🎮 “UPnP บน Xbox: ทางลัดสู่การเล่นออนไลน์ลื่นไหล หรือช่องโหว่ที่เปิดบ้านให้แฮกเกอร์?” ในยุคที่เกมออนไลน์กลายเป็นกิจกรรมหลักของผู้เล่น Xbox หลายคน การตั้งค่าเครือข่ายให้เหมาะสมจึงเป็นเรื่องสำคัญ โดยเฉพาะการตั้งค่า NAT (Network Address Translation) ที่ส่งผลโดยตรงต่อการเชื่อมต่อกับผู้เล่นคนอื่น ๆ ซึ่ง UPnP หรือ Universal Plug and Play คือฟีเจอร์ที่ช่วยให้ Xbox สามารถเปิดพอร์ตที่จำเป็นสำหรับการเล่นเกมและแชทเสียงได้โดยอัตโนมัติ โดยไม่ต้องเข้าไปตั้งค่าด้วยตัวเอง UPnP ทำงานโดยให้ Xbox ส่งคำขอไปยังเราเตอร์เพื่อเปิดพอร์ตที่จำเป็น เช่น สำหรับเกม Call of Duty หรือ Fortnite ซึ่งช่วยให้ข้อมูลเกมไหลผ่านเครือข่ายได้อย่างราบรื่น และทำให้ NAT type ของ Xbox เป็นแบบ “Open” ซึ่งเป็นสถานะที่ดีที่สุดสำหรับการเล่นออนไลน์ แต่ความสะดวกนี้ก็มีด้านมืด เพราะ UPnP ไม่มีระบบตรวจสอบสิทธิ์ใด ๆ เลย — มันเชื่อทุกคำขอจากอุปกรณ์ในเครือข่ายทันที ซึ่งหมายความว่า หากมีอุปกรณ์ที่ถูกแฮกอยู่ในเครือข่ายเดียวกัน มันสามารถส่งคำขอปลอมไปยังเราเตอร์เพื่อเปิดพอร์ตให้แฮกเกอร์เข้าถึงระบบภายในบ้านได้ ช่องโหว่นี้เคยถูกใช้ในการโจมตีครั้งใหญ่ เช่น Mirai botnet ที่เจาะอุปกรณ์ IoT ผ่าน UPnP โดยไม่ต้องผ่าน firewall เลย ผู้เชี่ยวชาญด้านความปลอดภัยจึงแนะนำว่า หากคุณต้องการความปลอดภัยสูงสุด ควรปิด UPnP และตั้งค่า port forwarding ด้วยตัวเอง แม้จะยุ่งยากกว่า แต่คุณจะควบคุมได้เต็มที่ว่า “ประตูไหนเปิดให้ใคร” ✅ ข้อมูลสำคัญจากข่าว ➡️ UPnP คือโปรโตคอลที่ช่วยให้ Xbox เปิดพอร์ตเครือข่ายโดยอัตโนมัติ ➡️ ช่วยให้ NAT type เป็นแบบ “Open” ซึ่งดีที่สุดสำหรับการเล่นเกมออนไลน์ ➡️ Xbox ใช้ UPnP เพื่อเชื่อมต่อกับเกมและแชทเสียงโดยไม่ต้องตั้งค่าด้วยตัวเอง ➡️ หาก UPnP ไม่ทำงาน อาจเกิดข้อผิดพลาด “UPnP Not Successful” บน Xbox ➡️ NAT แบบ Moderate หรือ Strict จะจำกัดการเชื่อมต่อกับผู้เล่นคนอื่น ➡️ การตั้งค่า port forwarding ด้วยตัวเองเป็นทางเลือกที่ปลอดภัยกว่า ➡️ UPnP เป็นฟีเจอร์ที่เปิดไว้โดยค่าเริ่มต้นในเราเตอร์รุ่นใหม่ส่วนใหญ่ ✅ ข้อมูลเสริมจากภายนอก ➡️ Xbox ใช้พอร์ต UDP: 88, 500, 3544, 4500 และ TCP/UDP: 3074 สำหรับการเชื่อมต่อ ➡️ การตั้งค่า static IP บน Xbox ช่วยให้ port forwarding มีประสิทธิภาพมากขึ้น ➡️ บางเราเตอร์ต้องตั้งค่า DMZ หรือปรับ firewall เพื่อให้ Xbox เชื่อมต่อได้ดี ➡️ Carrier-Grade NAT (CGNAT) จาก ISP บางรายอาจทำให้ NAT type เป็นแบบ Strict โดยไม่สามารถแก้ไขได้เอง ➡️ การตั้งค่า port forwarding ต้องใช้ข้อมูล IP, MAC address และ gateway ของ Xbox https://www.slashgear.com/1981414/xbox-upnp-router-feature-purpose-what-for-how-enable/

🔥 “Cisco ASA/FTD ถูกเจาะทะลุ — ช่องโหว่ RCE เปิดทางยึดไฟร์วอลล์กว่า 50,000 เครื่องทั่วโลก” Cisco และหน่วยงานด้านความปลอดภัยไซเบอร์ของสหรัฐฯ (CISA) ออกคำเตือนด่วนถึงผู้ใช้งานไฟร์วอลล์รุ่น Adaptive Security Appliance (ASA) และ Firewall Threat Defense (FTD) หลังพบช่องโหว่ร้ายแรงสองรายการที่ถูกใช้โจมตีจริงแล้วในโลกออนไลน์ ได้แก่ CVE-2025-20333 และ CVE-2025-20362 ช่องโหว่แรก (20333) เป็น buffer overflow ที่มีคะแนนความรุนแรงสูงถึง 9.9/10 ซึ่งเปิดทางให้แฮกเกอร์สามารถรันคำสั่งจากระยะไกลโดยไม่ต้องยืนยันตัวตน ส่วนช่องโหว่ที่สอง (20362) เป็นการขาดการตรวจสอบสิทธิ์ที่ทำให้ผู้โจมตีสามารถเข้าถึงระบบได้ง่ายขึ้น แม้จะมีคะแนนความรุนแรงต่ำกว่า (6.5/10) แต่เมื่อใช้ร่วมกันแล้วสามารถยึดอุปกรณ์ได้เต็มรูปแบบ จากการตรวจสอบโดย Shadowserver พบว่ามีอุปกรณ์ที่ยังไม่ได้รับการอัปเดตมากถึง 48,800 เครื่องทั่วโลก โดยประเทศที่ได้รับผลกระทบมากที่สุดคือสหรัฐฯ (19,610 เครื่อง) ตามด้วยสหราชอาณาจักรและเยอรมนี Cisco ได้ออกแพตช์แก้ไขแล้ว และเน้นย้ำว่า “ไม่มีวิธีแก้ชั่วคราว” สำหรับช่องโหว่นี้ ผู้ใช้ต้องอัปเดตซอฟต์แวร์ทันทีเพื่อป้องกันการถูกโจมตี โดยเฉพาะองค์กรที่ใช้ VPN ผ่าน Web Interface ซึ่งเป็นจุดที่แฮกเกอร์ใช้โจมตีมากที่สุด CISA ได้ออก Emergency Directive 25-03 ให้หน่วยงานรัฐบาลสหรัฐฯ ตรวจสอบและส่งไฟล์หน่วยความจำของอุปกรณ์ให้วิเคราะห์ภายใน 24 ชั่วโมง พร้อมแนะนำให้ทุกองค์กรทั้งภาครัฐและเอกชนดำเนินการตามแนวทางเดียวกัน ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-20333 และ CVE-2025-20362 ถูกใช้โจมตีจริงแล้วในโลกออนไลน์ ➡️ ช่องโหว่แรกเป็น buffer overflow (คะแนน 9.9/10) ส่วนช่องโหว่ที่สองเป็น missing authorization (คะแนน 6.5/10) ➡️ ใช้ร่วมกันแล้วสามารถยึดอุปกรณ์ Cisco ASA/FTD ได้เต็มรูปแบบ ➡️ Shadowserver พบอุปกรณ์ที่ยังไม่ได้รับการอัปเดตมากถึง 48,800 เครื่อง ➡️ ประเทศที่ได้รับผลกระทบมากที่สุดคือสหรัฐฯ สหราชอาณาจักร และเยอรมนี ➡️ Cisco ออกแพตช์แล้ว และยืนยันว่าไม่มีวิธีแก้ชั่วคราว ต้องอัปเดตเท่านั้น ➡️ CISA ออก Emergency Directive 25-03 ให้หน่วยงานรัฐบาลดำเนินการตรวจสอบทันที ➡️ ช่องโหว่ส่งผลต่อการใช้งาน VPN ผ่าน Web Interface เป็นหลัก https://www.techradar.com/pro/security/around-50-000-cisco-firewalls-are-vulnerable-to-attack-so-patch-now

📱 “แอปมือถือรั่วข้อมูลหนัก — iOS แย่กว่า Android และ API กลายเป็นช่องโหว่หลักขององค์กร” รายงานล่าสุดจาก Zimperium เผยให้เห็นภาพที่น่าตกใจของความเสี่ยงด้านความปลอดภัยในแอปมือถือ โดยเฉพาะในระบบ iOS และ Android ซึ่งกลายเป็นสนามรบใหม่ของการโจมตีผ่าน API โดยตรง รายงานระบุว่า “มากกว่าครึ่ง” ของแอป iOS และ “หนึ่งในสาม” ของแอป Android มีการรั่วไหลของข้อมูลสำคัญ เช่น ข้อมูลส่วนตัว (PII), token, และข้อมูลระบบที่สามารถนำไปใช้โจมตีต่อได้ทันที สิ่งที่ทำให้สถานการณ์เลวร้ายยิ่งขึ้นคือการที่แฮกเกอร์สามารถดัดแปลงแอปจากฝั่ง client ได้โดยตรง เช่น การ reverse-engineer โค้ด, การปลอม API call ให้ดูเหมือนถูกต้อง, หรือแม้แต่การฝัง SDK ที่แอบส่งข้อมูลออกไปโดยผู้ใช้ไม่รู้ตัว แม้จะมีการใช้ SSL pinning หรือ API key validation ก็ยังไม่สามารถป้องกันได้ทั้งหมด เพราะการโจมตีเกิด “ภายในแอป” ไม่ใช่แค่ที่ขอบระบบอีกต่อไป นอกจากนี้ยังพบว่า 6% ของแอป Android ชั้นนำเขียนข้อมูลส่วนตัวลงใน console log และ 4% เขียนลง external storage ที่แอปอื่นสามารถเข้าถึงได้ ซึ่งถือเป็นการเปิดช่องให้มัลแวร์หรือแอปไม่พึงประสงค์เข้าถึงข้อมูลได้ง่ายขึ้น อีกทั้ง 37% ของแอปยอดนิยมยังส่งข้อมูลไปยังเซิร์ฟเวอร์ภายนอกโดยไม่มีการเข้ารหัสที่เพียงพอ Zimperium แนะนำให้เปลี่ยนแนวทางการป้องกันจาก “ขอบระบบ” มาเป็น “ภายในแอป” โดยใช้เทคนิคเช่น code obfuscation, runtime protection, และการตรวจสอบว่า API call มาจากแอปที่ไม่ถูกดัดแปลงเท่านั้น ✅ ข้อมูลสำคัญจากข่าว ➡️ มากกว่าครึ่งของแอป iOS และหนึ่งในสามของแอป Android มีการรั่วไหลของข้อมูลสำคัญ ➡️ API กลายเป็นช่องโหว่หลักที่แฮกเกอร์ใช้โจมตีผ่านแอปมือถือ ➡️ การโจมตีเกิดจากฝั่ง client เช่น reverse-engineering และการปลอม API call ➡️ SSL pinning และ API key validation ไม่สามารถป้องกันการโจมตีภายในแอปได้ ➡️ 6% ของแอป Android ชั้นนำเขียนข้อมูลลง console log และ 4% เขียนลง external storage ➡️ 37% ของแอปยอดนิยมส่งข้อมูลไปยังเซิร์ฟเวอร์ภายนอกโดยไม่มีการเข้ารหัส ➡️ SDK บางตัวสามารถแอบส่งข้อมูล, บันทึกตำแหน่ง GPS และพฤติกรรมผู้ใช้ ➡️ Zimperium แนะนำให้ใช้ in-app defense เช่น code obfuscation และ runtime protection ✅ ข้อมูลเสริมจากภายนอก ➡️ API เป็นหัวใจของแอปยุคใหม่ แต่ก็เป็นจุดที่ถูกโจมตีมากที่สุด ➡️ อุปกรณ์ที่ถูก root หรือ jailbreak สามารถเปิดช่องให้แฮกเกอร์ควบคุมได้เต็มรูปแบบ ➡️ การป้องกันแบบ perimeter เช่น firewall และ gateway ไม่สามารถตรวจสอบความถูกต้องของแอปที่ส่ง request ได้ ➡️ การใช้ Bring-Your-Own-Device (BYOD) ในองค์กรเพิ่มความเสี่ยงจากแอปที่ไม่ปลอดภัย ➡️ การตรวจสอบพฤติกรรมแอปและการตั้งค่าความปลอดภัยพื้นฐาน เช่น screen lock และ OS update เป็นสิ่งจำเป็น https://www.techradar.com/pro/security/apple-ios-apps-are-worse-at-leaking-sensitive-data-than-android-apps-finds-worrying-research-heres-what-you-need-to-know

