🧠 เรื่องเล่าจากข่าว: “SS7 encoding attack” เมื่อการสื่อสารกลายเป็นช่องทางลับของการสอดแนม SS7 หรือ Signaling System 7 คือโปรโตคอลเก่าแก่ที่ใช้เชื่อมต่อสายโทรศัพท์, ส่งข้อความ, และจัดการการโรมมิ่งระหว่างเครือข่ายมือถือทั่วโลก แม้จะเป็นหัวใจของการสื่อสารยุคใหม่ แต่ SS7 ไม่เคยถูกออกแบบมาให้ปลอดภัยในระดับที่ทันสมัย ล่าสุดนักวิจัยจาก Enea พบว่า บริษัทสอดแนมแห่งหนึ่งใช้เทคนิคใหม่ในการ “ปรับรูปแบบการเข้ารหัส” ของข้อความ SS7 เพื่อหลบเลี่ยงระบบตรวจจับ เช่น firewall และระบบเฝ้าระวัง ทำให้สามารถขอข้อมูลตำแหน่งของผู้ใช้มือถือจากผู้ให้บริการได้โดยไม่ถูกบล็อก เทคนิคนี้อาศัยการปรับโครงสร้างของข้อความ TCAP (Transaction Capabilities Application Part) ซึ่งเป็นชั้นใน SS7 ที่ใช้ส่งข้อมูลระหว่างเครือข่าย โดยใช้การเข้ารหัสแบบ ASN.1 BER ที่มีความยืดหยุ่นสูง ทำให้สามารถสร้างข้อความที่ “ถูกต้องตามหลักการ แต่ผิดจากที่ระบบคาดไว้” จนระบบไม่สามารถตรวจจับได้ การโจมตีนี้ถูกใช้จริงตั้งแต่ปลายปี 2024 และสามารถระบุตำแหน่งผู้ใช้ได้ใกล้ถึงระดับเสาสัญญาณ ซึ่งในเมืองใหญ่หมายถึงระยะเพียงไม่กี่ร้อยเมตร ✅ SS7 encoding attack คือการปรับรูปแบบการเข้ารหัสของข้อความ SS7 เพื่อหลบเลี่ยงระบบตรวจจับ ➡️ ใช้เทคนิคการเข้ารหัสแบบ ASN.1 BER ในชั้น TCAP ของ SS7 ➡️ สร้างข้อความที่ดูถูกต้องแต่ระบบไม่สามารถถอดรหัสได้ ✅ บริษัทสอดแนมใช้เทคนิคนี้เพื่อขอข้อมูลตำแหน่งผู้ใช้มือถือจากผู้ให้บริการ ➡️ ส่งคำสั่ง PSI (ProvideSubscriberInfo) ที่ถูกปรับแต่ง ➡️ ระบบไม่สามารถตรวจสอบ IMSI ได้ จึงไม่บล็อกคำขอ ✅ การโจมตีนี้ถูกใช้จริงตั้งแต่ปลายปี 2024 และยังคงมีผลในปี 2025 ➡️ พบหลักฐานการใช้งานในเครือข่ายจริง ➡️ บริษัทสอดแนมสามารถระบุตำแหน่งผู้ใช้ได้ใกล้ระดับเสาสัญญาณ ✅ SS7 ยังคงถูกใช้งานอย่างแพร่หลาย แม้จะมีเทคโนโลยีใหม่อย่าง Diameter และ 5G signaling ➡️ การเลิกใช้ SS7 ไม่ใช่ทางเลือกสำหรับผู้ให้บริการส่วนใหญ่ ➡️ ต้องใช้วิธีป้องกันเชิงพฤติกรรมและการวิเคราะห์ภัยคุกคาม ✅ Enea แนะนำให้ผู้ให้บริการตรวจสอบรูปแบบการเข้ารหัสที่ผิดปกติและเสริม firewall ให้แข็งแรงขึ้น ➡️ ใช้การวิเคราะห์พฤติกรรมร่วมกับ threat intelligence ➡️ ป้องกันการหลบเลี่ยงระบบตรวจจับในระดับโครงสร้างข้อความ ‼️ ผู้ใช้มือถือไม่สามารถป้องกันการโจมตีนี้ได้ด้วยตัวเอง ⛔ การโจมตีเกิดในระดับเครือข่ายมือถือ ไม่ใช่ที่อุปกรณ์ของผู้ใช้ ⛔ ต้องพึ่งผู้ให้บริการในการป้องกัน ‼️ ระบบ SS7 firewall แบบเดิมไม่สามารถตรวจจับการเข้ารหัสที่ผิดปกติได้ ⛔ ข้อความที่ใช้ encoding แบบใหม่จะผ่าน firewall โดยไม่ถูกบล็อก ⛔ IMSI ที่ถูกซ่อนไว้จะไม่ถูกตรวจสอบว่าเป็นเครือข่ายภายในหรือภายนอก ‼️ บริษัทสอดแนมสามารถใช้ช่องโหว่นี้เพื่อสอดแนมผู้ใช้โดยไม่ต้องได้รับอนุญาตจากรัฐ ⛔ แม้จะอ้างว่าใช้เพื่อจับอาชญากร แต่มีการใช้กับนักข่าวและนักเคลื่อนไหว ⛔ เป็นการละเมิดสิทธิส่วนบุคคลอย่างร้ายแรง ‼️ ระบบ SS7 มีความซับซ้อนและไม่ถูกออกแบบมาให้รองรับการป้องกันภัยสมัยใหม่ ⛔ ASN.1 BER มีความยืดหยุ่นสูงจนกลายเป็นช่องโหว่ ⛔ การปรับโครงสร้างข้อความสามารถหลบเลี่ยงระบบตรวจจับได้ง่าย https://hackread.com/researchers-ss7-encoding-attack-surveillance-vendor/

🧠 เรื่องเล่าจากไฟร์วอลล์: เมื่อ VPN กลายเป็นช่องโหว่ให้แฮกเกอร์เดินเข้าองค์กร บริษัทวิจัยด้านความปลอดภัย watchTowr ได้เปิดเผยช่องโหว่ร้ายแรง 3 รายการในอุปกรณ์ SonicWall SMA100 SSL-VPN ได้แก่: 1️⃣ CVE-2025-40596 – ช่องโหว่ stack-based buffer overflow ในโปรแกรม httpd ที่ใช้ sscanf แบบผิดพลาด ทำให้แฮกเกอร์สามารถส่งข้อมูลเกินขนาดเข้าไปในหน่วยความจำก่อนการล็อกอิน ซึ่งอาจนำไปสู่การโจมตีแบบ DoS หรือแม้แต่ Remote Code Execution (RCE) 2️⃣ CVE-2025-40597 – ช่องโหว่ heap-based buffer overflow ในโมดูล mod_httprp.so ที่ใช้ sprintf แบบไม่ปลอดภัยกับ header “Host:” ทำให้สามารถเขียนข้อมูลเกินขอบเขตหน่วยความจำได้ 3️⃣ CVE-2025-40598 – ช่องโหว่ reflected XSS ที่เปิดทางให้แฮกเกอร์ฝัง JavaScript ลงในลิงก์ที่ผู้ใช้เปิด โดย Web Application Firewall (WAF) บนอุปกรณ์กลับถูกปิดไว้ ทำให้ไม่มีการป้องกัน SonicWall ได้ออกแพตช์แก้ไขใน firmware เวอร์ชัน 10.2.2.1-90sv และแนะนำให้เปิดใช้ MFA และ WAF ทันที พร้อมยืนยันว่าอุปกรณ์ SMA1000 และ VPN บนไฟร์วอลล์รุ่นอื่นไม่ถูกกระทบ https://hackread.com/sonicwall-patch-after-3-vpn-vulnerabilities-disclosed/

