขียนเพิ่มขึ้น 55% เมื่อเทียบกับคู่แข่ง โดย SSD นี้มีความจุ 128TB (ใช้งานได้จริง 122.88TB) และรุ่น 64TB (ใช้งานได้จริง 61.44TB) ซึ่งคาดว่าจะเปิดตัวในไตรมาสที่สามของปี 2025 นอกจากนี้ Sandisk ยังเผยรายละเอียดของเทคโนโลยี UltraQLC ที่ช่วยให้การจัดการการไหลข้อมูลจาก NAND-SSD ไปยังคอนโทรลเลอร์มีประสิทธิภาพยิ่งขึ้น โดยการใช้ตัวคูณ (multiplexer) ในโหมด Toggle mode ที่เพิ่มประสิทธิภาพการถ่ายโอนข้อมูล และสามารถปรับกำลังไฟตามความต้องการของงาน ในขณะที่ Sandisk มักใช้ TLC NAND สำหรับ SSD ที่เน้นประสิทธิภาพและ QLC NAND สำหรับ SSD ที่เน้นความจุ บริษัทจะเริ่มปรับมาใช้ QLC สำหรับส่วนใหญ่ภายในปี 2028 โดย Sandisk เตรียมเปิดตัว BiCS9 ที่มีเลเยอร์มากกว่า 300 ชั้น ซึ่งจะใช้ในการผลิตชิป TLC ขนาด 1Tb https://www.techradar.com/pro/sandisk-plans-256tb-ssd-in-2026-and-512tb-ssd-in-2027-and-no-you-wont-be-able-to-install-it-in-your-desktop-computer

เมื่อต้นเดือนนี้มีการค้นพบการหลอกลวงขายฮาร์ดดิสก์ Seagate Exos ที่ใช้แล้วเป็นของใหม่ แต่ตอนนี้มีรายงานว่าปัญหานี้ยังส่งผลกระทบต่อฮาร์ดดิสก์รุ่น Seagate IronWolf Pro ด้วย จากการสืบสวนของ Lutz Labs จาก ComputerBase กลุ่มผู้โกงทำการลบประวัติการใช้งาน เปลี่ยนหมายเลขซีเรียล และปรับเปลี่ยนป้ายบนฮาร์ดดิสก์เพื่อหลอกลวงผู้ซื้อ แต่ยังมีวิธีการตรวจสอบฮาร์ดดิสก์ที่ถูกปลอมแปลงเหล่านี้อยู่ ฮาร์ดดิสก์รุ่น Exos และ IronWolf Pro เป็นฮาร์ดดิสก์ที่มีความน่าเชื่อถือสูง โดย Exos ถูกออกแบบมาให้ใช้งานในสภาพแวดล้อมขององค์กรและบริการคลาวด์แบบ hyperscale 24/7 ในขณะที่ IronWolf Pro ถูกออกแบบมาให้ใช้งานในระบบ NAS ที่มีความเป็นองค์กร และก็ทำงาน 24/7 ด้วย สิ่งที่น่าสนใจคือ ฮาร์ดดิสก์เหล่านี้มีการใช้งานร่วมกับการขุด Chia ซึ่งทำให้ผู้ขุด Chia ขายฮาร์ดดิสก์ที่ใช้งานแล้วออกไป โดยฮาร์ดดิสก์ที่ถูกปลอมแปลงเหล่านี้มีการวางขายในหลายประเทศ และดูเหมือนใหม่เนื่องจากมีการลบประวัติการใช้งานภายใน แต่ถ้าตรวจสอบอย่างละเอียดอาจพบรอยขีดข่วนเล็กน้อยบนตัวเครื่องและขั้วต่อ SATA ป้าย QR บนฮาร์ดดิสก์ปลอมเหล่านี้ยังถูกปรับเปลี่ยน ทำให้ลิงก์ไปยังหน้าตรวจสอบการรับประกันที่ไม่แสดงหมายเลขซีเรียลหรือความจุข้อมูล ทำให้การตรวจสอบยากขึ้น แต่ยังมีเครื่องมือเช่น smartmontools ที่สามารถอ่านค่าความน่าเชื่อถือของฟาร์ม (FARM) ซึ่งแสดงประวัติการใช้งานจริงได้ Seagate ได้ยอมรับปัญหานี้และกำลังดำเนินการสอบสวนอย่างเต็มที่เพื่อหาวิธีที่ฮาร์ดดิสก์เหล่านี้เข้าสู่ตลาด https://www.tomshardware.com/pc-components/hdds/seagates-fraudulent-hdd-scandal-expands-ironwolf-pro-hard-drives-also-affected