🕵️ “BRICKSTORM: ช่องโหว่เงียบจากจีนที่แฝงตัวในระบบสหรัฐฯ นานกว่า 1 ปี — เมื่อขอบระบบกลายเป็นประตูหลังของการจารกรรมไซเบอร์” ในรายงานล่าสุดจาก Mandiant และ Google Threat Intelligence Group ได้เปิดเผยการโจมตีไซเบอร์ที่ซับซ้อนและยาวนานโดยกลุ่มแฮกเกอร์จีน UNC5221 ซึ่งสามารถแฝงตัวอยู่ในระบบของบริษัทเทคโนโลยี, กฎหมาย, SaaS และ BPO ในสหรัฐฯ ได้ถึง 393 วันโดยไม่ถูกตรวจจับ กลุ่มนี้ใช้มัลแวร์ชื่อว่า “BRICKSTORM” ซึ่งเป็น backdoor ที่เขียนด้วยภาษา Go สำหรับระบบ Linux และ BSD โดยถูกฝังไว้ในอุปกรณ์ edge เช่น firewall, VPN gateway และ network appliance ที่มักไม่มีระบบตรวจจับภัยคุกคามแบบ endpoint หรือ SIEM ทำให้การตรวจจับแทบเป็นไปไม่ได้หากไม่มีการ threat hunting เชิงรุก จากจุดเริ่มต้นที่อุปกรณ์ edge แฮกเกอร์สามารถเคลื่อนตัวไปยังระบบภายใน เช่น VMware vCenter, ESXi, Windows Server และแม้แต่ Microsoft 365 โดยใช้เทคนิคหลากหลาย เช่น การขโมย credentials, การฝัง Java Servlet filter (BRICKSTEAL) เพื่อดัก username/password และการติดตั้ง web shell (SLAYSTYLE) เพื่อควบคุมระบบผ่าน HTTP เป้าหมายของการโจมตีไม่ใช่แค่การขโมยข้อมูล แต่รวมถึงการวิเคราะห์ source code เพื่อพัฒนา zero-day exploit และการเข้าถึงระบบ downstream ของลูกค้าบริษัทเป้าหมาย เช่น SaaS ที่มีข้อมูลผู้ใช้จำนวนมาก ที่น่ากังวลคือ BRICKSTORM ยังสามารถทำงานเป็น SOCKS proxy เพื่อเปิดช่องให้แฮกเกอร์เข้าถึงระบบภายในโดยตรง และใช้ Microsoft Entra ID เพื่อเข้าถึง mailbox ของผู้ดูแลระบบหรือผู้พัฒนาซอฟต์แวร์ ซึ่งมักมีข้อมูลสำคัญระดับองค์กร แม้จะมีการออก scanner script เพื่อค้นหา BRICKSTORM แล้ว แต่การตรวจสอบย้อนหลังยังเป็นเรื่องยาก เพราะ log ของอุปกรณ์ edge มักถูกลบหรือไม่มีการเก็บไว้แบบ centralized ทำให้ไม่สามารถระบุได้ว่าการเจาะระบบเริ่มต้นจากจุดใด ✅ ข้อมูลสำคัญจากข่าว ➡️ กลุ่ม UNC5221 จากจีนใช้มัลแวร์ BRICKSTORM เจาะระบบบริษัทสหรัฐฯ นานกว่า 393 วัน ➡️ ฝังตัวในอุปกรณ์ edge เช่น firewall และ VPN gateway ที่ไม่มีระบบตรวจจับภัยคุกคาม ➡️ เคลื่อนตัวไปยังระบบภายใน เช่น VMware vCenter, ESXi, Windows Server และ Microsoft 365 ➡️ ใช้ Java Servlet filter (BRICKSTEAL) เพื่อดัก username/password ➡️ ใช้ web shell (SLAYSTYLE) เพื่อควบคุมระบบผ่าน HTTP ➡️ ใช้ Microsoft Entra ID เพื่อเข้าถึง mailbox ของผู้ดูแลระบบ ➡️ BRICKSTORM ทำงานเป็น SOCKS proxy เพื่อเปิดช่องเข้าระบบภายใน ➡️ เป้าหมายรวมถึงการขโมยข้อมูล, วิเคราะห์ source code และพัฒนา zero-day exploit ➡️ Mandiant ออก scanner script เพื่อค้นหา BRICKSTORM บนอุปกรณ์ edge ✅ ข้อมูลเสริมจากภายนอก ➡️ BRICKSTORM ถูกพบครั้งแรกในยุโรปตั้งแต่ปี 2022 และกลับมาโจมตีในสหรัฐฯ ปี 2025 ➡️ มัลแวร์นี้ใช้ nested TLS และ reverse proxy ผ่าน Cloudflare/Heroku เพื่อหลบการตรวจจับ ➡️ UNC5221 มีความเชื่อมโยงกับ Silk Typhoon แต่ Google เชื่อว่าเป็นกลุ่มแยกต่างหาก ➡️ การโจมตีเน้นเป้าหมายที่มีข้อมูลเชิงเศรษฐกิจและความมั่นคง เช่น กฎหมายและเทคโนโลยี ➡️ การใช้ edge device เป็นจุดเริ่มต้นทำให้การตรวจจับยากและการป้องกันต้องเปลี่ยนแนวคิด https://www.csoonline.com/article/4062723/chinese-spies-had-year-long-access-to-us-tech-and-legal-firms.html

🛡️ “PureVPN บน Linux พบช่องโหว่รั่วไหล IPv6 และลบกฎไฟร์วอลล์ — เสี่ยงเปิดเผยตัวตนแม้เชื่อมต่อ VPN อยู่” ผู้เชี่ยวชาญด้านความปลอดภัยจากกรีซที่ใช้ชื่อว่า Anagogistis ได้ค้นพบช่องโหว่สำคัญในแอป PureVPN บนระบบปฏิบัติการ Linux ทั้งแบบ GUI (v2.10.0) และ CLI (v2.0.1) โดยพบว่ามีการรั่วไหลของข้อมูล IPv6 และการจัดการไฟร์วอลล์ที่ผิดพลาด ซึ่งอาจทำให้ผู้ใช้งานถูกเปิดเผยตัวตนแม้จะเชื่อมต่อ VPN อยู่ก็ตาม ปัญหาแรกคือการรั่วไหลของ IPv6 ซึ่งเกิดขึ้นเมื่อมีการเปลี่ยนแปลงเครือข่าย เช่น การสลับ Wi-Fi หรือการปลุกเครื่องจากโหมดพัก ระบบจะกลับมาใช้ IPv6 route เดิมโดยไม่ผ่าน VPN tunnel ทำให้เว็บไซต์หรือบริการอีเมลสามารถเห็นที่อยู่จริงของผู้ใช้ได้ อีกปัญหาคือการจัดการไฟร์วอลล์ เมื่อเชื่อมต่อ VPN แอปจะลบกฎ iptables ที่ผู้ใช้ตั้งไว้ เช่น กฎจาก UFW หรือ Docker และเมื่อยกเลิกการเชื่อมต่อ VPN กฎเหล่านั้นจะไม่ถูกคืนกลับ ทำให้ระบบเปิดกว้างมากกว่าก่อนเชื่อมต่อ VPN ซึ่งขัดกับวัตถุประสงค์ของการใช้งาน VPN เพื่อความปลอดภัย PureVPN ยืนยันว่าปัญหานี้เกิดเฉพาะบน Linux และไม่มีผลกับ Windows, macOS หรือมือถือ โดยทีมงานกำลังเร่งออกแพตช์แก้ไขภายในกลางเดือนตุลาคม 2025 พร้อมแนะนำให้ผู้ใช้ปิด IPv6 ด้วยตนเอง และรีเซ็ตกฎไฟร์วอลล์หลังยกเลิกการเชื่อมต่อ VPN ✅ ข้อมูลสำคัญจากข่าว ➡️ แอป PureVPN บน Linux (GUI v2.10.0 และ CLI v2.0.1) พบช่องโหว่รั่วไหล IPv6 และลบกฎไฟร์วอลล์ ➡️ การรั่วไหลเกิดหลังการเปลี่ยนเครือข่าย เช่น สลับ Wi-Fi หรือปลุกเครื่องจากโหมดพัก ➡️ แอปลบกฎ iptables เดิมเมื่อเชื่อมต่อ VPN และไม่คืนกลับเมื่อยกเลิกการเชื่อมต่อ ➡️ PureVPN ยืนยันว่าปัญหาเกิดเฉพาะบน Linux และกำลังออกแพตช์ภายในกลางตุลาคม ➡️ แนะนำให้ผู้ใช้ปิด IPv6 และรีเซ็ตกฎไฟร์วอลล์ด้วยตนเองจนกว่าจะมีแพตช์ ✅ ข้อมูลเสริมจากภายนอก ➡️ IPv6 มีการใช้งานเพิ่มขึ้นในหลายประเทศ โดยเฉพาะในยุโรปและเอเชีย ➡️ การรั่วไหลของ IPv6 สามารถเปิดเผยตำแหน่งจริงของผู้ใช้ได้แม้ใช้ VPN ➡️ iptables เป็นระบบจัดการไฟร์วอลล์หลักของ Linux ซึ่งใช้ในหลายแอปพลิเคชัน ➡️ VPN ที่ดีควรมีระบบ kill-switch ที่ป้องกันการรั่วไหลเมื่อเครือข่ายไม่เสถียร ➡️ การจัดการไฟร์วอลล์ที่ผิดพลาดอาจเปิดช่องให้มัลแวร์หรือการโจมตีจากภายนอก https://www.techradar.com/vpn/vpn-privacy-security/purevpn-linux-apps-found-to-leak-ipv6-traffic-and-mess-with-your-firewall-heres-how-to-secure-your-data

🧱 “ช่องโหว่ Firebox CVE-2025-9242 คะแนน 9.3 — เมื่อไฟร์วอลล์กลายเป็นประตูหลังให้แฮกเกอร์” WatchGuard ได้ออกประกาศแจ้งเตือนความปลอดภัยระดับวิกฤตเกี่ยวกับช่องโหว่ใหม่ในอุปกรณ์ไฟร์วอลล์รุ่น Firebox ซึ่งใช้ระบบปฏิบัติการ Fireware OS โดยช่องโหว่นี้มีรหัส CVE-2025-9242 และได้รับคะแนนความรุนแรงสูงถึง 9.3 จาก 10 ตามมาตรฐาน CVSS ช่องโหว่นี้เป็นประเภท “out-of-bounds write” ซึ่งหมายถึงการเขียนข้อมูลลงในหน่วยความจำที่ไม่ควรเข้าถึง ส่งผลให้แฮกเกอร์สามารถรันโค้ดอันตรายบนอุปกรณ์ได้โดยไม่ต้องยืนยันตัวตน ช่องโหว่นี้อยู่ในกระบวนการ iked ซึ่งเป็นส่วนหนึ่งของ VPN แบบ IKEv2 ที่ใช้สร้างการเชื่อมต่อแบบปลอดภัยระหว่างเครือข่าย สิ่งที่น่ากังวลคือ แม้ผู้ใช้จะลบการตั้งค่า VPN แบบ IKEv2 ไปแล้ว อุปกรณ์ก็ยังเสี่ยงต่อการถูกโจมตี หากยังมีการตั้งค่า VPN แบบ branch office ที่ใช้ static gateway peer อยู่ โดยช่องโหว่นี้ส่งผลกระทบต่อ Fireware OS เวอร์ชัน 11.10.2 ถึง 11.12.4_Update1, 12.0 ถึง 12.11.3 และ 2025.1 รวมถึงอุปกรณ์ในซีรีส์ T, M และ Firebox Cloud WatchGuard ได้ออกแพตช์แก้ไขในเวอร์ชัน 12.3.1_Update3, 12.5.13, 12.11.4 และ 2025.1.1 พร้อมแนะนำให้ผู้ใช้ตรวจสอบเวอร์ชันของอุปกรณ์และอัปเดตทันที หากไม่สามารถอัปเดตได้ในทันที ควรใช้วิธีชั่วคราว เช่น ปิดการใช้งาน dynamic peer VPN และตั้งนโยบายไฟร์วอลล์ใหม่เพื่อจำกัดการเข้าถึง ผู้เชี่ยวชาญด้านความปลอดภัยหลายคนออกมาเตือนว่า ช่องโหว่ในไฟร์วอลล์ถือเป็น “ชัยชนะเชิงยุทธศาสตร์” ของแฮกเกอร์ เพราะมันคือจุดเข้าเครือข่ายที่สำคัญที่สุด และมักถูกโจมตีภายในไม่กี่วันหลังจากมีการเปิดเผยช่องโหว่ ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-9242 เป็นประเภท out-of-bounds write ในกระบวนการ iked ของ Fireware OS ➡️ ได้รับคะแนนความรุนแรง 9.3 จาก 10 ตามมาตรฐาน CVSS ➡️ ส่งผลกระทบต่อ Fireware OS เวอร์ชัน 11.10.2–11.12.4_Update1, 12.0–12.11.3 และ 2025.1 ➡️ อุปกรณ์ที่ได้รับผลกระทบรวมถึง Firebox T15, T35 และรุ่นอื่น ๆ ในซีรีส์ T, M และ Cloud ✅ การแก้ไขและคำแนะนำ ➡️ WatchGuard ออกแพตช์ในเวอร์ชัน 12.3.1_Update3, 12.5.13, 12.11.4 และ 2025.1.1 ➡️ แนะนำให้อัปเดตทันทีเพื่อป้องกันการโจมตีจากระยะไกล ➡️ หากยังไม่สามารถอัปเดตได้ ให้ปิด dynamic peer VPN และตั้งนโยบายไฟร์วอลล์ใหม่ ➡️ WatchGuard ยกย่องนักวิจัย “btaol” ที่ค้นพบช่องโหว่นี้ ✅ ข้อมูลเสริมจากภายนอก ➡️ ช่องโหว่ใน VPN gateway มักถูกโจมตีภายในไม่กี่วันหลังการเปิดเผย ➡️ การโจมตีไฟร์วอลล์สามารถนำไปสู่การเคลื่อนย้ายภายในเครือข่ายและติดตั้ง ransomware ➡️ การตั้งค่า VPN ที่ลบไปแล้วอาจยังทิ้งช่องโหว่ไว้ หากมีการตั้งค่าอื่นที่เกี่ยวข้อง ➡️ การใช้แนวทาง Zero Trust และการแบ่งเครือข่ายช่วยลดความเสียหายหากถูกเจาะ https://hackread.com/watchguard-fix-for-firebox-firewall-vulnerability/

📰 Raven Stealer: มัลแวร์สายลับยุคใหม่ที่ขโมยข้อมูลจากเบราว์เซอร์แล้วส่งผ่าน Telegram — ภัยเงียบที่ซ่อนตัวในความเบา ภัยคุกคามไซเบอร์ล่าสุดที่ถูกเปิดโปงโดยทีม Lat61 Threat Intelligence จาก Point Wild คือมัลแวร์ชื่อ “Raven Stealer” ซึ่งแม้จะดูเล็กและเรียบง่าย แต่กลับมีความสามารถในการขโมยข้อมูลส่วนตัวจากเบราว์เซอร์ยอดนิยมอย่าง Chrome และ Edge ได้อย่างมีประสิทธิภาพ โดยใช้เทคนิคล้ำสมัย เช่น process hollowing และการส่งข้อมูลผ่าน Telegram bot แบบเรียลไทม์ Raven Stealer ถูกเขียนด้วยภาษา Delphi และ C++ และถูกแจกจ่ายผ่านฟอรั่มใต้ดินหรือมากับซอฟต์แวร์เถื่อน โดยเมื่อถูกติดตั้ง มัลแวร์จะทำงานแบบไร้ร่องรอยในหน่วยความจำ ไม่ทิ้งไฟล์ไว้บนฮาร์ดดิสก์ ทำให้แอนตี้ไวรัสทั่วไปตรวจจับได้ยากมาก สิ่งที่ Raven ขโมยมีตั้งแต่รหัสผ่าน คุกกี้ ข้อมูลบัตรเครดิต ไปจนถึง session cookies ที่สามารถใช้ข้ามระบบ MFA ได้ นอกจากนี้ยังสามารถขโมยข้อมูลจากแอปอื่น ๆ และกระเป๋าเงินคริปโตได้ด้วย โดยข้อมูลทั้งหมดจะถูกจัดเก็บใน ZIP แล้วส่งผ่าน Telegram API ไปยังผู้โจมตี ซึ่งมักใช้ Telegram เป็นช่องทางควบคุมและรับข้อมูลแบบ C2 (Command and Control) แม้การทดสอบบางครั้งจะล้มเหลวในการส่งข้อมูลเพราะ token ผิดพลาด แต่โครงสร้างของมัลแวร์นี้แสดงให้เห็นถึงแนวโน้มใหม่ของ “commodity malware” ที่แม้ผู้โจมตีจะไม่มีทักษะสูง ก็สามารถใช้เครื่องมือเหล่านี้ได้อย่างง่ายดาย ✅ Raven Stealer เป็นมัลแวร์ขโมยข้อมูลที่ถูกพัฒนาอย่างลับ ➡️ เขียนด้วย Delphi และ C++ ➡️ ถูกแจกจ่ายผ่านฟอรั่มใต้ดินและซอฟต์แวร์เถื่อน ✅ ใช้เทคนิค process hollowing เพื่อหลบเลี่ยงการตรวจจับ ➡️ ทำงานในหน่วยความจำโดยไม่ทิ้งไฟล์บนดิสก์ ➡️ ปลอมตัวเป็นโปรเซสของเบราว์เซอร์ เช่น chrome.exe ✅ ขโมยข้อมูลจากเบราว์เซอร์และแอปอื่น ๆ ➡️ รหัสผ่าน คุกกี้ ข้อมูลบัตรเครดิต และ session cookies ➡️ ข้อมูลจากกระเป๋าเงินคริปโตและแอปอื่น ๆ ก็ถูกเก็บ ✅ ส่งข้อมูลผ่าน Telegram bot แบบเรียลไทม์ ➡️ ใช้ API /sendDocument เพื่อส่ง ZIP file ➡️ Telegram ถูกใช้เป็นช่องทางควบคุมและรับข้อมูล ✅ มีโครงสร้างที่เอื้อต่อผู้โจมตีที่ไม่มีทักษะสูง ➡️ ใช้ builder สร้าง payload ได้ง่าย ➡️ มี UI ที่เรียบง่ายและรองรับโมดูลแบบ dynamic ‼️ คำเตือนเกี่ยวกับความเสี่ยงจาก Raven Stealer ⛔ การทำงานแบบ in-memory ทำให้แอนตี้ไวรัสทั่วไปตรวจจับได้ยาก ⛔ session cookies ที่ถูกขโมยสามารถใช้ข้าม MFA ได้ ⛔ การใช้ Telegram เป็นช่องทางส่งข้อมูลอาจหลบเลี่ยง firewall ขององค์กร ⛔ ผู้ใช้ที่ดาวน์โหลดซอฟต์แวร์เถื่อนมีความเสี่ยงสูงต่อการติดมัลแวร์นี้ https://hackread.com/raven-stealer-malware-browsers-passwords-payment-data/

🎙️ เรื่องเล่าจาก Geedge ถึง MESA: เมื่อไฟร์วอลล์กลายเป็นสินค้าส่งออกของการควบคุมข้อมูล เมื่อวันที่ 11 กันยายน 2025 กลุ่มแฮกทิวิสต์ชื่อ Enlace Hacktivista ได้เผยแพร่ข้อมูลกว่า 600 GB ที่เกี่ยวข้องกับการพัฒนาและปฏิบัติการของ Great Firewall of China โดยข้อมูลนี้ประกอบด้วย source code, เอกสารภายใน, บันทึกการทำงาน, และการสื่อสารระหว่างทีมงานที่เกี่ยวข้องกับ Geedge Networks และ MESA Lab ซึ่งเป็นหน่วยงานวิจัยภายใต้ Chinese Academy of Sciences Geedge Networks ก่อตั้งโดย Fang Binxing ผู้ได้รับฉายาว่า “บิดาแห่ง Great Firewall” และมีบทบาทสำคัญในการส่งออกเทคโนโลยีเซ็นเซอร์ไปยังประเทศต่าง ๆ เช่น เมียนมา, ปากีสถาน, คาซัคสถาน, เอธิโอเปีย และประเทศอื่น ๆ ที่อยู่ในโครงการ Belt and Road Initiative ไฟล์ที่รั่วไหลประกอบด้วย mirror/repo.tar ขนาด 500 GB ซึ่งเป็น archive ของ RPM packaging server และเอกสารที่บีบอัดจาก Geedge และ MESA เช่น geedge_docs.tar.zst และ mesalab_docs.tar.zst ซึ่งมีทั้งรายงานภายใน, ข้อเสนอทางเทคนิค, และบันทึกการประชุมที่แสดงให้เห็นถึงการวางแผนและการดำเนินงานในระดับละเอียด นอกจากนี้ยังมีไฟล์ที่เกี่ยวข้องกับการจัดการโครงการ เช่น geedge_jira.tar.zst และเอกสารการสื่อสาร เช่น chat.docx ที่เผยให้เห็นถึงการประสานงานระหว่างนักวิจัยและวิศวกร รวมถึงไฟล์ routine อย่าง 打印.docx (Print) และเอกสารเบิกค่าใช้จ่ายที่สะท้อนถึงความเป็นระบบราชการของโครงการนี้ สิ่งที่ทำให้การรั่วไหลครั้งนี้แตกต่างจากครั้งอื่นคือ “ความลึก” ของข้อมูล ไม่ใช่แค่บันทึกจาก whistleblower แต่เป็นข้อมูลดิบที่สะท้อนถึงการพัฒนาอย่างต่อเนื่องของระบบเซ็นเซอร์ระดับประเทศ และการขยายอิทธิพลไปยังต่างประเทศผ่านการส่งออกเทคโนโลยี ✅ ข้อมูลที่รั่วไหลจาก Great Firewall ➡️ ขนาดรวมกว่า 600 GB ประกอบด้วย source code, เอกสารภายใน, และบันทึกการทำงาน ➡️ มีไฟล์ mirror/repo.tar ขนาด 500 GB ที่เป็น archive ของ RPM packaging server ➡️ เอกสารจาก Geedge และ MESA แสดงถึงการวางแผนและการดำเนินงานในระดับลึก ✅ หน่วยงานที่เกี่ยวข้องกับการพัฒนา ➡️ Geedge Networks ก่อตั้งโดย Fang Binxing และเป็นผู้ส่งออกเทคโนโลยีเซ็นเซอร์ ➡️ MESA Lab เป็นหน่วยงานวิจัยภายใต้ Chinese Academy of Sciences ➡️ ทั้งสองหน่วยงานมีบทบาทสำคัญในการพัฒนาและขยายระบบ Great Firewall ✅ การส่งออกเทคโนโลยีเซ็นเซอร์ ➡️ มีการส่งออกไปยังเมียนมา, ปากีสถาน, คาซัคสถาน, เอธิโอเปีย และประเทศอื่น ๆ ➡️ เชื่อมโยงกับโครงการ Belt and Road Initiative ➡️ ใช้เทคโนโลยีเพื่อควบคุมข้อมูลและการสื่อสารในประเทศเหล่านั้น ✅ ลักษณะของข้อมูลที่รั่วไหล ➡️ มีไฟล์ที่เกี่ยวข้องกับการจัดการโครงการ เช่น geedge_jira.tar.zst ➡️ เอกสารการสื่อสาร เช่น chat.docx แสดงถึงการประสานงานภายใน ➡️ ไฟล์ routine เช่น 打印.docx และเอกสารเบิกค่าใช้จ่ายสะท้อนถึงระบบราชการ ✅ ความสำคัญของการรั่วไหลครั้งนี้ ➡️ เป็นการเปิดเผยโครงสร้างและการดำเนินงานของระบบเซ็นเซอร์ระดับประเทศ ➡️ ให้ข้อมูลเชิงลึกที่ไม่เคยเปิดเผยมาก่อน ➡️ นักวิจัยและองค์กรสิทธิมนุษยชนสามารถใช้ข้อมูลนี้ในการวิเคราะห์และตรวจสอบ https://hackread.com/great-firewall-of-china-data-published-largest-leak/