🕷️ เรื่องเล่าจากเงามืด: เมื่อ Scattered Spider ใช้โทรศัพท์แทนมัลแวร์เพื่อยึดระบบเสมือน Scattered Spider เป็นกลุ่มแฮกเกอร์ที่มีชื่อเสียงจากการโจมตีองค์กรใหญ่ เช่น MGM Resorts และ Harrods โดยใช้เทคนิคที่ไม่ต้องพึ่งช่องโหว่ซอฟต์แวร์ แต่ใช้ “social engineering” ผ่านการโทรศัพท์ไปยัง Help Desk เพื่อขอรีเซ็ตรหัสผ่านของบัญชี Active Directory เมื่อได้สิทธิ์เข้าระบบแล้ว พวกเขาจะค้นหาข้อมูลภายใน เช่น รายชื่อผู้ดูแลระบบ vSphere และกลุ่มสิทธิ์ระดับสูง แล้วโทรอีกครั้งเพื่อขอรีเซ็ตรหัสของผู้ดูแลระบบ จากนั้นใช้สิทธิ์ที่ได้เข้าไปยึด VMware vCenter Server Appliance (VCSA) และเปิดช่องทาง SSH บน ESXi hypervisor เพื่อควบคุมระบบทั้งหมด พวกเขายังใช้เครื่องมือถูกกฎหมายอย่าง Teleport เพื่อสร้างช่องทางสื่อสารแบบเข้ารหัสที่หลบเลี่ยงไฟร์วอลล์ และทำการโจมตีแบบ “disk-swap” โดยปิด VM ของ Domain Controller แล้วถอดดิสก์ไปติดตั้งบน VM ที่ควบคุมเอง เพื่อขโมยฐานข้อมูล NTDS.dit ของ Active Directory ก่อนจะปล่อยแรนซัมแวร์ พวกเขายังลบงานสำรองข้อมูลและ snapshot ทั้งหมด เพื่อให้เหยื่อไม่มีทางกู้คืนได้ และสุดท้ายก็เข้ารหัสไฟล์ VM ทั้งหมดจากระดับ hypervisor โดยใช้สิทธิ์ root ผ่าน SSH ✅ Scattered Spider (UNC3944) ใช้ social engineering เพื่อยึดระบบ VMware vSphere ➡️ เริ่มจากโทรหา Help Desk เพื่อขอรีเซ็ตรหัสผ่านของบัญชี AD ➡️ ใช้ข้อมูลจากการเจาะระบบภายในเพื่อยกระดับสิทธิ์ ✅ กลุ่มนี้ใช้เครื่องมือถูกกฎหมาย เช่น Teleport เพื่อสร้างช่องทางควบคุมแบบเข้ารหัส ➡️ ติดตั้งบน VCSA เพื่อหลบเลี่ยงการตรวจจับจาก firewall และ EDR ➡️ สร้างช่องทางควบคุมระยะไกลแบบถาวร ✅ เทคนิค “disk-swap” ใช้ในการขโมยฐานข้อมูล Active Directory โดยไม่ถูกตรวจจับ ➡️ ปิด VM ของ Domain Controller แล้วถอดดิสก์ไปติดตั้งบน VM ที่ควบคุม ➡️ ขโมยไฟล์ NTDS.dit โดยไม่ผ่านระบบปฏิบัติการของ VM ✅ ก่อนปล่อยแรนซัมแวร์ กลุ่มนี้จะลบงานสำรองข้อมูลทั้งหมด ➡️ ลบ backup jobs และ repositories เพื่อป้องกันการกู้คืน ➡️ ใช้ SSH บน ESXi hosts เพื่อเข้ารหัสไฟล์ VM โดยตรง ✅ Google แนะนำให้เปลี่ยนแนวทางป้องกันจาก EDR เป็น “infrastructure-centric defense” ➡️ เน้นการตรวจสอบระดับ hypervisor และการควบคุมสิทธิ์ ➡️ ใช้ MFA ที่ต้าน phishing, แยกโครงสร้างสำรองข้อมูล, และตรวจสอบ log อย่างต่อเนื่อง ‼️ การโจมตีแบบนี้สามารถเกิดขึ้นได้ภายในเวลาไม่กี่ชั่วโมง ⛔ จากการโทรครั้งแรกถึงการเข้ารหัสข้อมูลใช้เวลาเพียงไม่กี่ชั่วโมง ⛔ ทำให้ระบบตรวจจับแบบเดิมไม่ทันต่อเหตุการณ์ ‼️ ระบบ VMware ESXi และ VCSA มีช่องว่างด้านการตรวจสอบที่ EDR มองไม่เห็น ⛔ ไม่มี agent รันใน hypervisor ทำให้การโจมตีไม่ถูกตรวจจับ ⛔ ต้องใช้การตรวจสอบ log จากระดับระบบเสมือนโดยตรง ‼️ การใช้ Active Directory ร่วมกับ vSphere เป็นจุดอ่อนสำคัญ ⛔ เมื่อ AD ถูกยึด สิทธิ์ใน vSphere ก็ถูกยึดตามไปด้วย ⛔ ควรแยกโครงสร้างสิทธิ์และใช้ MFA ที่ไม่พึ่ง AD ‼️ Help Desk กลายเป็นจุดเริ่มต้นของการโจมตี ⛔ การรีเซ็ตรหัสผ่านผ่านโทรศัพท์เป็นช่องทางที่ถูกใช้บ่อย ⛔ ควรมีขั้นตอนตรวจสอบตัวตนที่เข้มงวดและห้ามรีเซ็ตบัญชีระดับสูงผ่านโทรศัพท์ https://hackread.com/scattered-spider-ransomware-hijack-vmware-systems-google/

🎙️ เรื่องเล่าจากมัลแวร์ที่ปลอมตัวเป็น Chrome: เมื่อ Interlock แรนซัมแวร์ใช้ CAPTCHA หลอกให้รันคำสั่งเอง Interlock ถูกตรวจพบครั้งแรกในเดือนกันยายน 2024 และมีการโจมตีเพิ่มขึ้นในช่วงกลางปี 2025 โดย FBI พบว่า: - กลุ่มนี้พัฒนาแรนซัมแวร์สำหรับทั้ง Windows และ Linux - เน้นโจมตีระบบ virtual machine (VM) และใช้เทคนิคใหม่ในการเข้าถึงระบบ เทคนิคที่ใช้มีความแปลกใหม่ เช่น: - “Drive-by download” จากเว็บไซต์ที่ถูกแฮก โดยปลอมเป็นอัปเดตของ Chrome, Edge, FortiClient หรือ Cisco Secure Client - “ClickFix” — หลอกให้ผู้ใช้คลิก CAPTCHA ปลอม แล้วคัดลอกคำสั่งไปวางในหน้าต่าง Run ของระบบ เมื่อเข้าระบบได้แล้ว Interlock จะ: - ใช้ web shell และ Cobalt Strike เพื่อควบคุมระบบ - ขโมยข้อมูล เช่น username, password และใช้ keylogger บันทึกการพิมพ์ - เข้ารหัสไฟล์และเปลี่ยนนามสกุลเป็น .interlock หรือ .1nt3rlock - ส่งโน้ตร้องขอค่าไถ่ผ่านเว็บไซต์ .onion โดยไม่ระบุจำนวนเงิน - ข่มขู่ว่าจะเปิดเผยข้อมูลหากไม่จ่ายค่าไถ่เป็น Bitcoin — และเคยทำจริงหลายครั้ง FBI, CISA, HHS และ MS-ISAC แนะนำให้ทุกองค์กรเร่งดำเนินมาตรการป้องกัน เช่น: - ใช้ DNS filtering และ firewall เพื่อป้องกันการเข้าถึงเว็บอันตราย - อัปเดตระบบและซอฟต์แวร์ทั้งหมด - ใช้ MFA และจัดการสิทธิ์การเข้าถึงอย่างเข้มงวด - แบ่งเครือข่ายเพื่อลดการแพร่กระจาย - สำรองข้อมูลแบบ offline และไม่สามารถแก้ไขได้ (immutable backup) ✅ FBI และ CISA เตือนภัย Interlock ransomware ที่โจมตีองค์กรและโครงสร้างพื้นฐานสำคัญ ➡️ ใช้เทคนิค double extortion คือทั้งเข้ารหัสและข่มขู่เปิดเผยข้อมูล ✅ Interlock พัฒนาแรนซัมแวร์สำหรับ Windows และ Linux โดยเน้นโจมตี VM ➡️ ใช้เทคนิคใหม่ เช่น drive-by download และ ClickFix ✅ ClickFix คือการหลอกให้ผู้ใช้คลิก CAPTCHA ปลอม แล้วรันคำสั่งอันตรายเอง ➡️ เป็นการใช้ social engineering ที่แยบยลและยากต่อการตรวจจับ ✅ หลังเข้าระบบ Interlock ใช้ Cobalt Strike และ web shell เพื่อควบคุมและขโมยข้อมูล ➡️ รวมถึงการใช้ keylogger เพื่อดักจับการพิมพ์ ✅ ไฟล์ที่ถูกเข้ารหัสจะมีนามสกุล .interlock หรือ .1nt3rlock ➡️ โน้ตร้องขอค่าไถ่ไม่ระบุจำนวนเงิน แต่ให้ติดต่อผ่าน Tor ✅ หน่วยงานแนะนำให้ใช้ DNS filtering, MFA, network segmentation และ backup แบบ immutable ➡️ พร้อมทรัพยากรฟรีจากโครงการ #StopRansomware https://hackread.com/fbi-cisa-interlock-ransomware-target-critical-infrastructure/