ลุงงงมากว่าทำไม Apple ที่เคยแข็งมาตลอดแม้แต่ FBI ก็ยังไม่เคยยอมให้ แต่ทำไมกรณีนี้ถึงได้ยอมง่ายจัง Apple ประกาศยกเลิกฟีเจอร์ Advanced Data Protection (ADP) สำหรับผู้ใช้ใหม่ในสหราชอาณาจักร ซึ่งเป็นฟีเจอร์ที่เปิดใช้งานการเข้ารหัสแบบ end-to-end ของข้อมูล iCloud การตัดสินใจนี้มีสาเหตุมาจากการร้องขอจากรัฐบาลสหราชอาณาจักรให้ Apple สร้างช่องทาง (backdoor) เพื่อเข้าถึงข้อมูลที่เข้ารหัสของผู้ใช้ Apple ทั่วโลก Apple กล่าวว่าฟีเจอร์ ADP ทำให้ข้อมูล iCloud ถูกเข้ารหัสและสามารถถอดรหัสได้เพียงแค่ผู้ใช้ที่เป็นเจ้าของเท่านั้น บริษัทแสดงความผิดหวังว่าไม่สามารถให้การป้องกันที่มีความปลอดภัยสูงให้กับผู้ใช้ในสหราชอาณาจักรได้ โดยเฉพาะในสถานการณ์ที่การรั่วไหลของข้อมูลและภัยคุกคามต่อความเป็นส่วนตัวของผู้ใช้เพิ่มขึ้นอย่างต่อเนื่อง นอกจากนี้ Apple ยังระบุว่า บริษัทไม่เคยสร้าง backdoor หรือ master key สำหรับผลิตภัณฑ์หรือบริการใด ๆ และไม่เคยให้รัฐบาลเข้าถึงเซิร์ฟเวอร์โดยตรง และจะไม่ทำเช่นนั้นในอนาคต ผู้ใช้ที่พยายามเปิดใช้งานฟีเจอร์นี้จะเห็นข้อความแจ้งว่า “Apple ไม่สามารถให้บริการ ADP ในสหราชอาณาจักรได้สำหรับผู้ใช้ใหม่” แม้ว่าบริษัทจะไม่สามารถปิดฟีเจอร์ ADP สำหรับผู้ใช้ปัจจุบันในสหราชอาณาจักรได้ทันที แต่ผู้ใช้จะต้องปิดใช้งานฟีเจอร์นี้เพื่อใช้งานบัญชี iCloud ต่อไปโดยทำตามคำแนะนำที่ Apple จะให้ในอีกไม่กี่สัปดาห์ข้างหน้า อย่างไรก็ตาม บริการสื่อสารของ Apple เช่น iMessage และ FaceTime รวมถึงข้อมูล Health และ iCloud Keychain จะยังคงใช้การเข้ารหัสแบบ end-to-end ในสหราชอาณาจักร ฟีเจอร์ ADP ยังคงสามารถใช้ได้สำหรับลูกค้าทั่วโลกที่ต้องการความปลอดภัยในการเข้ารหัสข้อมูล iCloud ของพวกเขา https://www.bleepingcomputer.com/news/security/apple-pulls-icloud-end-to-end-encryption-feature-in-the-uk/

มีบั๊กด้านความปลอดภัยใน OpenSSH ซึ่งเป็นซอฟต์แวร์ที่ใช้ในการเข้ารหัสข้อมูลในการสื่อสารระยะไกลและการโอนถ่ายข้อมูลผ่านเครือข่ายที่ไม่น่าเชื่อถือ ล่าสุดพบว่ามีช่องโหว่สองตัวที่ส่งผลกระทบต่อการทำงานของ OpenSSH นับตั้งแต่เวอร์ชันที่ออกมาเมื่อสิบปีที่แล้ว ช่องโหว่แรกคือการโจมตีแบบ "man-in-the-middle" (MitM) ซึ่งถูกตรวจพบใน OpenSSH เวอร์ชัน 6.8p1 โดยช่องโหว่นี้เกิดขึ้นเมื่อมีการเปิดใช้ตัวเลือก 'VerifyHostKeyDNS' ที่สามารถทำให้แฮกเกอร์สวมรอยเซิร์ฟเวอร์ปลอมและขโมยข้อมูลจากการเชื่อมต่อ SSH ได้ ช่องโหว่นี้ถูกติดตามภายใต้รหัส CVE-2025-26465 ช่องโหว่ที่สองคือการโจมตีแบบ "denial of service" (DoS) ที่เกิดขึ้นใน OpenSSH เวอร์ชัน 9.5p1 ช่องโหว่นี้เกิดจากการจัดการหน่วยความจำที่ไม่เหมาะสมในกระบวนการแลกเปลี่ยนกุญแจ ทำให้แฮกเกอร์สามารถส่งข้อความขนาดเล็กอย่างต่อเนื่อง จนทำให้ระบบไม่สามารถทำงานได้ตามปกติ ช่องโหว่นี้ถูกติดตามภายใต้รหัส CVE-2025-26466 OpenSSH ได้ปล่อยอัปเดตเวอร์ชัน 9.9p2 เพื่อแก้ไขปัญหาทั้งสองนี้ โดยแนะนำให้ผู้ดูแลระบบทำการอัปเดตเป็นเวอร์ชันล่าสุดทันที และยกเลิกการใช้ตัวเลือก 'VerifyHostKeyDNS' หากไม่จำเป็น https://www.bleepingcomputer.com/news/security/new-openssh-flaws-expose-ssh-servers-to-mitm-and-dos-attacks/

Microsoft ได้แจ้งเตือนผู้ดูแลระบบ IT อีกครั้งว่าการซิงโครไนซ์ไดรเวอร์ใน Windows Server Update Services (WSUS) จะถูกยกเลิกในวันที่ 18 เมษายน ซึ่งเหลือเวลาเพียง 60 วันเท่านั้นครับ หลังจากยกเลิกไปแล้ว Microsoft แนะนำให้องค์กรต่างๆ ใช้โซลูชันบนคลาวด์สำหรับการอัปเดตไคลเอนต์และเซิร์ฟเวอร์ เช่น Windows Autopatch, Azure Update Manager, และ Microsoft Intune จากการประกาศใน Windows Message Center ระบุว่า สำหรับการใช้งานในระบบที่ตั้งอยู่ภายในองค์กร ไดรเวอร์จะยังคงมีอยู่ใน Microsoft Update catalog แต่จะไม่สามารถนำเข้าไปใน WSUS ได้ ดังนั้นผู้ดูแลระบบจำเป็นต้องใช้โซลูชันทางเลือกอื่น ๆ เช่น Device Driver Packages หรือเปลี่ยนไปใช้บริการไดรเวอร์บนคลาวด์ เช่น Microsoft Intune และ Windows Autopatch คำเตือนนี้เป็นคำเตือนที่สามนับตั้งแต่เดือนมิถุนายน 2024 โดยก่อนหน้านี้ Microsoft ได้ประกาศการยกเลิกการซิงโครไนซ์ไดรเวอร์ WSUS และส่งเสริมให้ลูกค้าใช้บริการไดรเวอร์บนคลาวด์ของบริษัท นอกจากนี้ในเดือนกันยายน 2024 Microsoft ยังเปิดเผยว่า WSUS จะถูกยกเลิก แต่ยังคงเผยแพร่อัปเดตผ่านช่องทาง WSUS และคงไว้ซึ่งฟังก์ชันการทำงานที่มีอยู่ทั้งหมด WSUS เปิดตัวครั้งแรกในชื่อ Software Update Services (SUS) ในปี 2005 ทำให้ผู้ดูแลระบบ IT สามารถจัดการและกระจายการอัปเดตสำหรับผลิตภัณฑ์ของ Microsoft ได้จากเซิร์ฟเวอร์เดียวแทนที่จะต้องให้แต่ละเครื่องดาวน์โหลดจากเซิร์ฟเวอร์ของ Microsoft การประกาศครั้งนี้ยังมาในขณะที่ Microsoft ได้เลิกใช้โปรโตคอลการตรวจสอบความถูกต้องของ Windows NTLM และแนะนำให้นักพัฒนาย้ายไปใช้โปรโตคอล Kerberos หรือ Negotiation เพื่อป้องกันปัญหาในอนาคต https://www.bleepingcomputer.com/news/microsoft/microsoft-reminds-admins-to-prepare-for-wsus-driver-sync-deprecation/