📱 “Firewalla อัปเดตใหม่หลอกลูกให้เลิกเล่นมือถือด้วย ‘เน็ตช้า’ — เมื่อการควบคุมพฤติกรรมดิจิทัลไม่ต้องใช้คำสั่ง แต่ใช้ความรู้สึก” ในยุคที่เด็ก ๆ ใช้เวลาบนหน้าจอมากกว่าการเล่นกลางแจ้ง Firewalla แอปจัดการเครือข่ายและความปลอดภัยสำหรับครอบครัว ได้เปิดตัวฟีเจอร์ใหม่ในเวอร์ชัน 1.66 ที่ชื่อว่า “Disturb” ซึ่งใช้วิธีแปลกใหม่ในการควบคุมพฤติกรรมการใช้งานมือถือของเด็ก ๆ โดยไม่ต้องบล็อกแอปหรือปิดอินเทอร์เน็ต — แต่ใช้การ “หลอกว่าเน็ตช้า” เพื่อให้เด็กเบื่อและเลิกเล่นไปเอง ฟีเจอร์นี้จะจำลองอาการอินเทอร์เน็ตช้า เช่น การบัฟเฟอร์ การโหลดช้า หรือดีเลย์ในการใช้งานแอปยอดนิยมอย่าง Snapchat โดยไม่แจ้งให้ผู้ใช้รู้ว่าเป็นการตั้งใจ ทำให้เด็กเข้าใจว่าเป็นปัญหาทางเทคนิค และเลือกที่จะหยุดใช้งานเอง ซึ่งเป็นการสร้างแรงจูงใจแบบนุ่มนวลมากกว่าการลงโทษ นอกจากฟีเจอร์ Disturb แล้ว Firewalla ยังเพิ่มความสามารถด้านความปลอดภัย เช่น “Device Active Protect” ที่ใช้แนวคิด Zero Trust ในการเรียนรู้พฤติกรรมของอุปกรณ์ และบล็อกกิจกรรมที่ผิดปกติโดยอัตโนมัติ รวมถึงการเชื่อมต่อกับระบบตรวจจับภัยคุกคามแบบเปิดอย่าง Suricata เพื่อเพิ่มความแม่นยำในการตรวจจับมัลแวร์และการโจมตีเครือข่าย สำหรับผู้ใช้งานระดับบ้านและธุรกิจขนาดเล็ก Firewalla ยังเพิ่มฟีเจอร์ Multi-WAN Data Usage Tracking ที่สามารถติดตามการใช้งานอินเทอร์เน็ตจากหลายสายพร้อมกัน พร้อมระบบแจ้งเตือนและรายงานแบบละเอียด ✅ ฟีเจอร์ใหม่ใน Firewalla App 1.66 ➡️ “Disturb” จำลองอินเทอร์เน็ตช้าเพื่อเบี่ยงเบนพฤติกรรมเด็กจากการใช้แอป ➡️ ไม่บล็อกแอปโดยตรง แต่สร้างความรู้สึกว่าเน็ตไม่เสถียร ➡️ ใช้กับแอปที่ใช้เวลานาน เช่น Snapchat, TikTok, YouTube ➡️ เป็นวิธีควบคุมแบบนุ่มนวล ไม่ใช่การลงโทษ ✅ ฟีเจอร์ด้านความปลอดภัยเพิ่มเติม ➡️ “Device Active Protect” ใช้ Zero Trust เพื่อเรียนรู้พฤติกรรมอุปกรณ์ ➡️ บล็อกกิจกรรมที่ผิดปกติโดยไม่ต้องตั้งค่ากฎเอง ➡️ เชื่อมต่อกับ Suricata เพื่อเพิ่มความแม่นยำในการตรวจจับภัย ➡️ เพิ่มระบบ FireAI วิเคราะห์เหตุการณ์เครือข่ายแบบเรียลไทม์ ✅ ฟีเจอร์สำหรับผู้ใช้ระดับบ้านและธุรกิจ ➡️ Multi-WAN Data Usage Tracking ติดตามการใช้งานอินเทอร์เน็ตหลายสาย ➡️ มีระบบแจ้งเตือนเมื่อใช้งานเกินขีดจำกัด ➡️ รายงานการใช้งานแบบละเอียดสำหรับการวางแผนเครือข่าย ➡️ รองรับการใช้งานในบ้านที่มีหลายอุปกรณ์หรือหลายเครือข่าย ✅ ข้อมูลเสริมจากภายนอก ➡️ Suricata เป็นระบบตรวจจับภัยคุกคามแบบ open-source ที่ใช้ในองค์กรขนาดใหญ่ ➡️ Zero Trust เป็นแนวคิดด้านความปลอดภัยที่ไม่เชื่อถืออุปกรณ์ใด ๆ โดยอัตโนมัติ ➡️ Firewalla ได้รับความนิยมในกลุ่มผู้ใช้ที่ต้องการควบคุมเครือข่ายภายในบ้าน ➡️ ฟีเจอร์ Disturb อาจเป็นต้นแบบของการควบคุมพฤติกรรมเชิงจิตวิทยาในยุคดิจิทัล https://www.techradar.com/pro/phone-communications/this-security-app-deliberately-slows-down-internet-speeds-to-encourage-your-kids-to-log-off-their-snapchat-accounts

🎙️ เมื่อจีน “ปิดประตู” สู่โลกภายนอก – และ HTTPS ก็ถูกตัดขาดโดยไม่มีคำอธิบาย ในช่วงเวลา 00:34 ถึง 01:48 ตามเวลาปักกิ่งของวันที่ 20 สิงหาคม 2025 จีนได้ตัดการเชื่อมต่ออินเทอร์เน็ตกับโลกภายนอกอย่างเงียบ ๆ โดยบล็อกการใช้งาน TCP port 443 ซึ่งเป็นพอร์ตมาตรฐานสำหรับ HTTPS ทำให้ผู้ใช้อินเทอร์เน็ตในจีนไม่สามารถเข้าถึงเว็บไซต์และบริการต่างประเทศได้ รวมถึงบริการสำคัญอย่าง Apple และ Tesla ที่ใช้พอร์ตนี้ในการเชื่อมต่อกับเซิร์ฟเวอร์ภายนอก กลุ่มนักวิจัยจาก Great Firewall Report ตรวจพบว่าอุปกรณ์ในระบบ Great Firewall ได้ “ฉีดแพ็กเก็ตปลอม” (forged TCP RST+ACK) เพื่อขัดขวางการเชื่อมต่อทุกกรณีที่ใช้ port 443 โดยไม่แตะต้องพอร์ตอื่น เช่น 22, 80 หรือ 8443 ซึ่งเป็นพฤติกรรมที่แตกต่างจากการบล็อกแบบกว้างในปี 2020 ที่เคยบล็อก HTTPS ทุกพอร์ต สิ่งที่น่าสนใจคือ อุปกรณ์ที่ใช้ในการบล็อกครั้งนี้ไม่ตรงกับลายนิ้วมือของอุปกรณ์ที่เคยใช้ในระบบ Great Firewall มาก่อน ทำให้เกิดข้อสงสัยว่าเป็นอุปกรณ์ใหม่ หรืออุปกรณ์เดิมที่ถูกตั้งค่าผิด หรืออาจเป็นการทดสอบระบบใหม่โดยรัฐบาลจีน แม้จะเป็นเหตุการณ์สั้น ๆ แต่ผลกระทบกลับกว้างขวาง เพราะ port 443 เป็นหัวใจของการเชื่อมต่อแบบปลอดภัยทั่วโลก และการบล็อกเพียงพอร์ตเดียวก็สามารถทำให้จีน “ตัดขาด” จากโลกภายนอกได้ทันที 📌 สรุปเนื้อหาเป็นหัวข้อ ➡️ จีนบล็อก TCP port 443 เป็นเวลา 74 นาทีในวันที่ 20 สิงหาคม 2025 ➡️ การบล็อกทำให้ผู้ใช้อินเทอร์เน็ตในจีนไม่สามารถเข้าถึงเว็บไซต์ต่างประเทศได้ ➡️ บริการสำคัญอย่าง Apple และ Tesla ที่ใช้ port 443 ก็ได้รับผลกระทบ ➡️ ระบบ Great Firewall ฉีดแพ็กเก็ตปลอม (RST+ACK) เพื่อขัดขวางการเชื่อมต่อ ➡️ การบล็อกจำกัดเฉพาะ port 443 ไม่แตะต้องพอร์ตอื่น เช่น 22, 80, 8443 ➡️ อุปกรณ์ที่ใช้ในการบล็อกไม่ตรงกับลายนิ้วมือของอุปกรณ์เดิมในระบบ GFW ➡️ นักวิจัยตั้งข้อสงสัยว่าเป็นอุปกรณ์ใหม่ หรือการตั้งค่าที่ผิดพลาด ➡️ ไม่มีเหตุการณ์ทางการเมืองหรือวิกฤตที่ชัดเจนในช่วงเวลานั้น ➡️ เหตุการณ์นี้ถูกตรวจพบโดยนักวิจัยจากหลายประเทศและองค์กรอิสระ ➡️ การบล็อกครั้งนี้แสดงให้เห็นถึงความสามารถของจีนในการควบคุมการเชื่อมต่อระดับโลก ✅ ข้อมูลเสริมจากภายนอก ➡️ เหตุการณ์คล้ายกันเคยเกิดในปี 2020 เมื่อจีนบล็อก HTTPS ทุกพอร์ตพร้อมกัน ➡️ NetBlocks รายงานว่าปากีสถานมีการลดลงของทราฟฟิกอินเทอร์เน็ตก่อนเหตุการณ์ในจีน ➡️ จีนเคยแบ่งปันเทคโนโลยี Great Firewall กับประเทศอื่น เช่น ปากีสถานและอิหร่าน ➡️ การฉีดแพ็กเก็ตปลอมเป็นเทคนิคที่ใช้ในการบล็อกแบบลึก (deep packet interference) ➡️ นักวิชาการเปรียบเทียบระบบ Great Firewall ว่าเป็น “การประนีประนอมระหว่างการเปิดและปิดอินเทอร์เน็ต” https://www.tomshardware.com/tech-industry/cyber-security/chinas-great-firewall-blocked-all-traffic-to-a-common-https-port-for-over-an-hour-with-no-hint-as-to-its-intention

🧠 Microsoft Entra Private Access – เปลี่ยนการเข้าถึง Active Directory แบบเดิมให้ปลอดภัยยิ่งขึ้น ในยุคที่องค์กรกำลังเปลี่ยนผ่านสู่ระบบคลาวด์ ความปลอดภัยของระบบภายในองค์กรก็ยังคงเป็นเป้าหมายของแฮกเกอร์ โดยเฉพาะ Active Directory ที่ยังคงถูกใช้งานอย่างแพร่หลายในหน่วยงานรัฐและองค์กรขนาดใหญ่ Microsoft จึงเปิดตัว “Entra Private Access” ซึ่งเป็นฟีเจอร์ใหม่ที่นำความสามารถด้าน Conditional Access และ Multi-Factor Authentication (MFA) จากระบบคลาวด์ มาสู่ระบบ Active Directory ที่อยู่ภายในองค์กร (on-premises) โดยใช้แนวคิด Zero Trust Network Access (ZTNA) แต่ก่อนจะใช้งานได้ องค์กรต้อง “ล้าง NTLM” ออกจากระบบให้หมด และเปลี่ยนมาใช้ Kerberos แทน เพราะ NTLM เป็นโปรโตคอลเก่าที่มีช่องโหว่ด้านความปลอดภัยสูง การติดตั้ง Entra Private Access ต้องมีการกำหนดค่าเครือข่าย เช่น เปิดพอร์ต TCP 1337 บน Firewall, ระบุ Service Principal Name (SPN) ของแอปภายใน และติดตั้ง Private Access Sensor บน Domain Controller รวมถึงต้องใช้เครื่องลูกข่ายที่เป็น Windows 10 ขึ้นไป และเชื่อมต่อกับ Microsoft Entra ID แม้จะดูซับซ้อน แต่การเปลี่ยนผ่านนี้จะช่วยให้องค์กรสามารถควบคุมการเข้าถึงระบบภายในได้อย่างปลอดภัยมากขึ้น ลดการพึ่งพา VPN แบบเดิม และเตรียมพร้อมสู่การป้องกันภัยไซเบอร์ในระดับสูง ➡️ Microsoft เปิดตัว Entra Private Access สำหรับ Active Directory ภายในองค์กร ➡️ ฟีเจอร์นี้นำ Conditional Access และ MFA จากคลาวด์มาใช้กับระบบ on-premises ➡️ ใช้แนวคิด Zero Trust Network Access (ZTNA) เพื่อควบคุมการเข้าถึง ➡️ ต้องลบ NTLM ออกจากระบบและใช้ Kerberos แทนเพื่อใช้งานฟีเจอร์นี้ ➡️ เปิดพอร์ต TCP 1337 บน Firewall และกำหนด SPN ของแอปภายใน ➡️ ต้องใช้เครื่องลูกข่าย Windows 10+ ที่เชื่อมต่อกับ Microsoft Entra ID ➡️ รองรับ Windows 10, 11 และ Android ส่วน macOS/iOS ยังอยู่ในช่วงทดลอง ➡️ เอกสารการติดตั้งฉบับเต็มเผยแพร่เมื่อเดือนกรกฎาคม 2025 ➡️ สามารถใช้ trial license ทดสอบการติดตั้งแบบ proof of concept ได้ ➡️ NTLM เป็นโปรโตคอลเก่าที่มีช่องโหว่ เช่น relay attack และ credential theft ➡️ Kerberos ใช้ระบบ ticket-based authentication ที่ปลอดภัยกว่า ➡️ Zero Trust เป็นแนวคิดที่ไม่เชื่อถืออัตโนมัติแม้จะอยู่ในเครือข่ายองค์กร ➡️ VPN แบบเดิมมีความเสี่ยงจากการถูกเจาะระบบและไม่รองรับการควบคุมแบบละเอียด ➡️ การใช้ SPN ช่วยระบุแอปภายในที่ต้องการป้องกันได้อย่างแม่นยำ ➡️ การบังคับใช้ MFA ช่วยลดความเสี่ยงจากการโจมตีด้วยรหัสผ่านที่รั่วไหล https://www.csoonline.com/article/4041752/microsoft-entra-private-access-brings-conditional-access-to-on-prem-active-directory.html