มีคนมาถามว่าลุงให้ Antivirus ยี่ห้ออะไร? ลุงใช้ Bitdefender ครับ 🎙️ เรื่องเล่าจากโลกไซเบอร์: Antivirus กับ Internet Security ยังต่างกันอยู่ไหม? ในยุคที่มัลแวร์แอบแฝงผ่านเว็บ, อีเมล, และไฟล์ต่าง ๆ ได้เนียนเหมือนภาพโฆษณา — คนจำนวนมากจึงตั้งคำถามว่า “ควรเลือกแค่ Antivirus หรือจ่ายเพิ่มเพื่อ Internet Security ดี?” 🔍 Antivirus คืออะไร Antivirus คือซอฟต์แวร์ที่ตรวจจับและกำจัดมัลแวร์จากไฟล์ในเครื่อง เช่น ไวรัส, หนอน (worm), โทรจัน ฯลฯ โดยอิงจากการเทียบ signature และการวิเคราะห์พฤติกรรม (heuristics) ล่าสุดยังรวมถึงการตรวจภัยออนไลน์ด้วย (ไม่ใช่เฉพาะไฟล์ในเครื่องเท่านั้นอีกต่อไป) 🌐 Internet Security Suite คืออะไร Internet Security Suite คือแพ็กเกจรวมหลายเครื่องมือ เช่น antivirus, firewall, VPN, password manager, และระบบควบคุมภัยคุกคามแบบเรียลไทม์ ช่วยป้องกันผู้ใช้จากภัยออนไลน์โดยเฉพาะ เช่น การฟิชชิ่ง, การถูกสอดแนม, การโดนแฮกผ่านเว็บ, และมัลแวร์จากเว็บที่แฝงมา ✅ Antivirus คือการป้องกันระดับ local ที่สแกนไฟล์ในเครื่อง ➡️ ใช้ signature-based และ heuristic-based detection เพื่อดักจับภัย ✅ Internet Security ครอบคลุมมากกว่า โดยเน้นการป้องกันภัยขณะออนไลน์ ➡️ ป้องกันฟิชชิ่ง, เว็บมัลแวร์, และการสอดแนมผ่านเครือข่าย ✅ ฟีเจอร์ที่มักมีใน Internet Security เช่น firewall, VPN, password manager ➡️ เสริมความปลอดภัยให้กับการใช้งานอินเทอร์เน็ตแบบครบวงจร ✅ ปัจจุบัน Antivirus หลายตัวใช้ cloud-based threat detection แล้ว ➡️ ความแตกต่างระหว่าง antivirus กับ internet security จึงเริ่มพร่ามัว ✅ ผู้ให้บริการเริ่มรวมทั้งสองไว้ในผลิตภัณฑ์เดียว ต่างกันแค่ “ระดับราคา” ➡️ เช่น Norton Antivirus (พื้นฐาน) กับ Norton 360 (พรีเมียม) ✅ Antivirus ฟรีบางตัวก็มีฟีเจอร์ internet security แล้ว เช่น Avast, Bitdefender ➡️ มี firewall, สแกน Wi-Fi, ป้องกัน ransomware และ phishing mail https://www.techradar.com/pro/security/antivirus-vs-internet-security-whats-the-difference

Microsoft ปล่อยแพตช์ประจำเดือนกรกฎาคม 2025 สำหรับ Windows 11 เวอร์ชัน 24H2 (KB5062553), 23H2 และ 22H2 (KB5062552) → แก้ปัญหาความปลอดภัยเป็นหลัก แต่อัปเดตนี้ยังรวมการแก้บั๊กจากเดือนก่อนที่หลายคนบ่นกันไว้แล้วด้วย! → เช่น ปัญหาเวลาเล่นเกม “เต็มจอ” แล้วกด ALT+Tab ไปโปรแกรมอื่น แล้วกลับมาเกมจะหลุดตำแหน่งเมาส์ → หรือเสียงพวก Volume Change, Sign-in, Notification ไม่ดัง → แถมยังมีบั๊กเล็ก ๆ ในระบบ Firewall ที่ Event Viewer แจ้ง “Config Read Failed” อยู่เป็นระยะ ก็ถูกแก้แล้วเหมือนกัน ที่พิเศษคือ Microsoft ยังอัปเดต ส่วน AI เบื้องหลัง เช่น Image Search, Content Extraction, Semantic Analysis → นี่คือส่วนที่ทำให้ Copilot ใช้ข้อมูลภาพและข้อความได้ฉลาดขึ้น → ถึงจะไม่เห็นด้วยตาเปล่า แต่ประสิทธิภาพโดยรวมจะดีขึ้น (เหมือนเปลี่ยนสมองให้ Windows แบบเงียบ ๆ เลยล่ะ) ☸️ อัปเดตสำคัญจาก Patch Tuesday กรกฎาคม 2025: ✅ อัปเดต KB5062553 สำหรับ Windows 11 24H2 → Build 26100.4652   • แก้บั๊กเกม full screen สลับ ALT+Tab แล้วเมาส์หลุดตำแหน่ง   • แก้บั๊กเสียง Notification และเสียงระบบ   • แก้บั๊ก Event 2042 “Config Read Failed” ของ Firewall ใน Event Viewer   • อัปเดตส่วน AI:   – Image Search: v1.2506.707.0   – Content Extraction: v1.2506.707.0   – Semantic Analysis: v1.2506.707.0 ✅ อัปเดต KB5062552 สำหรับ Windows 11 23H2/22H2 → Build 22631.5624 / 22621.5624   • แก้ปัญหาจอดำตอนเสียบ/ถอดจอ (เฉพาะผู้ใช้บางรายจาก KB5060826)   • แก้ไขและปรับปรุงคุณภาพโดยรวม   • ใช้ EKB KB5027397 หากต้องการอัปเดตจาก 22H2 → 23H2 ✅ อัปเดต Servicing Stack (SSU) เพื่อให้ระบบอัปเดตได้ลื่นไหล:   • 24H2: SSU KB5063666 (build 26100.4651)   • 23H2/22H2: SSU KB5063707 (build 22631.5619) ✅ ไม่มี Known issues ที่ประกาศในตอนนี้ — คาดว่าเสถียรมากขึ้นจากรอบก่อน https://www.neowin.net/news/windows-11-kb5062553-kb5062552-july-2025-patch-tuesday-out/

🎯 ระบบล่มไม่ได้นอน Log เยอะไม่อยากอ่าน ลูกค้าโทรมา… Dev ยังไม่ทันตอบ AI ตอบให้แล้วจ้าา 😎 องค์กรสมัยนี้มีระบบเยอะ: 🌐 Network, Server, ERP, VPN, Firewall ทุกระบบมี Log และ “เสียงเตือน” ของมันเอง ❗ ปัญหาคือ — ไม่มีใครมานั่งไล่อ่านทันทั้งหมด ✅ เราใช้ AI มาช่วยจัดการให้: – วิเคราะห์ Log แบบ Real-time – แจ้งเตือนผ่าน Teams/Line/Telegram – สรุปให้เข้าใจง่าย พร้อมส่งถึง Dev หรือผู้ดูแลระบบ – เร็ว ๆ นี้: สื่อสารกับลูกค้าอัตโนมัติ (Auto Update) เพราะข้อมูลมันเยอะขึ้นทุกวัน… องค์กรต้องมี AI ไว้ช่วยเฝ้าแบบ 24/7 🔧 #ThinkableIT #AIforMonitoring #ไม่ต้องเฝ้าLogให้เมื่อย #องค์กรต้องรอด #แจ้งก่อนพัง #ThinkableCyberReady #ZabbixAI #ทีมเรามีหุ่นเป็นเพื่อนงาน

เมื่อก่อนระบบป้องกันไซเบอร์มักเน้นพวก firewall, antivirus, การตั้งรหัสผ่านให้แข็งแรง — แต่ตอนนี้พวกนั้นไม่พอแล้ว เพราะคนร้ายไม่แฮ็กเข้ามาเหมือนเดิม แต่ “ล็อกอินเหมือนเป็นพนักงานจริง!” บริษัทวิจัยอย่าง CrowdStrike เผยว่า เวลาที่คนร้ายใช้แพร่กระจายตัวภายในองค์กร (breakout time) เร็วสุดอยู่ที่แค่ “51 วินาที” เท่านั้น! ซึ่งเร็วเกินกว่าที่ระบบแจ้งเตือนหรือทีมจะวิเคราะห์ได้ทัน อีกทั้งตอนนี้ยังมีภัยแบบใหม่ ๆ เช่น: - AI ใช้เรียนรู้พฤติกรรมพนักงาน แล้วเลียนแบบมาขอสิทธิ์เข้าระบบ - ผู้ไม่ประสงค์ดีเจาะจุดอ่อนคลาวด์ที่ไม่มีระบบแบ่งสิทธิ์ชัดเจน - ระบบตรวจสอบแบบ “รอให้เกิดเหตุแล้วค่อยแจ้ง” ไม่ทันอีกต่อไป ทีมความปลอดภัยยุคใหม่ต้องใช้เทคนิคพวก anomaly detection — ตรวจจับ “พฤติกรรมแปลก” ที่ไม่ตรงกับโปรไฟล์ปกติ เช่น ทำไมคนแผนกบัญชีถึงเข้าระบบของ DevOps? ทำไมระบบจากออฟฟิศ A ถึงยิงคำสั่งไปเครื่องในออฟฟิศ B? ไม่ใช่แค่นั้นครับ — แม้จะจับได้แล้ว การจัดการผู้บุกรุกก็ยังยาก เพราะถ้า “ตัดเร็วเกิน” ระบบธุรกิจอาจล่ม ถ้าช้าไป ข้อมูลอาจหลุดออกไปหมด → นักวิจัยจึงแนะนำให้เตรียม “แผน containment แบบผ่าตัดจุด” ที่แยกบาง subnet ได้ ไม่ต้องสั่งล่มทั้งเครือข่าย สุดท้ายคือ “การวิเคราะห์หลังเหตุการณ์” ต้องละเอียดมากขึ้น — โดยเฉพาะถ้าใช้ SIEM แบบใหม่ที่เก็บ log ได้เพียงพอ และดูไทม์ไลน์ทุกจุดที่ผู้บุกรุกแตะ https://www.csoonline.com/article/4009236/cisos-must-rethink-defense-playbooks-as-cybercriminals-move-faster-smarter.html