มีเกมชื่อ PirateFi ที่มีอยู่ใน Steam ซึ่งถูกจับได้ว่าติดตั้งมัลแวร์ที่ขโมยรหัสผ่านให้กับผู้ใช้ที่ดาวน์โหลดเกมไป ข่าวระบุว่าเกมนี้อยู่ใน Steam ระหว่างวันที่ 6 ถึง 12 กุมภาพันธ์ และมีผู้ดาวน์โหลดไปใช้งานประมาณ 1,500 คน บริษัท Seaworth Interactive ผู้พัฒนาเกม PirateFi ได้ปล่อยอัปเดตที่มีมัลแวร์ประเภท Vidar infostealer ซ่อนอยู่ในไฟล์ชื่อว่า Pirate.exe มัลแวร์นี้มีความสามารถในการขโมยข้อมูลสำคัญ เช่น รหัสผ่าน คุกกี้เซสชั่น และข้อมูลอื่น ๆ ที่เก็บในเบราว์เซอร์และแอพอีเมล ทำให้ผู้ใช้งานต้องเปลี่ยนรหัสผ่านและเปิดใช้การยืนยันตัวตนหลายขั้นตอน สิ่งที่น่าสนใจคือ Vidar infostealer เป็นมัลแวร์ที่มีความซับซ้อนและยากต่อการตรวจจับ ทำให้ผู้พัฒนามัลแวร์สามารถเปลี่ยนเซิร์ฟเวอร์และเทคนิคการอำพรางมัลแวร์ได้หลายครั้ง นอกจากนี้ยังมีการคาดการณ์ว่าเกม PirateFi ได้ตั้งชื่อแบบนี้เพื่อดึงดูดผู้เล่นที่สนใจในเทคโนโลยีบล็อกเชนและสกุลเงินดิจิทัล สำหรับ Steam การพบมัลแวร์ในเกมนี้ไม่ใช่ครั้งแรก ในปี 2023 เคยมีมัลแวร์ซ่อนอยู่ในโหมดเกม Dota 2 และม็อดของเกม Slay the Spire ที่ได้รับความนิยมในตอนนั้น https://www.bleepingcomputer.com/news/security/piratefi-game-on-steam-caught-installing-password-stealing-malware/

มีมัลแวร์ตัวใหม่ชื่อ FinalDraft ที่ได้รับความสนใจอย่างมากในวงการไซเบอร์ FinalDraft ใช้บริการอีเมลของ Outlook ในการสื่อสารแบบปกปิด โดยหลีกเลี่ยงการตรวจจับผ่านการใช้ร่างอีเมล มัลแวร์นี้ถูกใช้โจมตีเป้าหมายในกระทรวงของประเทศในอเมริกาใต้ โดย Elastic Security Labs เป็นผู้ค้นพบ การโจมตีเริ่มต้นด้วยการที่ผู้โจมตีใช้ PathLoader ซึ่งเป็นไฟล์ปฏิบัติการขนาดเล็กในการเรียกใช้ shellcode รวมถึงมัลแวร์ FinalDraft ที่มีการป้องกันการวิเคราะห์ด้วยการเข้ารหัสสตริงและการทำ API hashing หลังจากที่มัลแวร์นี้ถูกเรียกใช้งาน มันจะเริ่มสื่อสารผ่าน API ของ Microsoft Graph โดยส่งคำสั่งและรับคำสั่งผ่านร่างอีเมลใน Outlook ซึ่งทำให้การโจมตีมีประสิทธิภาพและยากต่อการตรวจจับ FinalDraft มาพร้อมกับคำสั่งการทั้งหมด 37 คำสั่ง เช่น การขโมยข้อมูล การแทรกกระบวนการ และการโจมตี Pass-the-Hash ผู้โจมตียังใช้ประโยชน์จาก token ที่ถูกขโมยเพื่อเข้าถึงบริการต่าง ๆ ของ Microsoft โดยไม่ต้องใช้รหัสผ่าน การป้องกันมัลแวร์นี้เป็นเรื่องที่ท้าทาย เนื่องจากการโจมตีที่ซับซ้อนและมีการหลีกเลี่ยงการตรวจจับ นักวิจัยแนะนำให้ใช้นโยบายการเข้าถึงแบบมีเงื่อนไขใน Microsoft Entra ID เพื่อจำกัดการเข้าถึงให้กับอุปกรณ์หรือเครือข่ายที่เชื่อถือได้ https://www.bleepingcomputer.com/news/security/new-finaldraft-malware-abuses-outlook-mail-service-for-stealthy-comms/