🚨 ช่องโหว่ CVE-2025-20265 ใน Cisco FMC: เมื่อระบบป้องกันกลายเป็นช่องทางโจมตี Cisco ได้ออกประกาศเตือนถึงช่องโหว่ร้ายแรงใน Secure Firewall Management Center (FMC) ซึ่งเป็นระบบจัดการไฟร์วอลล์แบบรวมศูนย์ที่ใช้กันในองค์กรและหน่วยงานรัฐบาลทั่วโลก โดยช่องโหว่นี้อยู่ในระบบยืนยันตัวตนผ่าน RADIUS ซึ่งเป็นโปรโตคอลที่ใช้เชื่อมต่อกับเซิร์ฟเวอร์ภายนอกเพื่อจัดการบัญชีผู้ใช้ ช่องโหว่นี้เกิดจากการจัดการข้อมูลที่ผู้ใช้กรอกระหว่างการล็อกอินไม่ดีพอ ทำให้แฮกเกอร์สามารถส่งข้อมูลที่ถูกออกแบบมาเฉพาะเพื่อสั่งให้ระบบรันคำสั่ง shell โดยไม่ต้องยืนยันตัวตนเลย ซึ่งหมายความว่าแฮกเกอร์สามารถควบคุมระบบได้ทันทีหาก FMC ถูกตั้งค่าให้ใช้ RADIUS สำหรับการล็อกอินผ่านเว็บหรือ SSH ช่องโหว่นี้ถูกระบุเป็น CVE-2025-20265 และได้รับคะแนนความรุนแรงเต็ม 10/10 จาก Cisco โดยส่งผลกระทบต่อเวอร์ชัน 7.0.7 และ 7.7.0 ของ FMC เท่านั้น หากมีการเปิดใช้ RADIUS authentication Cisco ได้ออกแพตช์แก้ไขแล้ว และแนะนำให้ผู้ใช้ที่ไม่สามารถติดตั้งแพตช์ได้ให้ปิดการใช้งาน RADIUS แล้วเปลี่ยนไปใช้ระบบยืนยันตัวตนแบบอื่น เช่น LDAP หรือบัญชีผู้ใช้ภายในแทน ✅ ข้อมูลจากข่าวหลัก ➡️ ช่องโหว่ CVE-2025-20265 อยู่ในระบบ RADIUS authentication ของ Cisco FMC ➡️ ช่องโหว่นี้เปิดช่องให้แฮกเกอร์ส่งคำสั่ง shell โดยไม่ต้องยืนยันตัวตน ➡️ ส่งผลกระทบต่อ FMC เวอร์ชัน 7.0.7 และ 7.7.0 ที่เปิดใช้ RADIUS สำหรับเว็บหรือ SSH ➡️ Cisco ให้คะแนนความรุนแรง 10/10 และแนะนำให้ติดตั้งแพตช์ทันที ➡️ หากไม่สามารถติดตั้งแพตช์ได้ ให้ปิด RADIUS และใช้ LDAP หรือ local accounts แทน ➡️ ช่องโหว่นี้ถูกค้นพบโดยนักวิจัยของ Cisco เอง และยังไม่มีรายงานการโจมตีจริงในขณะนี้ ➡️ Cisco ยังออกแพตช์แก้ไขช่องโหว่อื่นๆ อีก 13 รายการในผลิตภัณฑ์ต่างๆ ✅ ข้อมูลเสริมจากภายนอก ➡️ RADIUS เป็นโปรโตคอลยอดนิยมในองค์กรที่ต้องการควบคุมการเข้าถึงจากศูนย์กลาง ➡️ ช่องโหว่ลักษณะนี้จัดอยู่ในกลุ่ม “command injection” ซึ่งเป็นหนึ่งในช่องโหว่ที่อันตรายที่สุด ➡️ การโจมตีแบบนี้สามารถใช้เพื่อเข้าถึงข้อมูลลับหรือควบคุมระบบเครือข่ายทั้งหมด ➡️ Cisco แนะนำให้ผู้ใช้ทดสอบการเปลี่ยนระบบยืนยันตัวตนก่อนใช้งานจริง ➡️ ช่องโหว่นี้ไม่ส่งผลต่อ Cisco ASA หรือ FTD ซึ่งใช้ระบบจัดการคนละแบบ ➡️ การใช้ SAML หรือ LDAP อาจช่วยลดความเสี่ยงในระบบองค์กรได้ https://www.techradar.com/pro/security/cisco-warns-of-worrying-major-security-flaw-in-firewall-command-center-so-patch-now

🕵️‍♂️🔐 เล่าให้ฟังใหม่: การโจมตีแบบ Brute-Force ครั้งใหญ่ต่อ Fortinet SSL VPN – สัญญาณเตือนภัยไซเบอร์ที่ไม่ควรมองข้าม เมื่อวันที่ 3 สิงหาคม 2025 นักวิจัยจาก GreyNoise ตรวจพบการโจมตีแบบ brute-force จำนวนมหาศาลต่อ Fortinet SSL VPN โดยมี IP ที่ไม่ซ้ำกันกว่า 780 รายการในวันเดียว ซึ่งเป็นปริมาณสูงสุดในรอบหลายเดือน การโจมตีนี้ไม่ใช่การสุ่มทั่วไป แต่เป็นการโจมตีแบบมีเป้าหมายชัดเจน โดยเริ่มจาก FortiOS และเปลี่ยนเป้าหมายไปยัง FortiManager ซึ่งเป็นเครื่องมือจัดการอุปกรณ์ Fortinet หลายตัวพร้อมกัน สิ่งที่น่าสนใจคือ มีเบาะแสว่าเครื่องมือโจมตีอาจถูกปล่อยจากเครือข่ายบ้านหรือใช้ residential proxy เพื่อหลบเลี่ยงการตรวจจับ และมีการพบลักษณะการโจมตีคล้ายกันในเดือนมิถุนายน ซึ่งเชื่อมโยงกับการเปิดเผยช่องโหว่ใหม่ในภายหลัง GreyNoise พบว่า 80% ของการโจมตีลักษณะนี้มักนำไปสู่การเปิดเผยช่องโหว่ใหม่ภายใน 6 สัปดาห์ โดยเฉพาะในระบบ edge เช่น VPN และ firewall ซึ่งเป็นเป้าหมายหลักของกลุ่มผู้โจมตีขั้นสูง ✅ พบการโจมตีแบบ brute-force ต่อ Fortinet SSL VPN จากกว่า 780 IP ภายในวันเดียว ➡️ เป็นปริมาณสูงสุดในรอบหลายเดือน ✅ การโจมตีมีเป้าหมายชัดเจน ไม่ใช่การสุ่ม ➡️ เริ่มจาก FortiOS แล้วเปลี่ยนไปยัง FortiManager ✅ FortiManager เป็นเครื่องมือจัดการอุปกรณ์ Fortinet หลายตัว ➡️ การโจมตีตรงนี้อาจทำให้ระบบทั้งเครือข่ายถูกควบคุม ✅ พบว่าการโจมตีอาจมาจากเครือข่ายบ้านหรือใช้ residential proxy ➡️ เพื่อหลบเลี่ยงการตรวจจับจากระบบป้องกัน ✅ ประเทศเป้าหมายหลักคือ ฮ่องกงและบราซิล ➡️ แต่ยังพบการโจมตีในสหรัฐฯ แคนาดา รัสเซีย และญี่ปุ่น ✅ GreyNoise พบว่าการโจมตีแบบนี้มักนำไปสู่การเปิดเผยช่องโหว่ใหม่ ➡️ โดยเฉลี่ยภายใน 6 สัปดาห์หลังจากการโจมตีเริ่มต้น ✅ Fortinet แนะนำให้ลูกค้าใช้เครื่องมือของ GreyNoise เพื่อบล็อก IP ที่เป็นอันตราย ➡️ และติดตามสถานการณ์อย่างใกล้ชิด https://hackread.com/brute-force-campaign-fortinet-ssl-vpn-coordinated-attack/

🎭💻 เรื่องเล่าจากโลกไซเบอร์: Raspberry Pi ตัวจิ๋วเกือบทำให้ธนาคารสูญเงินมหาศาล ลองจินตนาการว่าอุปกรณ์ขนาดเท่าฝ่ามืออย่าง Raspberry Pi ถูกแอบติดตั้งไว้ในเครือข่าย ATM ของธนาคาร โดยเชื่อมต่อผ่าน 4G และสามารถสื่อสารกับแฮกเกอร์จากภายนอกได้ตลอดเวลา—โดยไม่มีใครรู้เลย! นี่คือสิ่งที่กลุ่มแฮกเกอร์ UNC2891 ทำ พวกเขาใช้ความรู้ด้าน Linux และ Unix อย่างลึกซึ้ง ผสมกับเทคนิคการพรางตัวระดับสูง เช่นการใช้ชื่อโปรเซสปลอม (“lightdm”) และซ่อนโฟลเดอร์ในระบบด้วย bind mount เพื่อหลบเลี่ยงการตรวจจับจากเครื่องมือ forensic เป้าหมายของพวกเขาคือเจาะเข้าไปยังเซิร์ฟเวอร์สวิตช์ ATM และติดตั้ง rootkit ชื่อ CAKETAP ซึ่งสามารถหลอกระบบความปลอดภัยของธนาคารให้อนุมัติการถอนเงินปลอมได้อย่างแนบเนียน แม้การโจมตีจะถูกหยุดก่อนจะเกิดความเสียหายจริง แต่สิ่งที่น่ากลัวคือ แม้ Raspberry Pi จะถูกถอดออกแล้ว พวกเขายังสามารถเข้าถึงระบบผ่าน backdoor ที่ซ่อนไว้ใน mail server ได้อยู่ดี นี่ไม่ใช่แค่การแฮกผ่านอินเทอร์เน็ต แต่มันคือการผสมผสานระหว่างการเจาะระบบแบบ physical และ digital อย่างแยบยลที่สุดเท่าที่เคยมีมา ✅ กลุ่ม UNC2891 ใช้ Raspberry Pi เชื่อมต่อ 4G แอบติดตั้งในเครือข่าย ATM ➡️ ติดตั้งบน network switch เดียวกับ ATM เพื่อเข้าถึงระบบภายในธนาคาร ✅ ใช้ backdoor ชื่อ Tinyshell สื่อสารกับเซิร์ฟเวอร์ควบคุมผ่าน Dynamic DNS ➡️ ทำให้สามารถควบคุมจากภายนอกได้โดยไม่ถูก firewall ตรวจจับ ✅ ใช้เทคนิค Linux bind mount เพื่อซ่อนโปรเซสจากเครื่องมือ forensic ➡️ เทคนิคนี้ถูกบันทึกใน MITRE ATT&CK ว่าเป็น T1564.013 ✅ เป้าหมายคือการติดตั้ง rootkit CAKETAP บน ATM switching server ➡️ เพื่อหลอกระบบให้อนุมัติการถอนเงินปลอมโดยไม่ถูกตรวจจับ ✅ แม้ Raspberry Pi ถูกถอดออกแล้ว แต่ยังมี backdoor บน mail server ➡️ แสดงถึงการวางแผนเพื่อคงการเข้าถึงระบบอย่างต่อเนื่อง ✅ การสื่อสารกับ Raspberry Pi เกิดทุก 600 วินาที ➡️ ทำให้การตรวจจับยากเพราะดูเหมือนการทำงานปกติของระบบ ✅ UNC2891 เคยถูก Mandiant ตรวจพบในปี 2022 ว่าโจมตีระบบ ATM หลายแห่ง ➡️ ใช้ rootkit CAKETAP เพื่อหลอกการตรวจสอบ PIN และบัตร ✅ Raspberry Pi 4 ราคาประมาณ $35 และโมเด็ม 4G ประมาณ $140 ➡️ แสดงให้เห็นว่าอุปกรณ์โจมตีไม่จำเป็นต้องแพง ✅ กลุ่มนี้มีความเชี่ยวชาญในระบบ Linux, Unix และ Solaris ➡️ เคยใช้ malware ชื่อ SlapStick และ TinyShell ในการโจมตี ✅ การใช้ bind mount เป็นเทคนิคที่ไม่เคยพบในแฮกเกอร์มาก่อน ➡️ ปกติใช้ในงาน IT administration แต่ถูกนำมาใช้เพื่อหลบ forensic https://www.techradar.com/pro/security/talk-about-an-unexpected-charge-criminals-deploy-raspberry-pi-with-4g-modem-in-an-attempt-to-hack-atms