องค์กรยุคใหม่เริ่มใช้ Browser AI Agent เพื่อให้มัน “ทำงานแทนคน” เช่น จองตั๋วเครื่องบิน, นัดประชุม, เขียนอีเมล, หรือ login เข้าระบบภายในแบบอัตโนมัติ — แต่สิ่งที่หลายคนยังไม่ทันรู้คือ... AI ตัวนี้ “ไม่มีสัญชาตญาณ” — มันไม่รู้ว่าอีเมลไหนดูแปลก, เว็บไซต์ไหนหลอก, ป๊อปอัปขอสิทธิ์อะไรเกินจำเป็น ผลคือ: - มี AI Agent ที่สมัครใช้เว็บแชร์ไฟล์ แล้วกด “อนุญาต” ให้เว็บแปลก ๆ เข้าถึง Google Drive ทั้งบัญชี - อีกกรณี Agent ถูก phishing ให้ใส่รหัสผ่าน Salesforce โดยไม่มีข้อสงสัย - เหตุผลเพราะมันใช้สิทธิ์ระดับเดียวกับพนักงานจริง — เปิดช่องให้คนร้ายใช้เป็น “ตัวแทน” เข้าระบบองค์กรได้เนียน ๆ งานวิจัยโดย SquareX ชี้ว่า “AI พวกนี้มีสติปัญญาด้านความปลอดภัย แย่กว่าพนักงานใหม่ในองค์กรเสียอีก” และปัจจุบันเครื่องมือตรวจจับภัยไซเบอร์ก็ยังมองไม่ออกว่า “พฤติกรรมแปลก ๆ” เหล่านี้เกิดจาก AI ที่ถูกโจมตีอยู่ ✅ Browser AI Agent คือผู้ช่วยอัตโนมัติที่ทำงานผ่านเบราว์เซอร์แทนผู้ใช้ เช่น login, กรอกฟอร์ม, ส่งอีเมล   • เริ่มนิยมใช้ในองค์กรเพื่อประหยัดเวลาและลดงานซ้ำซ้อน ✅ SquareX พบว่า AI Agent เหล่านี้ตกเป็นเหยื่อ phishing และเว็บอันตรายได้ง่ายกว่ามนุษย์   • ไม่รู้จักแยกแยะ URL ปลอม, สิทธิ์การเข้าถึงเกินจริง, หรือแบรนด์ที่ไม่น่าไว้ใจ ✅ AI Agent ใช้สิทธิ์ระบบเดียวกับผู้ใช้จริง → หากถูกหลอกจะมีสิทธิ์เข้าถึงระบบภายในโดยตรง   • เช่น ข้อมูลในคลาวด์, อีเมล, Salesforce, เครื่องมือทางธุรกิจต่าง ๆ ✅ ฟีเจอร์ด้านความปลอดภัย เช่น Firewall, ZTNA หรือ Endpoint Protection ยังตรวจไม่เจอภัยจาก AI Agent   • เพราะทุกการกระทำดูเหมือนพนักงานปกติไม่ได้ทำอะไรผิด ✅ SquareX แนะนำให้ใช้งาน “Browser Detection and Response” แบบเฉพาะเพื่อดูแล AI Agent เหล่านี้โดยตรง https://www.techradar.com/pro/security/thousands-of-organizations-have-a-new-unexpected-employee-onboard-and-it-could-be-their-single-biggest-security-risk

🧠 ระบบเครือข่ายไม่ใช่แค่เสียบสายแล้วจบ เราวางระบบให้ เสถียร ปลอดภัย และขยายได้ในอนาคต 📌 จากหน้างานจริงของทีม Thinkable บริการ Network & Security ครบวงจร สำหรับองค์กรที่ต้องการมากกว่าแค่ “เน็ตใช้ได้” 🔧 บริการของเรา: ออกแบบ/ติดตั้ง LAN และ Wi-Fi สำหรับองค์กร วางระบบ Firewall, VPN, RADIUS, Zero Trust Monitoring ระบบเครือข่ายด้วย + แจ้งเตือนทันทีผ่าน MS Teams / Telegram เพราะระบบเครือข่ายที่ดี = ธุรกิจเดินได้ไม่สะดุด https://www.thinkable-inn.com/ #Thinkable #NetworkSecurity #Monitoring #องค์กรต้องรอด #ITService

สมัยก่อนเวลาเราพูดถึงอินเทอร์เน็ตในหมู่เกาะห่างไกล เช่น ตูวาลู (Tuvalu) — ประเทศเล็ก ๆ กลางมหาสมุทรแปซิฟิก — ก็คงคิดถึงเน็ตช้าหรือไม่มีอินเทอร์เน็ตเลย แต่ตอนนี้เปลี่ยนไปแล้ว เพราะ Starlink เข้ามาให้บริการในประเทศนี้ และเปิดให้ใช้งานบน IPv6 “เต็มรูปแบบ” แค่ไม่กี่เดือนหลัง Starlink เข้ามา ส่วนแบ่ง IPv6 ของตูวาลูพุ่งจาก 0% เป็น 59% — กลายเป็นหนึ่งใน 21 ประเทศที่ “ใช้ IPv6 มากกว่า 50% ของการเชื่อมต่อทั้งหมด” ทันที! ประเทศอื่นที่เพิ่งเข้าสู่ “Majority IPv6 Club” ในปีที่ผ่านมา ได้แก่ บราซิล, เม็กซิโก, กัวเตมาลา, ศรีลังกา, ฮังการี, ญี่ปุ่น, เปอร์โตริโก ฯลฯ ✅ จำนวนประเทศที่มีการใช้งาน IPv6 เกิน 50% เพิ่มจาก 13 → 21 ประเทศในรอบ 1 ปี   • ข้อมูลจาก Akamai, APNIC, Google และ Meta ✅ ประเทศที่ใช้งาน IPv6 มากที่สุดในโลกขณะนี้ ได้แก่:   • อินเดีย (73%)   • ฝรั่งเศส (73%) ✅ Starlink ของ SpaceX เป็นผู้เล่นหลักที่เร่งการเปลี่ยนผ่านไปใช้ IPv6   • เครือข่ายของ Starlink “ออกแบบให้รองรับ IPv6 ตั้งแต่ต้น”   • ช่วยให้ประเทศขนาดเล็กหรือห่างไกล “ข้ามขั้น” โครงสร้างเก่าไปใช้ระบบใหม่ทันที ✅ IPv6 แก้ข้อจำกัดของ IPv4 ที่มีแค่ 4.3 พันล้านหมายเลข IP   • IPv6 มีหมายเลขได้ถึง 340 undecillion (340 ล้านล้านล้านล้าน)   • เพียงพอต่อยุคอุปกรณ์ IoT, รถยนต์อัจฉริยะ, บ้านอัจฉริยะ ✅ ข้อดีอื่นของ IPv6 เช่น:   • ไม่ต้อง NAT → เชื่อมอุปกรณ์ได้แบบ end-to-end   • ปรับ routing ให้เร็วขึ้น  • รองรับการเข้ารหัส IPsec เป็นมาตรฐาน ✅ ประเทศอื่นที่กำลังเข้าใกล้ 50% เช่น ไทย, อังกฤษ และเอสโตเนีย ‼️ บางประเทศที่เคยใช้ IPv6 เกิน 50% มีอัตราการลดลงชั่วคราว   • เช่น ญี่ปุ่นและเปอร์โตริโก เคยหลุดจากกลุ่มนี้ก่อนจะกลับเข้ามาใหม่   • อาจเกิดจากการขยายเครือข่ายเดิมที่ยังใช้ IPv4 อยู่ ‼️ องค์กรหรือผู้ให้บริการที่ยังไม่อัปเกรดระบบ → เสี่ยงถูกตัดขาดจากเครือข่ายที่ใช้ IPv6-only   • โดยเฉพาะระบบ IoT, cloud หรือ edge computing ‼️ การใช้ IPv6 ยังต้องอาศัยการอัปเดต DNS, firewall, VPN และระบบความปลอดภัยให้รองรับ format ใหม่ • ไม่ใช่แค่เปลี่ยน router อย่างเดียว ‼️ การก้าวเข้าสู่ยุค IPv6 ไม่ได้แปลว่าปลอดภัยเสมอไป   • เพราะการเข้ารหัสและ config ก็ต้องทำอย่างถูกต้อง มิฉะนั้นอาจเกิดช่องโหว่ใหม่ได้ https://www.techspot.com/news/108490-ipv6-reaches-majority-use-21-countries-starlink-other.html

ถ้าคุณใช้ VPN เพื่อทำงานจากที่บ้านหรือเข้าระบบภายในบริษัท มีโอกาสสูงที่คุณจะเคยใช้หรือเคยได้ยินชื่อ NetExtender ของ SonicWall — แต่ตอนนี้แฮกเกอร์กำลังปลอมตัวแอปนี้ แล้วแจกผ่าน “เว็บปลอมที่หน้าตาเหมือนของจริงเป๊ะ” แฮกเกอร์ใช้วิธี SEO poisoning และโฆษณา (malvertising) เพื่อดันเว็บปลอมให้ขึ้นอันดับบน Google จนคนทั่วไปเผลอกดเข้าไป — และเมื่อคุณดาวน์โหลดแอป VPN ปลอมนี้มา ก็เท่ากับมอบ ชื่อผู้ใช้, รหัสผ่าน, โดเมน, และค่าการตั้งค่าภายในระบบองค์กร ให้แฮกเกอร์ไปครบชุดเลย ตัวแอปนี้ยัง “ลงลายเซ็นดิจิทัล” จากบริษัทปลอมชื่อ “CITYLIGHT MEDIA PRIVATE LIMITED” เพื่อหลอกระบบความปลอดภัยเบื้องต้นอีกด้วย ข่าวดีคือ SonicWall กับ Microsoft สามารถตรวจจับมัลแวร์ตัวนี้ได้แล้ว แต่ถ้าคุณหรือทีมไอทีใช้อุปกรณ์ป้องกันจากค่ายอื่น อาจยังไม่มีการอัปเดต signature นั้น — ดังนั้นสิ่งสำคัญที่สุดตอนนี้คือ “อย่าดาวน์โหลดแอป VPN จากที่อื่นนอกจากเว็บทางการ!” ✅ แฮกเกอร์ปลอมแอป SonicWall NetExtender แล้วแจกผ่านเว็บเลียนแบบของจริง   • เว็บปลอมถูกดันขึ้นอันดับบน Google ด้วยเทคนิค SEO poisoning และ malvertising   • ผู้ใช้ทั่วไปมีโอกาสหลงเชื่อสูง ✅ ไฟล์ติดมัลแวร์มีการเซ็นดิจิทัลหลอก โดยบริษัทปลอม “CITYLIGHT MEDIA PRIVATE LIMITED”   • หลอกระบบความปลอดภัยพื้นฐาน เช่น antivirus หรือ firewall ✅ แอปที่ถูกดัดแปลงประกอบด้วย:  • NetExtender.exe: ดัดแปลงให้ขโมยชื่อผู้ใช้, รหัสผ่าน, โดเมน และ config   • NEService.exe: ถูกแก้ให้ข้ามการตรวจสอบ digital certificate ✅ ข้อมูลของผู้ใช้จะถูกส่งไปยังเซิร์ฟเวอร์ที่แฮกเกอร์ควบคุมเมื่อกด “เชื่อมต่อ VPN”   • ทำให้แฮกเกอร์สามารถใช้รหัสเพื่อเข้าระบบองค์กรได้โดยตรง ✅ SonicWall และ Microsoft ออกคำเตือนและปรับ signature เพื่อจับมัลแวร์ตัวนี้แล้ว   • แต่ผลิตภัณฑ์จากแบรนด์อื่นอาจยังไม่สามารถตรวจจับได้ ✅ SonicWall แนะนำให้ดาวน์โหลดแอป VPN แค่จากเว็บทางการเท่านั้น:   • sonicwall.com   • mysonicwall.com https://www.techradar.com/pro/security/sonicwall-warns-of-fake-vpn-apps-stealing-user-logins-and-putting-businesses-at-risk-heres-what-we-know

ตอนแรกหลายองค์กรคิดว่า “ระบบรักษาความปลอดภัยที่มีอยู่แล้ว” น่าจะพอเอาอยู่กับ AI — เพราะก็มี patch, มี asset inventory, มี firewall อยู่แล้ว แต่วันนี้กลายเป็นว่า... AI คือสัตว์คนละสายพันธุ์เลยครับ เพราะ AI ขยายพื้นที่โจมตีออกไปถึง API, third-party, supply chain และยังมีความเสี่ยงใหม่แบบเฉพาะตัว เช่น model poisoning, prompt injection, data inference ซึ่งไม่เคยต้องรับมือในโลก legacy มาก่อน และแม้ว่าองค์กรจะลงทุนกับ AI อย่างหนัก แต่เกือบครึ่ง (46%) ของโครงการ AI ถูกหยุดกลางคันหรือไม่เคยได้ไปถึง production ด้วยซ้ำ — ส่วนใหญ่เกิดจากความล้มเหลวในด้าน governance, ความเสี่ยง, ข้อมูลไม่สะอาด และขาดทีมที่เข้าใจ AI จริง ๆ ข่าวนี้จึงเสนอบทบาทใหม่ 5 แบบที่ CISO ต้องกลายร่างเป็น: “นักกฎหมาย, นักวิเคราะห์, ครู, นักวิจัย และนักสร้างพันธมิตร” ✅ 5 ขั้นตอนสำคัญที่ CISO ต้องทำเพื่อรักษาความปลอดภัยของ AI: ✅ 1. เริ่มทุกอย่างด้วยโมเดล AI Governance ที่แข็งแรงและครอบคลุม   • ต้องมี alignment ระหว่างทีมธุรกิจ–เทคโนโลยีว่า AI จะใช้ทำอะไร และใช้อย่างไร   • สร้าง framework ที่รวม ethics, compliance, transparency และ success metrics   • ใช้แนวทางจาก NIST AI RMF, ISO/IEC 42001:2023, UNESCO AI Ethics, RISE และ CARE ✅ 2. พัฒนา “มุมมองความเสี่ยงของ AI” ที่ต่อเนื่องและลึกกว่าระบบปกติ   • สร้าง AI asset inventory, risk register, และ software bill of materials   • ติดตามภัยคุกคามเฉพาะ AI เช่น data leakage, model drift, prompt injection   • ใช้ MITRE ATLAS และตรวจสอบ vendor + third-party supply chain อย่างใกล้ชิด ✅ 3. ขยายนิยาม “data integrity” ให้ครอบคลุมถึงโมเดล AI ด้วย   • ไม่ใช่แค่ข้อมูลไม่โดนแก้ไข แต่รวมถึง bias, fairness และ veracity   • เช่นเคยมีกรณี Amazon และ UK ใช้ AI ที่กลายเป็นอคติทางเพศและสีผิว ✅ 4. ยกระดับ “AI literacy” ให้ทั้งองค์กรเข้าใจและใช้งานอย่างปลอดภัย   • เริ่มจากทีม Security → Dev → ฝ่ายธุรกิจ   • สอน OWASP Top 10 for LLMs, Google’s SAIF, CSA Secure AI   • End user ต้องรู้เรื่อง misuse, data leak และ deepfake ด้วย ✅ 5. มอง AI Security แบบ “ผู้ช่วย” ไม่ใช่ “อัตโนมัติเต็มขั้น”   • ใช้ AI ช่วย triage alert, คัด log, วิเคราะห์ risk score แต่ยังต้องมีคนคุม   • พิจารณาผู้ให้บริการ AI Security อย่างรอบคอบ เพราะหลายเจ้าแค่ “แปะป้าย AI” แต่ยังไม่ mature https://www.csoonline.com/article/4011384/the-cisos-5-step-guide-to-securing-ai-operations.html

🚀 พร้อมลุยทุกโปรเจกต์ IT แบบครบวงจร – กับ Thinkable Innovation เราคือทีมเล็กแต่โคตรตั้งใจ ที่รวม Developer และฝ่ายเทคนิคเข้าด้วยกัน เชี่ยวชาญทั้ง Web/App และระบบ Network สำหรับองค์กรโดยเฉพาะ 🔧 บริการของเรา: 1️⃣ System Integration & IT Infrastructure วางระบบ Server, Storage, Virtualization (VMware, Proxmox, Sangfor) 2️⃣ Enterprise Network & Security Wi-Fi องค์กร, Firewall, RADIUS, WAF, Zero Trust, SD-WAN 3️⃣ Software & Application Development Web & Mobile App, ERP, Dashboard, ระบบจอง/ทะเบียน/คลินิก พร้อมเชื่อมต่อ API ภาครัฐ (MOPH, GIN, MFA TH) 4️⃣ Monitoring & Automation ติดตั้ง Zabbix, FreeRADIUS, IoT, Docker, Git, Portainer พร้อม Alert ผ่าน MS Teams, Telegram 5️⃣ IT Support & Managed Services บริการ MA, Outsourcing, Preventive Maintenance, Remote Support 24/7 💬 สนใจบริการไหน? ทักมาคุยกันได้เลย! ✅ www.thinkable-inn.com | พร้อมช่วยเหลือทุกสายงาน