🛡️🏢 เรื่องเล่าจากห้องประชุม: CISO ผู้นำความมั่นคงไซเบอร์ที่องค์กรยุคใหม่ขาดไม่ได้ ในยุคที่ข้อมูลคือทรัพย์สินที่มีค่าที่สุดขององค์กร ตำแหน่ง “CISO” หรือ Chief Information Security Officer จึงกลายเป็นหนึ่งในบทบาทที่สำคัญที่สุดในระดับผู้บริหาร โดยมีหน้าที่ดูแลความปลอดภัยของข้อมูลและระบบดิจิทัลทั้งหมดขององค์กร แต่รู้ไหมว่า...มีเพียง 45% ของบริษัทในอเมริกาเหนือเท่านั้นที่มี CISO และในบริษัทที่มีรายได้เกินพันล้านดอลลาร์ ตัวเลขนี้ลดลงเหลือเพียง 15%! หลายองค์กรยังมองว่า cybersecurity เป็นแค่ต้นทุนด้าน IT ไม่ใช่ความเสี่ยงเชิงกลยุทธ์ ทำให้ CISO บางคนต้องรายงานต่อ CIO หรือ CSO แทนที่จะได้ที่นั่งในห้องประชุมผู้บริหาร CISO ที่มีอำนาจจริงจะต้องรับผิดชอบตั้งแต่การวางนโยบายความปลอดภัย การจัดการความเสี่ยง การตอบสนองเหตุการณ์ ไปจนถึงการสื่อสารกับบอร์ดและผู้ถือหุ้น พวกเขาต้องมีทั้งความรู้ด้านเทคนิค เช่น DNS, VPN, firewall และความเข้าใจในกฎหมายอย่าง GDPR, HIPAA, SOX รวมถึงทักษะการบริหารและการสื่อสารเชิงธุรกิจ ในปี 2025 บทบาทของ CISO ขยายไปสู่การกำกับดูแล AI, การควบรวมกิจการ และการเปลี่ยนผ่านดิจิทัล ทำให้พวกเขากลายเป็น “ผู้ขับเคลื่อนกลยุทธ์องค์กร” ไม่ใช่แค่ “ผู้เฝ้าประตูระบบ” ✅ CISO คือผู้บริหารระดับสูงที่รับผิดชอบด้านความปลอดภัยของข้อมูล ➡️ ดูแลทั้งระบบ IT, นโยบาย, การตอบสนองเหตุการณ์ และการบริหารความเสี่ยง ✅ มีเพียง 45% ของบริษัทในอเมริกาเหนือที่มี CISO ➡️ และเพียง 15% ของบริษัทที่มีรายได้เกิน $1B ที่มี CISO ในระดับ C-suite ✅ CISO ที่รายงานตรงต่อ CEO หรือบอร์ดจะมีอิทธิพลมากกว่า ➡️ ช่วยให้การตัดสินใจด้านความปลอดภัยมีน้ำหนักในเชิงกลยุทธ์ ✅ หน้าที่หลักของ CISO ได้แก่: ➡️ Security operations, Cyber risk, Data loss prevention, Architecture, IAM, Program management, Forensics, Governance ✅ คุณสมบัติของ CISO ที่ดีต้องมีทั้งพื้นฐานเทคนิคและทักษะธุรกิจ ➡️ เช่น ความเข้าใจใน DNS, VPN, ethical hacking, compliance และการสื่อสารกับผู้บริหาร ✅ บทบาทของ CISO ขยายไปสู่การกำกับดูแล AI และการควบรวมกิจการ ➡️ ทำให้กลายเป็นผู้ขับเคลื่อนกลยุทธ์องค์กร ไม่ใช่แค่ฝ่ายเทคนิค ✅ มีการแบ่งประเภท CISO เป็น 3 กลุ่ม: Strategic, Functional, Tactical ➡️ Strategic CISO มีอิทธิพลสูงสุดในองค์กรและได้รับค่าตอบแทนสูง ✅ ความท้าทายใหม่ของ CISO ได้แก่ภัยคุกคามจาก AI, ransomware และ social engineering ➡️ ต้องใช้แนวทางป้องกันที่ปรับตัวได้และเน้นการฝึกอบรมพนักงาน ✅ การมี CISO ที่มี visibility ในบอร์ดช่วยเพิ่มความพึงพอใจในงานและโอกาสเติบโต ➡️ เช่น การสร้างความสัมพันธ์กับบอร์ดนอกการประชุม https://www.csoonline.com/article/566757/what-is-a-ciso-responsibilities-and-requirements-for-this-vital-leadership-role.html

🎙️ เรื่องเล่าจากข่าว: เมื่อ Perplexity แอบคลานเข้าเว็บต้องห้าม—Cloudflare ไม่ทนอีกต่อไป Cloudflare บริษัทด้านความปลอดภัยอินเทอร์เน็ตชื่อดัง ได้เปิดเผยว่า Perplexity ซึ่งเป็น AI search engine กำลังใช้เทคนิค “stealth crawling” เพื่อหลบเลี่ยงข้อจำกัดของเว็บไซต์ที่ไม่อนุญาตให้บ็อตเข้าถึงข้อมูล เช่น การตั้งค่าในไฟล์ robots.txt หรือการใช้ firewall แม้ Perplexity จะมี user-agent ที่ประกาศชัดเจน เช่น PerplexityBot และ Perplexity-User แต่เมื่อถูกบล็อก มันกลับเปลี่ยนกลยุทธ์โดยใช้ user-agent ปลอมที่ดูเหมือน Chrome บน macOS พร้อมหมุน IP และ ASN เพื่อหลบเลี่ยงการตรวจจับ Cloudflare จึงทำการทดสอบโดยสร้างโดเมนใหม่ที่ไม่สามารถค้นเจอได้ และตั้งค่าให้ห้ามบ็อตทุกชนิดเข้า แต่เมื่อถาม Perplexity AI กลับได้ข้อมูลจากเว็บไซต์ลับเหล่านั้นอย่างแม่นยำ แสดงว่ามีการเข้าถึงโดยไม่ได้รับอนุญาตจริง ✅ Perplexity ใช้บ็อตลับเพื่อหลบเลี่ยงการบล็อกจาก robots.txt และ firewall ➡️ เปลี่ยน user-agent เป็น Chrome บน macOS เพื่อหลอกว่าเป็นผู้ใช้ทั่วไป ➡️ หมุน IP และ ASN เพื่อหลบการตรวจจับจากระบบความปลอดภัย ✅ Cloudflare ได้รับร้องเรียนจากลูกค้าว่า Perplexity ยังเข้าถึงเว็บไซต์แม้ถูกบล็อกแล้ว ➡️ ลูกค้าใช้ทั้ง robots.txt และ WAF rules เพื่อบล็อกบ็อตของ Perplexity ➡️ แต่ยังพบการเข้าถึงข้อมูลจากบ็อตที่ไม่ประกาศตัว ✅ Cloudflare ทำการทดสอบโดยสร้างโดเมนลับและพบว่า Perplexity ยังสามารถดึงข้อมูลได้ ➡️ โดเมนใหม่ไม่ถูก index และมี robots.txt ที่ห้ามบ็อตทุกชนิด ➡️ แต่ Perplexity ยังสามารถตอบคำถามเกี่ยวกับเนื้อหาในเว็บไซต์นั้นได้ ✅ Perplexity ถูกถอดออกจาก Verified Bot Program ของ Cloudflare ➡️ Cloudflare ใช้ heuristics และกฎใหม่เพื่อบล็อกการ crawling แบบลับ ➡️ ถือเป็นการละเมิดมาตรฐานการ crawling ตาม RFC 9309 ✅ Perplexity ส่งคำขอแบบลับถึงหลายล้านครั้งต่อวัน ➡️ บ็อตที่ประกาศตัวส่งคำขอ 20–25 ล้านครั้ง/วัน ➡️ บ็อตลับส่งคำขออีก 3–6 ล้านครั้ง/วัน ‼️ การใช้บ็อตลับเพื่อหลบเลี่ยงข้อจำกัดของเว็บไซต์ถือเป็นการละเมิดความเชื่อมั่นบนอินเทอร์เน็ต ⛔ อินเทอร์เน็ตถูกสร้างบนหลักการของความโปร่งใสและการเคารพสิทธิ์ ⛔ การหลบเลี่ยง robots.txt เป็นการละเมิดมาตรฐานที่มีมานานกว่า 30 ปี ‼️ การละเมิด Verified Bot Policy อาจส่งผลต่อความน่าเชื่อถือของ Perplexity ในระยะยาว ⛔ ถูกถอดจาก whitelist ของ Cloudflare ⛔ อาจถูกบล็อกจากเว็บไซต์จำนวนมากในอนาคต ✅ มาตรฐาน Robots Exclusion Protocol ถูกเสนอครั้งแรกในปี 1994 และกลายเป็นมาตรฐานในปี 2022 ➡️ เป็นแนวทางให้บ็อตเคารพสิทธิ์ของเว็บไซต์ ➡️ ใช้ไฟล์ robots.txt เพื่อระบุข้อจำกัด ✅ OpenAI ได้รับคำชมจาก Cloudflareว่าเคารพ robots.txt และ network blocks อย่างถูกต้อง ➡️ ChatGPT-User หยุด crawling เมื่อถูกห้าม ➡️ ถือเป็นตัวอย่างของบ็อตที่ทำงานอย่างมีจริยธรรม ✅ Perplexity เคยถูกกล่าวหาว่าละเมิดลิขสิทธิ์จากหลายสำนักข่าว เช่น Forbes และ Wired ➡️ มีการเผยแพร่เนื้อหาคล้ายกับบทความต้นฉบับโดยไม่ได้รับอนุญาต ➡️ ถูกวิจารณ์ว่า “ขโมยข้อมูลอย่างหน้าด้าน” https://blog.cloudflare.com/perplexity-is-using-stealth-undeclared-crawlers-to-evade-website-no-crawl-directives/

🧠 เรื่องเล่าจากข่าว: “SS7 encoding attack” เมื่อการสื่อสารกลายเป็นช่องทางลับของการสอดแนม SS7 หรือ Signaling System 7 คือโปรโตคอลเก่าแก่ที่ใช้เชื่อมต่อสายโทรศัพท์, ส่งข้อความ, และจัดการการโรมมิ่งระหว่างเครือข่ายมือถือทั่วโลก แม้จะเป็นหัวใจของการสื่อสารยุคใหม่ แต่ SS7 ไม่เคยถูกออกแบบมาให้ปลอดภัยในระดับที่ทันสมัย ล่าสุดนักวิจัยจาก Enea พบว่า บริษัทสอดแนมแห่งหนึ่งใช้เทคนิคใหม่ในการ “ปรับรูปแบบการเข้ารหัส” ของข้อความ SS7 เพื่อหลบเลี่ยงระบบตรวจจับ เช่น firewall และระบบเฝ้าระวัง ทำให้สามารถขอข้อมูลตำแหน่งของผู้ใช้มือถือจากผู้ให้บริการได้โดยไม่ถูกบล็อก เทคนิคนี้อาศัยการปรับโครงสร้างของข้อความ TCAP (Transaction Capabilities Application Part) ซึ่งเป็นชั้นใน SS7 ที่ใช้ส่งข้อมูลระหว่างเครือข่าย โดยใช้การเข้ารหัสแบบ ASN.1 BER ที่มีความยืดหยุ่นสูง ทำให้สามารถสร้างข้อความที่ “ถูกต้องตามหลักการ แต่ผิดจากที่ระบบคาดไว้” จนระบบไม่สามารถตรวจจับได้ การโจมตีนี้ถูกใช้จริงตั้งแต่ปลายปี 2024 และสามารถระบุตำแหน่งผู้ใช้ได้ใกล้ถึงระดับเสาสัญญาณ ซึ่งในเมืองใหญ่หมายถึงระยะเพียงไม่กี่ร้อยเมตร ✅ SS7 encoding attack คือการปรับรูปแบบการเข้ารหัสของข้อความ SS7 เพื่อหลบเลี่ยงระบบตรวจจับ ➡️ ใช้เทคนิคการเข้ารหัสแบบ ASN.1 BER ในชั้น TCAP ของ SS7 ➡️ สร้างข้อความที่ดูถูกต้องแต่ระบบไม่สามารถถอดรหัสได้ ✅ บริษัทสอดแนมใช้เทคนิคนี้เพื่อขอข้อมูลตำแหน่งผู้ใช้มือถือจากผู้ให้บริการ ➡️ ส่งคำสั่ง PSI (ProvideSubscriberInfo) ที่ถูกปรับแต่ง ➡️ ระบบไม่สามารถตรวจสอบ IMSI ได้ จึงไม่บล็อกคำขอ ✅ การโจมตีนี้ถูกใช้จริงตั้งแต่ปลายปี 2024 และยังคงมีผลในปี 2025 ➡️ พบหลักฐานการใช้งานในเครือข่ายจริง ➡️ บริษัทสอดแนมสามารถระบุตำแหน่งผู้ใช้ได้ใกล้ระดับเสาสัญญาณ ✅ SS7 ยังคงถูกใช้งานอย่างแพร่หลาย แม้จะมีเทคโนโลยีใหม่อย่าง Diameter และ 5G signaling ➡️ การเลิกใช้ SS7 ไม่ใช่ทางเลือกสำหรับผู้ให้บริการส่วนใหญ่ ➡️ ต้องใช้วิธีป้องกันเชิงพฤติกรรมและการวิเคราะห์ภัยคุกคาม ✅ Enea แนะนำให้ผู้ให้บริการตรวจสอบรูปแบบการเข้ารหัสที่ผิดปกติและเสริม firewall ให้แข็งแรงขึ้น ➡️ ใช้การวิเคราะห์พฤติกรรมร่วมกับ threat intelligence ➡️ ป้องกันการหลบเลี่ยงระบบตรวจจับในระดับโครงสร้างข้อความ ‼️ ผู้ใช้มือถือไม่สามารถป้องกันการโจมตีนี้ได้ด้วยตัวเอง ⛔ การโจมตีเกิดในระดับเครือข่ายมือถือ ไม่ใช่ที่อุปกรณ์ของผู้ใช้ ⛔ ต้องพึ่งผู้ให้บริการในการป้องกัน ‼️ ระบบ SS7 firewall แบบเดิมไม่สามารถตรวจจับการเข้ารหัสที่ผิดปกติได้ ⛔ ข้อความที่ใช้ encoding แบบใหม่จะผ่าน firewall โดยไม่ถูกบล็อก ⛔ IMSI ที่ถูกซ่อนไว้จะไม่ถูกตรวจสอบว่าเป็นเครือข่ายภายในหรือภายนอก ‼️ บริษัทสอดแนมสามารถใช้ช่องโหว่นี้เพื่อสอดแนมผู้ใช้โดยไม่ต้องได้รับอนุญาตจากรัฐ ⛔ แม้จะอ้างว่าใช้เพื่อจับอาชญากร แต่มีการใช้กับนักข่าวและนักเคลื่อนไหว ⛔ เป็นการละเมิดสิทธิส่วนบุคคลอย่างร้ายแรง ‼️ ระบบ SS7 มีความซับซ้อนและไม่ถูกออกแบบมาให้รองรับการป้องกันภัยสมัยใหม่ ⛔ ASN.1 BER มีความยืดหยุ่นสูงจนกลายเป็นช่องโหว่ ⛔ การปรับโครงสร้างข้อความสามารถหลบเลี่ยงระบบตรวจจับได้ง่าย https://hackread.com/researchers-ss7-encoding-attack-surveillance-vendor/