หลายคนอาจคิดว่า Cybersecurity คือแค่คนป้องกันไวรัส แต่จริง ๆ แล้วงานนี้แตกแขนงเป็นหลายสาย และแต่ละตำแหน่งก็มีค่าตอบแทนต่างกันมาก จากรายงาน Cybersecurity Staff Compensation Benchmark 2025 ระบุว่า “ชื่อตำแหน่ง” ไม่ได้บอกเสมอว่าใครทำอะไรมากน้อยแค่ไหน เพราะในความจริง 61% ของคนทำงานสายนี้ต้องทำหลายบทบาทควบกัน แต่ถ้าจะดูว่า “ใครได้เงินเดือนสูงที่สุด” ก็ยังพอแยกได้เป็นลำดับแบบนี้: 1️⃣ Security Architect — ค่าตัวอันดับ 1 ฐานเงินเดือนเฉลี่ย $179,000 รวมโบนัส $206,000   • ต้องรู้ลึกทั้งเครือข่าย ระบบ การออกแบบนโยบายการป้องกัน   • 34% ได้หุ้นประจำปีอีกด้วย 2️⃣ Security Engineer — รองแชมป์ รับเฉลี่ย $168,000 รวมโบนัสเป็น $191,000   • เน้นลงมือจริงกับระบบ เช่น firewall, IDS/IPS, pentest, EDR   • หลายคนมาจากสาย network หรือ sysadmin มาก่อน 3️⃣ Risk/GRC Specialist — มือวางด้านการจัดการความเสี่ยงและ compliance   • เงินเดือน $146,000 รวมโบนัส $173,000   • เน้น policy, audit, risk register, ISO, NIST, GDPR ฯลฯ 4️⃣ Security Analyst (เช่น SOC analyst) — มือ frontline จับภัยคุกคาม   • รับเฉลี่ย $124,000 รวมโบนัส $133,000   • คอยตรวจจับเหตุการณ์ ปรับ signature ดู log และ SIEM ทุกตำแหน่งต่างมีเส้นทางเฉพาะ เช่น Security Analyst → Engineer → Architect หรือ Risk Analyst → GRC Lead → CISO ก็ได้ ขึ้นกับสายที่ชอบและทักษะที่ฝึกต่อ ✅ รายได้สูงสุด: Security Architect ครองแชมป์แบบครบเครื่อง   • เงินเดือน $179K / รายได้รวม $206K / หุ้น 34%   • งานหลากหลาย: ออกแบบ, IAM, AppSec, Product Security ✅ Security Engineer มาเป็นอันดับสอง   • เงินเดือน $168K / รายได้รวม $191K / หุ้น 31%   • ต้องมีพื้นฐาน Network/IT แน่น ชำนาญอุปกรณ์/ระบบ ✅ สาย GRC ก็มาแรง   • เงินเดือน $146K / รายได้รวม $173K / หุ้น 26%   • ทักษะพิเศษ: Risk, Compliance, NIST, AI-policy ✅ Security Analyst รายได้เริ่มต้นดี และเป็นฐานสร้างอาชีพอื่น   • เงินเดือน $124K / รายได้รวม $133K / หุ้น 20%   • เหมาะสำหรับเริ่มต้นในสาย Cybersecurity ✅ แต่ละสายมีใบรับรองที่ช่วย boost เงินเดือน   • Architect: CISSP, CCSP   • Engineer: Security+, CCNP Sec, CEH   • GRC: CRISC, CGRC   • Analyst: CySA+, SOC certs ✅ สายงานมีความซ้อนทับสูง — หลายคนทำหลายบทบาทพร้อมกัน   • เช่น คนใน SecOps อาจทำ GRC, IAM, Product Security ด้วย ‼️ คำเตือนและข้อควรระวัง: ‼️ ชื่อตำแหน่งอาจไม่สะท้อนงานที่ทำจริงในแต่ละองค์กร   • ควรดูรายละเอียดงานจริง ไม่ใช่ดูแค่ title เวลาสมัครหรือเปรียบเทียบรายได้ ‼️ เงินเดือนสูงมาพร้อมกับ skill ที่ลึกและการสื่อสารกับทีมหลากหลายฝ่าย   • สาย Architect และ GRC ต้องสื่อสารกับผู้บริหารและทีมเทคนิคได้ดี ‼️ บางสายมีการแข่งขันสูงโดยเฉพาะระดับต้น เช่น Analyst และ Engineer   • ต้องมีจุดแข็ง เช่น cert, ผลงาน side project, หรือ soft skill ‼️ สายงานด้านความเสี่ยงและ compliance ต้องตามกฎระเบียบเปลี่ยนตลอดเวลา   • เช่น กฎหมาย AI, ความเป็นส่วนตัว, cloud compliance https://www.csoonline.com/article/4006364/the-highest-paying-jobs-in-cybersecurity-today.html

นักวิจัยด้านความปลอดภัยจาก Cofense พบว่า แฮกเกอร์กำลังใช้เทคนิคใหม่ที่เรียกว่า "Blob URIs" เพื่อซ่อนหน้าเว็บฟิชชิ่งภายในหน่วยความจำของเบราว์เซอร์ ทำให้ ระบบรักษาความปลอดภัยไม่สามารถตรวจจับได้ และ สามารถขโมยข้อมูลล็อกอินของผู้ใช้ได้อย่างแนบเนียน ✅ Blob URIs ช่วยให้แฮกเกอร์สามารถซ่อนหน้าเว็บฟิชชิ่งภายในเบราว์เซอร์ของเหยื่อ - ทำให้ ไม่มี URL แปลก ๆ หรือโดเมนต้องสงสัยที่สามารถตรวจจับได้ ✅ อีเมลฟิชชิ่งสามารถหลอกให้เหยื่อคลิกเข้าสู่ระบบผ่านหน้าเว็บปลอมที่ดูเหมือนจริง - มักใช้ โดเมนที่ดูน่าเชื่อถือ เช่น Microsoft OneDrive ✅ เมื่อเหยื่อคลิก ‘Sign in’ ระบบจะโหลด Blob URI ที่สร้างหน้าเว็บปลอมขึ้นมาในเบราว์เซอร์ - ทำให้ เหยื่อไม่รู้ตัวว่ากำลังให้ข้อมูลกับแฮกเกอร์ ✅ Blob URIs ทำให้ระบบรักษาความปลอดภัยแบบเดิมไม่สามารถตรวจจับหรือบล็อกได้ - เนื่องจาก หน้าเว็บฟิชชิ่งไม่ได้ถูกโฮสต์บนเซิร์ฟเวอร์สาธารณะ ✅ นักวิจัยแนะนำให้ใช้ Firewall-as-a-Service (FWaaS) และ Zero Trust Network Access (ZTNA) เพื่อป้องกันการโจมตี - ช่วยให้ สามารถตรวจจับกิจกรรมที่น่าสงสัยได้ดีขึ้น https://www.techradar.com/pro/cybercriminals-have-found-a-sneaky-way-of-stealing-tax-accounts-and-even-encrypted-messages-heres-what-you-need-to-know

Google ได้เผยแพร่รายงานเกี่ยวกับการเพิ่มขึ้นของการโจมตีแบบ zero-day ที่มุ่งเป้าไปยังผลิตภัณฑ์สำหรับองค์กร โดยพบว่าช่องโหว่ในอุปกรณ์เครือข่ายและระบบรักษาความปลอดภัยขององค์กรคิดเป็น 44% ของช่องโหว่ zero-day ที่ถูกโจมตีในปี 2024 ซึ่งเพิ่มขึ้น 7% จากปี 2023 แม้ว่าจำนวนช่องโหว่ zero-day โดยรวมจะลดลงจาก 98 รายการในปี 2023 เหลือ 75 รายการในปี 2024 แต่ช่องโหว่ที่เกี่ยวข้องกับผลิตภัณฑ์สำหรับองค์กรกลับเพิ่มขึ้น โดยเฉพาะอุปกรณ์ที่อยู่บริเวณขอบเครือข่าย เช่น VPNs, security gateways และ firewalls ซึ่งเป็นเป้าหมายหลักของการโจมตี Microsoft Windows เป็นระบบที่ถูกโจมตีมากที่สุด โดยมีช่องโหว่ zero-day 22 รายการ เพิ่มขึ้นจาก 16 รายการในปี 2023 ขณะที่ iOS มีช่องโหว่ลดลงจาก 9 รายการในปี 2023 เหลือเพียง 2 รายการ ในปี 2024 ✅ การเพิ่มขึ้นของช่องโหว่ในผลิตภัณฑ์สำหรับองค์กร - ช่องโหว่ในอุปกรณ์เครือข่ายและระบบรักษาความปลอดภัยคิดเป็น 44% ของช่องโหว่ zero-day - เพิ่มขึ้น 7% จากปี 2023 ✅ ระบบที่ถูกโจมตีมากที่สุด - Microsoft Windows: 22 ช่องโหว่ (เพิ่มขึ้นจาก 16 ในปี 2023) - iOS: 2 ช่องโหว่ (ลดลงจาก 9 ในปี 2023) - Google Chrome: 7 ช่องโหว่, Safari: 3 ช่องโหว่ (ลดลงจาก 11 ในปี 2023) ✅ เป้าหมายหลักของการโจมตี - อุปกรณ์ที่อยู่บริเวณขอบเครือข่าย เช่น VPNs, security gateways และ firewalls - อุปกรณ์เหล่านี้มักมีสิทธิ์สูงและสามารถใช้ในการเคลื่อนที่ภายในเครือข่าย ✅ กลุ่มที่อยู่เบื้องหลังการโจมตี - กลุ่มที่เกี่ยวข้องกับการจารกรรมไซเบอร์ เช่น จีน (5 ช่องโหว่), เกาหลีเหนือ (5 ช่องโหว่), รัสเซีย (1 ช่องโหว่) - กลุ่มที่มุ่งเน้นการโจรกรรมทางการเงิน เช่น CSVs และกลุ่มที่ไม่ได้รับการสนับสนุนจากรัฐ https://www.csoonline.com/article/3973769/enterprise-specific-zero-day-exploits-on-the-rise-google-warns.html

บทความนี้กล่าวถึงฟีเจอร์ God Mode ใน Windows 11 ซึ่งเป็นฟีเจอร์ที่ช่วยให้ผู้ใช้งานสามารถเข้าถึงการตั้งค่าระบบและเครื่องมือการจัดการต่างๆ ได้ในที่เดียว โดยการสร้างโฟลเดอร์พิเศษที่มีชื่อว่า GodMode.{ED7BA470-8E54-465E-825C-99712043E01C} บนเดสก์ท็อป ฟีเจอร์นี้เหมาะสำหรับผู้ใช้งานที่ต้องการความสะดวกในการจัดการระบบ เช่น การตั้งค่าผู้ใช้งาน การจัดการดิสก์ และเครื่องมือดูแลระบบ God Mode ไม่ได้เพิ่มฟีเจอร์ใหม่ แต่เป็นการรวมเครื่องมือที่มีอยู่แล้วใน Windows 11 ให้สามารถเข้าถึงได้ง่ายขึ้น โดยเหมาะสำหรับผู้ใช้งานที่มีความรู้ด้านเทคนิค เช่น IT Professionals และ Power Users ✅ การเปิดใช้งาน God Mode - สร้างโฟลเดอร์ใหม่บนเดสก์ท็อป - ตั้งชื่อโฟลเดอร์ว่า GodMode.{ED7BA470-8E54-465E-825C-99712043E01C} ✅ ฟีเจอร์ที่รวมอยู่ใน God Mode - การตั้งค่าผู้ใช้งาน เช่น การเพิ่ม/ลบผู้ใช้งาน - การจัดการดิสก์ เช่น Disk Cleanup และ Defragment - การตั้งค่าความปลอดภัย เช่น Windows Defender Firewall ✅ ประโยชน์ของ God Mode - รวมเครื่องมือกว่า 200 รายการในที่เดียว - ช่วยลดเวลาในการค้นหาเครื่องมือและการตั้งค่าต่างๆ ✅ การสร้างชอร์ตคัตแทนโฟลเดอร์ - สามารถสร้างชอร์ตคัตโดยใช้คำสั่ง explorer shell:::{ED7BA470-8E54-465E-825C-99712043E01C} https://computercity.com/software/windows/how-to-enable-god-mode-on-windows-11

ข่าวนี้กล่าวถึงความร่วมมือระหว่างจีนและปากีสถานในการสร้างระบบเซ็นเซอร์อินเทอร์เน็ตที่คล้ายกับ Great Firewall ของจีน โดยโครงการนี้เริ่มต้นมานานเกือบหนึ่งปี และมีเป้าหมายเพื่อเพิ่มระดับการเซ็นเซอร์และการเฝ้าระวังในปากีสถาน ระบบนี้สามารถบล็อกเว็บไซต์ต่างประเทศส่วนใหญ่ และยังมีความสามารถในการบล็อก VPN ซึ่งเป็นเครื่องมือสำคัญที่ชาวปากีสถานใช้เพื่อเข้าถึงแพลตฟอร์มโซเชียลมีเดียที่ถูกบล็อก เช่น X (Twitter) แม้ว่ารัฐบาลปากีสถานจะอ้างว่าระบบนี้จะถูกใช้เพื่อปกป้องจุดแลกเปลี่ยนข้อมูลเชิงกลยุทธ์ แต่ผู้เชี่ยวชาญกังวลว่าระบบนี้อาจถูกใช้เพื่อควบคุมการแสดงความคิดเห็นและเสรีภาพทางอินเทอร์เน็ต ✅ ความร่วมมือระหว่างจีนและปากีสถาน - จีนช่วยปากีสถานสร้างระบบเซ็นเซอร์อินเทอร์เน็ตที่คล้ายกับ Great Firewall - โครงการนี้เริ่มต้นมานานเกือบหนึ่งปี ✅ ความสามารถของระบบ - สามารถบล็อกเว็บไซต์ต่างประเทศส่วนใหญ่ - มีความสามารถในการบล็อก VPN ✅ เป้าหมายของโครงการ - รัฐบาลปากีสถานอ้างว่าระบบนี้จะถูกใช้เพื่อปกป้องจุดแลกเปลี่ยนข้อมูลเชิงกลยุทธ์ ✅ ผลกระทบต่อการใช้งานอินเทอร์เน็ตในปากีสถาน - ชาวปากีสถานไม่สามารถเข้าถึงแพลตฟอร์มโซเชียลมีเดีย เช่น X (Twitter) ได้โดยไม่ใช้ VPN https://www.techradar.com/vpn/vpn-privacy-security/china-is-helping-pakistan-build-a-great-firewall-like-internet-censorship-system-heres-what-you-need-to-know

Sophos ได้เปิดเผยรายงานเกี่ยวกับการโจมตีทางไซเบอร์ที่เพิ่มขึ้น โดยเฉพาะการโจมตีที่มุ่งเป้าไปยังอุปกรณ์เครือข่าย เช่น firewalls, VPNs และ routers ซึ่งกลายเป็นจุดเริ่มต้นของการบุกรุกเครือข่ายองค์กร โดยการโจมตีเหล่านี้คิดเป็นเกือบ 30% ของการบุกรุกทั้งหมดในรายงานประจำปีของ Sophos และ ransomware ยังคงเป็นประเภทการโจมตีที่ได้รับความนิยมมากที่สุด ✅ อุปกรณ์เครือข่ายเป็นจุดเริ่มต้นของการบุกรุกเครือข่าย - การโจมตีผ่าน VPNs คิดเป็น 25% ของการบุกรุกทั้งหมด - การโจมตีด้วย ransomware คิดเป็น 90% ของกรณีที่เกิดขึ้นในองค์กรขนาดกลาง ✅ การโจมตีทางไซเบอร์มีการพัฒนาอย่างต่อเนื่อง - ผู้โจมตีใช้เทคนิค social engineering เพื่อเก็บข้อมูล credentials - AI ช่วยให้การโจมตี phishing มีความซับซ้อนและรวดเร็วมากขึ้น ✅ อุปกรณ์ที่หมดอายุการใช้งาน (EOL) เป็นปัจจัยเสี่ยงสำคัญ - อุปกรณ์เหล่านี้มักไม่ได้รับการอัปเดตและกลายเป็นช่องโหว่ที่ง่ายต่อการโจมตี ✅ การเปลี่ยนแปลงในกลยุทธ์ของผู้โจมตี - ผู้โจมตีไม่จำเป็นต้องใช้มัลแวร์ที่ซับซ้อน แต่สามารถใช้ระบบขององค์กรเองเพื่อโจมตี https://www.techradar.com/pro/security/hackers-are-hitting-firewalls-and-vpns-to-breach-businesses

ข่าวนี้กล่าวถึงการโจมตีที่ใช้ช่องโหว่ Server-Side Request Forgery (SSRF) เพื่อขโมยข้อมูล EC2 Instance Metadata บนเซิร์ฟเวอร์ AWS โดยมีการแนะนำวิธีป้องกันและการแก้ไขปัญหา ✅ ลักษณะของการโจมตี: - ผู้โจมตีใช้ช่องโหว่ SSRF ในเว็บไซต์ที่โฮสต์บน EC2 เพื่อเข้าถึงข้อมูล EC2 Metadata เช่น IP Address, Instance ID และ Security Credentials. - การโจมตีนี้เกิดขึ้นในช่วงเดือนมีนาคม 2025 โดยใช้ช่องโหว่ใน Instance Metadata Service (IMDSv1) ซึ่งเป็นเวอร์ชันเก่าที่ไม่มีการป้องกันด้วย Session Token. ✅ การแก้ไขปัญหา: - F5 Labs แนะนำให้ผู้ใช้งานย้ายไปใช้ IMDSv2 ซึ่งต้องการ Session Token และมีการป้องกันที่ดีกว่า. - การตั้งค่า Web Application Firewall (WAF) เพื่อบล็อก IP ที่น่าสงสัย เช่น IP ที่มี "169.254.169.254" ซึ่งเป็น Internal IP ของ AWS. ✅ การดำเนินการของผู้โจมตี: - ผู้โจมตีเริ่มต้นการโจมตีจาก IP ใน ASN:34534 ซึ่งเป็นของบริษัท FBW NETWORKS SAS ในฝรั่งเศสและโรมาเนีย https://www.csoonline.com/article/3959148/hackers-attempted-to-steal-aws-credentials-using-ssrf-flaws-within-hosted-sites.html