🧠 เรื่องเล่าจากไฟร์วอลล์: เมื่อ VPN กลายเป็นช่องโหว่ให้แฮกเกอร์เดินเข้าองค์กร บริษัทวิจัยด้านความปลอดภัย watchTowr ได้เปิดเผยช่องโหว่ร้ายแรง 3 รายการในอุปกรณ์ SonicWall SMA100 SSL-VPN ได้แก่: 1️⃣ CVE-2025-40596 – ช่องโหว่ stack-based buffer overflow ในโปรแกรม httpd ที่ใช้ sscanf แบบผิดพลาด ทำให้แฮกเกอร์สามารถส่งข้อมูลเกินขนาดเข้าไปในหน่วยความจำก่อนการล็อกอิน ซึ่งอาจนำไปสู่การโจมตีแบบ DoS หรือแม้แต่ Remote Code Execution (RCE) 2️⃣ CVE-2025-40597 – ช่องโหว่ heap-based buffer overflow ในโมดูล mod_httprp.so ที่ใช้ sprintf แบบไม่ปลอดภัยกับ header “Host:” ทำให้สามารถเขียนข้อมูลเกินขอบเขตหน่วยความจำได้ 3️⃣ CVE-2025-40598 – ช่องโหว่ reflected XSS ที่เปิดทางให้แฮกเกอร์ฝัง JavaScript ลงในลิงก์ที่ผู้ใช้เปิด โดย Web Application Firewall (WAF) บนอุปกรณ์กลับถูกปิดไว้ ทำให้ไม่มีการป้องกัน SonicWall ได้ออกแพตช์แก้ไขใน firmware เวอร์ชัน 10.2.2.1-90sv และแนะนำให้เปิดใช้ MFA และ WAF ทันที พร้อมยืนยันว่าอุปกรณ์ SMA1000 และ VPN บนไฟร์วอลล์รุ่นอื่นไม่ถูกกระทบ https://hackread.com/sonicwall-patch-after-3-vpn-vulnerabilities-disclosed/

🕷️ เรื่องเล่าจากเงามืด: เมื่อ Scattered Spider ใช้โทรศัพท์แทนมัลแวร์เพื่อยึดระบบเสมือน Scattered Spider เป็นกลุ่มแฮกเกอร์ที่มีชื่อเสียงจากการโจมตีองค์กรใหญ่ เช่น MGM Resorts และ Harrods โดยใช้เทคนิคที่ไม่ต้องพึ่งช่องโหว่ซอฟต์แวร์ แต่ใช้ “social engineering” ผ่านการโทรศัพท์ไปยัง Help Desk เพื่อขอรีเซ็ตรหัสผ่านของบัญชี Active Directory เมื่อได้สิทธิ์เข้าระบบแล้ว พวกเขาจะค้นหาข้อมูลภายใน เช่น รายชื่อผู้ดูแลระบบ vSphere และกลุ่มสิทธิ์ระดับสูง แล้วโทรอีกครั้งเพื่อขอรีเซ็ตรหัสของผู้ดูแลระบบ จากนั้นใช้สิทธิ์ที่ได้เข้าไปยึด VMware vCenter Server Appliance (VCSA) และเปิดช่องทาง SSH บน ESXi hypervisor เพื่อควบคุมระบบทั้งหมด พวกเขายังใช้เครื่องมือถูกกฎหมายอย่าง Teleport เพื่อสร้างช่องทางสื่อสารแบบเข้ารหัสที่หลบเลี่ยงไฟร์วอลล์ และทำการโจมตีแบบ “disk-swap” โดยปิด VM ของ Domain Controller แล้วถอดดิสก์ไปติดตั้งบน VM ที่ควบคุมเอง เพื่อขโมยฐานข้อมูล NTDS.dit ของ Active Directory ก่อนจะปล่อยแรนซัมแวร์ พวกเขายังลบงานสำรองข้อมูลและ snapshot ทั้งหมด เพื่อให้เหยื่อไม่มีทางกู้คืนได้ และสุดท้ายก็เข้ารหัสไฟล์ VM ทั้งหมดจากระดับ hypervisor โดยใช้สิทธิ์ root ผ่าน SSH ✅ Scattered Spider (UNC3944) ใช้ social engineering เพื่อยึดระบบ VMware vSphere ➡️ เริ่มจากโทรหา Help Desk เพื่อขอรีเซ็ตรหัสผ่านของบัญชี AD ➡️ ใช้ข้อมูลจากการเจาะระบบภายในเพื่อยกระดับสิทธิ์ ✅ กลุ่มนี้ใช้เครื่องมือถูกกฎหมาย เช่น Teleport เพื่อสร้างช่องทางควบคุมแบบเข้ารหัส ➡️ ติดตั้งบน VCSA เพื่อหลบเลี่ยงการตรวจจับจาก firewall และ EDR ➡️ สร้างช่องทางควบคุมระยะไกลแบบถาวร ✅ เทคนิค “disk-swap” ใช้ในการขโมยฐานข้อมูล Active Directory โดยไม่ถูกตรวจจับ ➡️ ปิด VM ของ Domain Controller แล้วถอดดิสก์ไปติดตั้งบน VM ที่ควบคุม ➡️ ขโมยไฟล์ NTDS.dit โดยไม่ผ่านระบบปฏิบัติการของ VM ✅ ก่อนปล่อยแรนซัมแวร์ กลุ่มนี้จะลบงานสำรองข้อมูลทั้งหมด ➡️ ลบ backup jobs และ repositories เพื่อป้องกันการกู้คืน ➡️ ใช้ SSH บน ESXi hosts เพื่อเข้ารหัสไฟล์ VM โดยตรง ✅ Google แนะนำให้เปลี่ยนแนวทางป้องกันจาก EDR เป็น “infrastructure-centric defense” ➡️ เน้นการตรวจสอบระดับ hypervisor และการควบคุมสิทธิ์ ➡️ ใช้ MFA ที่ต้าน phishing, แยกโครงสร้างสำรองข้อมูล, และตรวจสอบ log อย่างต่อเนื่อง ‼️ การโจมตีแบบนี้สามารถเกิดขึ้นได้ภายในเวลาไม่กี่ชั่วโมง ⛔ จากการโทรครั้งแรกถึงการเข้ารหัสข้อมูลใช้เวลาเพียงไม่กี่ชั่วโมง ⛔ ทำให้ระบบตรวจจับแบบเดิมไม่ทันต่อเหตุการณ์ ‼️ ระบบ VMware ESXi และ VCSA มีช่องว่างด้านการตรวจสอบที่ EDR มองไม่เห็น ⛔ ไม่มี agent รันใน hypervisor ทำให้การโจมตีไม่ถูกตรวจจับ ⛔ ต้องใช้การตรวจสอบ log จากระดับระบบเสมือนโดยตรง ‼️ การใช้ Active Directory ร่วมกับ vSphere เป็นจุดอ่อนสำคัญ ⛔ เมื่อ AD ถูกยึด สิทธิ์ใน vSphere ก็ถูกยึดตามไปด้วย ⛔ ควรแยกโครงสร้างสิทธิ์และใช้ MFA ที่ไม่พึ่ง AD ‼️ Help Desk กลายเป็นจุดเริ่มต้นของการโจมตี ⛔ การรีเซ็ตรหัสผ่านผ่านโทรศัพท์เป็นช่องทางที่ถูกใช้บ่อย ⛔ ควรมีขั้นตอนตรวจสอบตัวตนที่เข้มงวดและห้ามรีเซ็ตบัญชีระดับสูงผ่านโทรศัพท์ https://hackread.com/scattered-spider-ransomware-hijack-vmware-systems-google/

🎙️ เรื่องเล่าจากมัลแวร์ที่ปลอมตัวเป็น Chrome: เมื่อ Interlock แรนซัมแวร์ใช้ CAPTCHA หลอกให้รันคำสั่งเอง Interlock ถูกตรวจพบครั้งแรกในเดือนกันยายน 2024 และมีการโจมตีเพิ่มขึ้นในช่วงกลางปี 2025 โดย FBI พบว่า: - กลุ่มนี้พัฒนาแรนซัมแวร์สำหรับทั้ง Windows และ Linux - เน้นโจมตีระบบ virtual machine (VM) และใช้เทคนิคใหม่ในการเข้าถึงระบบ เทคนิคที่ใช้มีความแปลกใหม่ เช่น: - “Drive-by download” จากเว็บไซต์ที่ถูกแฮก โดยปลอมเป็นอัปเดตของ Chrome, Edge, FortiClient หรือ Cisco Secure Client - “ClickFix” — หลอกให้ผู้ใช้คลิก CAPTCHA ปลอม แล้วคัดลอกคำสั่งไปวางในหน้าต่าง Run ของระบบ เมื่อเข้าระบบได้แล้ว Interlock จะ: - ใช้ web shell และ Cobalt Strike เพื่อควบคุมระบบ - ขโมยข้อมูล เช่น username, password และใช้ keylogger บันทึกการพิมพ์ - เข้ารหัสไฟล์และเปลี่ยนนามสกุลเป็น .interlock หรือ .1nt3rlock - ส่งโน้ตร้องขอค่าไถ่ผ่านเว็บไซต์ .onion โดยไม่ระบุจำนวนเงิน - ข่มขู่ว่าจะเปิดเผยข้อมูลหากไม่จ่ายค่าไถ่เป็น Bitcoin — และเคยทำจริงหลายครั้ง FBI, CISA, HHS และ MS-ISAC แนะนำให้ทุกองค์กรเร่งดำเนินมาตรการป้องกัน เช่น: - ใช้ DNS filtering และ firewall เพื่อป้องกันการเข้าถึงเว็บอันตราย - อัปเดตระบบและซอฟต์แวร์ทั้งหมด - ใช้ MFA และจัดการสิทธิ์การเข้าถึงอย่างเข้มงวด - แบ่งเครือข่ายเพื่อลดการแพร่กระจาย - สำรองข้อมูลแบบ offline และไม่สามารถแก้ไขได้ (immutable backup) ✅ FBI และ CISA เตือนภัย Interlock ransomware ที่โจมตีองค์กรและโครงสร้างพื้นฐานสำคัญ ➡️ ใช้เทคนิค double extortion คือทั้งเข้ารหัสและข่มขู่เปิดเผยข้อมูล ✅ Interlock พัฒนาแรนซัมแวร์สำหรับ Windows และ Linux โดยเน้นโจมตี VM ➡️ ใช้เทคนิคใหม่ เช่น drive-by download และ ClickFix ✅ ClickFix คือการหลอกให้ผู้ใช้คลิก CAPTCHA ปลอม แล้วรันคำสั่งอันตรายเอง ➡️ เป็นการใช้ social engineering ที่แยบยลและยากต่อการตรวจจับ ✅ หลังเข้าระบบ Interlock ใช้ Cobalt Strike และ web shell เพื่อควบคุมและขโมยข้อมูล ➡️ รวมถึงการใช้ keylogger เพื่อดักจับการพิมพ์ ✅ ไฟล์ที่ถูกเข้ารหัสจะมีนามสกุล .interlock หรือ .1nt3rlock ➡️ โน้ตร้องขอค่าไถ่ไม่ระบุจำนวนเงิน แต่ให้ติดต่อผ่าน Tor ✅ หน่วยงานแนะนำให้ใช้ DNS filtering, MFA, network segmentation และ backup แบบ immutable ➡️ พร้อมทรัพยากรฟรีจากโครงการ #StopRansomware https://hackread.com/fbi-cisa-interlock-ransomware-target-critical-infrastructure/