ภัยคุกคามไซเบอร์พุ่งเป้าอุปกรณ์ Juniper, Cisco และ Palo Alto Networks—เตือนผู้ดูแลระบบเร่งแก้ไขช่องโหว่ 🔒🌐 นักวิจัยพบว่ามีการโจมตีอุปกรณ์เครือข่ายจาก Juniper, Cisco และ Palo Alto Networks โดยใช้ช่องโหว่จากรหัสผ่านเริ่มต้นและการไม่อัปเดตแพตช์ แฮกเกอร์พยายามเข้าถึงระบบเพื่อโจมตีหรือใช้เป็นฐานขุดคริปโต องค์กรควร เปลี่ยนรหัสผ่านเริ่มต้น, อัปเดตแพตช์ และเสริมความปลอดภัยด้วย Firewall เพื่อป้องกันภัยคุกคามที่เพิ่มขึ้น ✅ Juniper Networks ถูกโจมตีด้วยการใช้รหัสผ่านเริ่มต้น - แฮกเกอร์ใช้รหัสผ่านเริ่มต้น “t128” และ “128tRoutes” เพื่อพยายามเข้าถึงอุปกรณ์ Session Smart Routing (SSR) - นักวิจัยชี้ว่า ผู้ดูแลระบบควรเปลี่ยนรหัสผ่านทันที เพื่อป้องกันการโจมตี ✅ ช่องโหว่ใน Cisco Smart Licensing Utility (SLU) - Cisco เปิดเผยช่องโหว่ใน SLU ตั้งแต่เดือนกันยายน 2024 และออกแพตช์แก้ไข - อย่างไรก็ตาม ยังมีอุปกรณ์ที่ไม่ได้อัปเดต ทำให้แฮกเกอร์พยายามโจมตีผ่านช่องโหว่นี้ ✅ การสแกนระบบของ Palo Alto Networks เพิ่มขึ้นอย่างมาก - นักวิจัยจาก GreyNoise พบว่ามีการสแกนระบบ GlobalProtect portals ของ Palo Alto Networks จาก IP addresses กว่า 24,000 แห่ง - การโจมตีส่วนใหญ่มาจาก สหรัฐฯ และแคนาดา โดยมีเป้าหมายเพื่อค้นหาช่องโหว่ใหม่ ✅ คำแนะนำสำหรับองค์กร - เปลี่ยนรหัสผ่านเริ่มต้น และตรวจสอบการตั้งค่าความปลอดภัยของอุปกรณ์ - อัปเดตแพตช์ล่าสุด เพื่อปิดช่องโหว่ที่อาจถูกใช้ในการโจมตี - ใช้ Firewall และระบบตรวจจับภัยคุกคาม เพื่อป้องกันการโจมตีในอนาคต https://www.csoonline.com/article/3953828/surge-in-threat-actors-scanning-juniper-cisco-and-palo-alto-networks-devices.html

นักวิจัยด้านความปลอดภัยพบว่ามีแฮกเกอร์ที่ใช้ช่องโหว่ของเซิร์ฟเวอร์ PostgreSQL ในการขุด Monero มากกว่า 1,500 เซิร์ฟเวอร์ พวกเขาใช้ XMRig-C3 ซึ่งเป็น Cryptominer ที่ยากต่อการตรวจสอบ ขณะที่ 90% ของระบบคลาวด์ใช้ PostgreSQL แบบ Self-hosted และหนึ่งในสามของเซิร์ฟเวอร์เหล่านี้เปิดให้เข้าถึงจากอินเทอร์เน็ต องค์กรควรตรวจสอบการตั้งค่าความปลอดภัย และหลีกเลี่ยงรหัสผ่านที่อ่อนแอเพื่อป้องกันการโจมตี ✅ XMRig-C3—Cryptominer ที่ขุด Monero และหลีกเลี่ยงการตรวจสอบ - Monero เป็นคริปโตที่ ยากต่อการติดตามมากกว่า Bitcoin ทำให้ได้รับความนิยมในกลุ่มอาชญากรไซเบอร์ - การใช้ XMRig-C3 ทำให้เซิร์ฟเวอร์ ทำงานหนักขึ้น และมีค่าไฟฟ้าที่พุ่งสูงขึ้น ✅ กลุ่ม JINX-0126 พัฒนาเทคนิคใหม่เพื่อหลีกเลี่ยงการตรวจจับ - แฮกเกอร์ใช้ การติดตั้ง Cryptominer แบบไม่มีไฟล์ (Fileless Deployment) เพื่อให้การตรวจสอบหาซอฟต์แวร์แปลกปลอมทำได้ยากขึ้น - พวกเขายังตั้งค่าให้แต่ละเซิร์ฟเวอร์ มี Worker ID แยกต่างหาก เพื่อให้วิเคราะห์จำนวนเซิร์ฟเวอร์ที่ติดมัลแวร์ได้ยากขึ้น ✅ เซิร์ฟเวอร์ PostgreSQL มีช่องโหว่มากกว่าที่คาด - Wiz พบว่า เกือบ 90% ของระบบคลาวด์มีการตั้งค่า PostgreSQL ในรูปแบบ Self-hosted - หนึ่งในสามของเซิร์ฟเวอร์เหล่านี้เปิดให้เข้าถึงได้จากอินเทอร์เน็ต ✅ สิ่งที่องค์กรควรทำเพื่อป้องกันการโจมตี - ตรวจสอบการตั้งค่าความปลอดภัยของ PostgreSQL และหลีกเลี่ยงการใช้ รหัสผ่านที่เดาง่าย - ใช้ Firewall และระบบตรวจจับภัยคุกคาม เพื่อลดความเสี่ยง https://www.techradar.com/pro/security/thousands-of-postgresql-servers-are-being-hijacked-to-mine-crypto

ข่าวนี้พูดถึงช่องโหว่ความปลอดภัยใน ระบบพลังงานแสงอาทิตย์ ซึ่งอาจทำให้ นักโจมตีทางไซเบอร์ สามารถควบคุมการผลิตพลังงาน แทรกแซงข้อมูลส่วนตัว หรือแม้กระทั่งขัดขวางการทำงานของโครงข่ายพลังงาน ผู้เชี่ยวชาญจาก Forescout – Vedere Labs ระบุช่องโหว่ใหม่ถึง 46 รายการในอุปกรณ์อินเวอร์เตอร์จากผู้ผลิตรายใหญ่อย่าง Sungrow, Growatt และ SMA โดย 80% ของช่องโหว่ที่รายงานถือเป็นปัญหาร้ายแรงหรือสำคัญ ความเสี่ยงที่เกิดขึ้นจากการเชื่อมต่อออนไลน์: - หลายอินเวอร์เตอร์ในระบบพลังงานแสงอาทิตย์มีการเชื่อมต่ออินเทอร์เน็ตโดยตรง ทำให้ง่ายต่อการโจมตีผ่านการใช้เฟิร์มแวร์ที่ล้าสมัยหรือการเข้ารหัสข้อมูลที่อ่อนแอ ผลกระทบที่เกิดขึ้น: - การโจมตีสามารถทำให้เกิดความไม่สมดุลในโครงข่ายพลังงาน การขโมยข้อมูลที่ละเมิดข้อกำหนดด้าน GDPR รวมถึงการควบคุมอุปกรณ์ภายในบ้านอัจฉริยะ เช่น เครื่องชาร์จรถยนต์ไฟฟ้า คำแนะนำในการป้องกัน: - ผู้ผลิตควรเร่งแก้ไขปัญหาด้วยการอัปเดตระบบ ปรับปรุงโค้ดให้ปลอดภัย และทดสอบเจาะระบบอย่างสม่ำเสมอ นอกจากนี้ ควรมีการใช้ Web Application Firewall และมาตรการความปลอดภัยมาตรฐาน เช่น NIST IR 8259 บทบาทของเจ้าของระบบพลังงานแสงอาทิตย์: - การแยกเครือข่ายของอุปกรณ์แสงอาทิตย์ การตั้งค่าระบบเฝ้าระวังความปลอดภัย และการใช้ซอฟต์แวร์ป้องกันภัยไซเบอร์เป็นสิ่งสำคัญที่ผู้ใช้ควรดำเนินการ https://www.techradar.com/pro/millions-of-solar-power-systems-could-be-at-risk-of-cyber-attacks-after-researchers-find-flurry-of-vulnerabilities

บทความนี้เกี่ยวกับช่องโหว่ความปลอดภัยที่มีผลต่อไฟร์วอลล์ SonicWall ซึ่งช่วยให้แฮ็กเกอร์สามารถขโมยการเชื่อมต่อ VPN ได้โดยไม่ต้องผ่านการยืนยันตัวตน ข้อบกพร่องนี้ได้รับการระบุเป็น CVE-2024-53704 และนักวิจัยจาก Bishop Fox ได้เปิดเผยรายละเอียดการทำงานของการโจมตีทั้งหมด ทำให้ผู้ดูแลระบบเครือข่ายต้องรีบอัพเดตเฟิร์มแวร์ของ SonicOS เพื่อป้องกันการโจมตี ช่องโหว่นี้ทำให้ผู้โจมตีสามารถควบคุมการเชื่อมต่อ VPN ที่กำลังใช้งานอยู่ได้โดยการส่งคุกกี้ที่ถูกดัดแปลงไปยังปลายทางการยืนยันตัวตนของ SSL VPN ที่ '/cgi-bin/sslvpnclient' วิธีนี้ทำให้ระบบไม่สามารถตรวจสอบการเชื่อมต่อได้ถูกต้อง และให้สิทธิ์ผู้โจมตีเข้าถึงเครือข่ายของเหยื่อ Bishop Fox ได้ประกาศว่าพวกเขาได้พัฒนาโปรแกรมการโจมตีที่ทำงานได้จริงและสามารถจำลองการโจมตีเพื่อยืนยันช่องโหว่นี้ ซึ่งการโจมตีทำให้พวกเขาสามารถระบุตัวตนของผู้ใช้งานและโดเมนของการเชื่อมต่อที่ถูกขโมยได้ รวมถึงสามารถเข้าถึงการตั้งค่าและทรัพยากรเครือข่ายภายในของเหยื่อ SonicWall ได้ออกการอัพเดตเฟิร์มแวร์เพื่อแก้ไขปัญหานี้แล้ว สำหรับเวอร์ชัน 7.1.x ถึง 7.1.1-7058, 7.1.2-7019, และ 8.0.0-8035 โดยผู้ดูแลระบบควรอัพเดตเฟิร์มแวร์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการโจมตี https://www.bleepingcomputer.com/news/security/sonicwall-firewall-exploit-lets-hackers-hijack-vpn-sessions-patch-now/