มีคนมาถามว่าลุงให้ Antivirus ยี่ห้ออะไร? ลุงใช้ Bitdefender ครับ 🎙️ เรื่องเล่าจากโลกไซเบอร์: Antivirus กับ Internet Security ยังต่างกันอยู่ไหม? ในยุคที่มัลแวร์แอบแฝงผ่านเว็บ, อีเมล, และไฟล์ต่าง ๆ ได้เนียนเหมือนภาพโฆษณา — คนจำนวนมากจึงตั้งคำถามว่า “ควรเลือกแค่ Antivirus หรือจ่ายเพิ่มเพื่อ Internet Security ดี?” 🔍 Antivirus คืออะไร Antivirus คือซอฟต์แวร์ที่ตรวจจับและกำจัดมัลแวร์จากไฟล์ในเครื่อง เช่น ไวรัส, หนอน (worm), โทรจัน ฯลฯ โดยอิงจากการเทียบ signature และการวิเคราะห์พฤติกรรม (heuristics) ล่าสุดยังรวมถึงการตรวจภัยออนไลน์ด้วย (ไม่ใช่เฉพาะไฟล์ในเครื่องเท่านั้นอีกต่อไป) 🌐 Internet Security Suite คืออะไร Internet Security Suite คือแพ็กเกจรวมหลายเครื่องมือ เช่น antivirus, firewall, VPN, password manager, และระบบควบคุมภัยคุกคามแบบเรียลไทม์ ช่วยป้องกันผู้ใช้จากภัยออนไลน์โดยเฉพาะ เช่น การฟิชชิ่ง, การถูกสอดแนม, การโดนแฮกผ่านเว็บ, และมัลแวร์จากเว็บที่แฝงมา ✅ Antivirus คือการป้องกันระดับ local ที่สแกนไฟล์ในเครื่อง ➡️ ใช้ signature-based และ heuristic-based detection เพื่อดักจับภัย ✅ Internet Security ครอบคลุมมากกว่า โดยเน้นการป้องกันภัยขณะออนไลน์ ➡️ ป้องกันฟิชชิ่ง, เว็บมัลแวร์, และการสอดแนมผ่านเครือข่าย ✅ ฟีเจอร์ที่มักมีใน Internet Security เช่น firewall, VPN, password manager ➡️ เสริมความปลอดภัยให้กับการใช้งานอินเทอร์เน็ตแบบครบวงจร ✅ ปัจจุบัน Antivirus หลายตัวใช้ cloud-based threat detection แล้ว ➡️ ความแตกต่างระหว่าง antivirus กับ internet security จึงเริ่มพร่ามัว ✅ ผู้ให้บริการเริ่มรวมทั้งสองไว้ในผลิตภัณฑ์เดียว ต่างกันแค่ “ระดับราคา” ➡️ เช่น Norton Antivirus (พื้นฐาน) กับ Norton 360 (พรีเมียม) ✅ Antivirus ฟรีบางตัวก็มีฟีเจอร์ internet security แล้ว เช่น Avast, Bitdefender ➡️ มี firewall, สแกน Wi-Fi, ป้องกัน ransomware และ phishing mail https://www.techradar.com/pro/security/antivirus-vs-internet-security-whats-the-difference

Microsoft ปล่อยแพตช์ประจำเดือนกรกฎาคม 2025 สำหรับ Windows 11 เวอร์ชัน 24H2 (KB5062553), 23H2 และ 22H2 (KB5062552) → แก้ปัญหาความปลอดภัยเป็นหลัก แต่อัปเดตนี้ยังรวมการแก้บั๊กจากเดือนก่อนที่หลายคนบ่นกันไว้แล้วด้วย! → เช่น ปัญหาเวลาเล่นเกม “เต็มจอ” แล้วกด ALT+Tab ไปโปรแกรมอื่น แล้วกลับมาเกมจะหลุดตำแหน่งเมาส์ → หรือเสียงพวก Volume Change, Sign-in, Notification ไม่ดัง → แถมยังมีบั๊กเล็ก ๆ ในระบบ Firewall ที่ Event Viewer แจ้ง “Config Read Failed” อยู่เป็นระยะ ก็ถูกแก้แล้วเหมือนกัน ที่พิเศษคือ Microsoft ยังอัปเดต ส่วน AI เบื้องหลัง เช่น Image Search, Content Extraction, Semantic Analysis → นี่คือส่วนที่ทำให้ Copilot ใช้ข้อมูลภาพและข้อความได้ฉลาดขึ้น → ถึงจะไม่เห็นด้วยตาเปล่า แต่ประสิทธิภาพโดยรวมจะดีขึ้น (เหมือนเปลี่ยนสมองให้ Windows แบบเงียบ ๆ เลยล่ะ) ☸️ อัปเดตสำคัญจาก Patch Tuesday กรกฎาคม 2025: ✅ อัปเดต KB5062553 สำหรับ Windows 11 24H2 → Build 26100.4652   • แก้บั๊กเกม full screen สลับ ALT+Tab แล้วเมาส์หลุดตำแหน่ง   • แก้บั๊กเสียง Notification และเสียงระบบ   • แก้บั๊ก Event 2042 “Config Read Failed” ของ Firewall ใน Event Viewer   • อัปเดตส่วน AI:   – Image Search: v1.2506.707.0   – Content Extraction: v1.2506.707.0   – Semantic Analysis: v1.2506.707.0 ✅ อัปเดต KB5062552 สำหรับ Windows 11 23H2/22H2 → Build 22631.5624 / 22621.5624   • แก้ปัญหาจอดำตอนเสียบ/ถอดจอ (เฉพาะผู้ใช้บางรายจาก KB5060826)   • แก้ไขและปรับปรุงคุณภาพโดยรวม   • ใช้ EKB KB5027397 หากต้องการอัปเดตจาก 22H2 → 23H2 ✅ อัปเดต Servicing Stack (SSU) เพื่อให้ระบบอัปเดตได้ลื่นไหล:   • 24H2: SSU KB5063666 (build 26100.4651)   • 23H2/22H2: SSU KB5063707 (build 22631.5619) ✅ ไม่มี Known issues ที่ประกาศในตอนนี้ — คาดว่าเสถียรมากขึ้นจากรอบก่อน https://www.neowin.net/news/windows-11-kb5062553-kb5062552-july-2025-patch-tuesday-out/

🎯 ระบบล่มไม่ได้นอน Log เยอะไม่อยากอ่าน ลูกค้าโทรมา… Dev ยังไม่ทันตอบ AI ตอบให้แล้วจ้าา 😎 องค์กรสมัยนี้มีระบบเยอะ: 🌐 Network, Server, ERP, VPN, Firewall ทุกระบบมี Log และ “เสียงเตือน” ของมันเอง ❗ ปัญหาคือ — ไม่มีใครมานั่งไล่อ่านทันทั้งหมด ✅ เราใช้ AI มาช่วยจัดการให้: – วิเคราะห์ Log แบบ Real-time – แจ้งเตือนผ่าน Teams/Line/Telegram – สรุปให้เข้าใจง่าย พร้อมส่งถึง Dev หรือผู้ดูแลระบบ – เร็ว ๆ นี้: สื่อสารกับลูกค้าอัตโนมัติ (Auto Update) เพราะข้อมูลมันเยอะขึ้นทุกวัน… องค์กรต้องมี AI ไว้ช่วยเฝ้าแบบ 24/7 🔧 #ThinkableIT #AIforMonitoring #ไม่ต้องเฝ้าLogให้เมื่อย #องค์กรต้องรอด #แจ้งก่อนพัง #ThinkableCyberReady #ZabbixAI #ทีมเรามีหุ่นเป็นเพื่อนงาน

เมื่อก่อนระบบป้องกันไซเบอร์มักเน้นพวก firewall, antivirus, การตั้งรหัสผ่านให้แข็งแรง — แต่ตอนนี้พวกนั้นไม่พอแล้ว เพราะคนร้ายไม่แฮ็กเข้ามาเหมือนเดิม แต่ “ล็อกอินเหมือนเป็นพนักงานจริง!” บริษัทวิจัยอย่าง CrowdStrike เผยว่า เวลาที่คนร้ายใช้แพร่กระจายตัวภายในองค์กร (breakout time) เร็วสุดอยู่ที่แค่ “51 วินาที” เท่านั้น! ซึ่งเร็วเกินกว่าที่ระบบแจ้งเตือนหรือทีมจะวิเคราะห์ได้ทัน อีกทั้งตอนนี้ยังมีภัยแบบใหม่ ๆ เช่น: - AI ใช้เรียนรู้พฤติกรรมพนักงาน แล้วเลียนแบบมาขอสิทธิ์เข้าระบบ - ผู้ไม่ประสงค์ดีเจาะจุดอ่อนคลาวด์ที่ไม่มีระบบแบ่งสิทธิ์ชัดเจน - ระบบตรวจสอบแบบ “รอให้เกิดเหตุแล้วค่อยแจ้ง” ไม่ทันอีกต่อไป ทีมความปลอดภัยยุคใหม่ต้องใช้เทคนิคพวก anomaly detection — ตรวจจับ “พฤติกรรมแปลก” ที่ไม่ตรงกับโปรไฟล์ปกติ เช่น ทำไมคนแผนกบัญชีถึงเข้าระบบของ DevOps? ทำไมระบบจากออฟฟิศ A ถึงยิงคำสั่งไปเครื่องในออฟฟิศ B? ไม่ใช่แค่นั้นครับ — แม้จะจับได้แล้ว การจัดการผู้บุกรุกก็ยังยาก เพราะถ้า “ตัดเร็วเกิน” ระบบธุรกิจอาจล่ม ถ้าช้าไป ข้อมูลอาจหลุดออกไปหมด → นักวิจัยจึงแนะนำให้เตรียม “แผน containment แบบผ่าตัดจุด” ที่แยกบาง subnet ได้ ไม่ต้องสั่งล่มทั้งเครือข่าย สุดท้ายคือ “การวิเคราะห์หลังเหตุการณ์” ต้องละเอียดมากขึ้น — โดยเฉพาะถ้าใช้ SIEM แบบใหม่ที่เก็บ log ได้เพียงพอ และดูไทม์ไลน์ทุกจุดที่ผู้บุกรุกแตะ https://www.csoonline.com/article/4009236/cisos-must-rethink-defense-playbooks-as-cybercriminals-move-faster-smarter.html

องค์กรยุคใหม่เริ่มใช้ Browser AI Agent เพื่อให้มัน “ทำงานแทนคน” เช่น จองตั๋วเครื่องบิน, นัดประชุม, เขียนอีเมล, หรือ login เข้าระบบภายในแบบอัตโนมัติ — แต่สิ่งที่หลายคนยังไม่ทันรู้คือ... AI ตัวนี้ “ไม่มีสัญชาตญาณ” — มันไม่รู้ว่าอีเมลไหนดูแปลก, เว็บไซต์ไหนหลอก, ป๊อปอัปขอสิทธิ์อะไรเกินจำเป็น ผลคือ: - มี AI Agent ที่สมัครใช้เว็บแชร์ไฟล์ แล้วกด “อนุญาต” ให้เว็บแปลก ๆ เข้าถึง Google Drive ทั้งบัญชี - อีกกรณี Agent ถูก phishing ให้ใส่รหัสผ่าน Salesforce โดยไม่มีข้อสงสัย - เหตุผลเพราะมันใช้สิทธิ์ระดับเดียวกับพนักงานจริง — เปิดช่องให้คนร้ายใช้เป็น “ตัวแทน” เข้าระบบองค์กรได้เนียน ๆ งานวิจัยโดย SquareX ชี้ว่า “AI พวกนี้มีสติปัญญาด้านความปลอดภัย แย่กว่าพนักงานใหม่ในองค์กรเสียอีก” และปัจจุบันเครื่องมือตรวจจับภัยไซเบอร์ก็ยังมองไม่ออกว่า “พฤติกรรมแปลก ๆ” เหล่านี้เกิดจาก AI ที่ถูกโจมตีอยู่ ✅ Browser AI Agent คือผู้ช่วยอัตโนมัติที่ทำงานผ่านเบราว์เซอร์แทนผู้ใช้ เช่น login, กรอกฟอร์ม, ส่งอีเมล   • เริ่มนิยมใช้ในองค์กรเพื่อประหยัดเวลาและลดงานซ้ำซ้อน ✅ SquareX พบว่า AI Agent เหล่านี้ตกเป็นเหยื่อ phishing และเว็บอันตรายได้ง่ายกว่ามนุษย์   • ไม่รู้จักแยกแยะ URL ปลอม, สิทธิ์การเข้าถึงเกินจริง, หรือแบรนด์ที่ไม่น่าไว้ใจ ✅ AI Agent ใช้สิทธิ์ระบบเดียวกับผู้ใช้จริง → หากถูกหลอกจะมีสิทธิ์เข้าถึงระบบภายในโดยตรง   • เช่น ข้อมูลในคลาวด์, อีเมล, Salesforce, เครื่องมือทางธุรกิจต่าง ๆ ✅ ฟีเจอร์ด้านความปลอดภัย เช่น Firewall, ZTNA หรือ Endpoint Protection ยังตรวจไม่เจอภัยจาก AI Agent   • เพราะทุกการกระทำดูเหมือนพนักงานปกติไม่ได้ทำอะไรผิด ✅ SquareX แนะนำให้ใช้งาน “Browser Detection and Response” แบบเฉพาะเพื่อดูแล AI Agent เหล่านี้โดยตรง https://www.techradar.com/pro/security/thousands-of-organizations-have-a-new-unexpected-employee-onboard-and-it-could-be-their-single-biggest-security-risk