🔐 “1Password เปิดตัว Secure Agentic Autofill — ป้องกันรหัสผ่านจาก AI ด้วยระบบอนุมัติแบบมนุษย์” ในยุคที่ AI agents เริ่มทำงานแทนมนุษย์ในเบราว์เซอร์ ตั้งแต่จองตั๋ว ไปจนถึงจัดการบัญชีผู้ใช้ ความสะดวกนี้กลับมาพร้อมความเสี่ยงด้านความปลอดภัย โดยเฉพาะเมื่อ AI สามารถเข้าถึงรหัสผ่านที่จัดเก็บไว้ใน password manager ได้โดยตรง เพื่อรับมือกับความเสี่ยงนี้ 1Password ได้เปิดตัวฟีเจอร์ใหม่ชื่อว่า “Secure Agentic Autofill” ซึ่งเป็นระบบที่ออกแบบมาเพื่อป้องกันไม่ให้ AI agents เข้าถึงข้อมูล credential โดยไม่ได้รับอนุญาตจากมนุษย์ก่อน หลักการทำงานคือ เมื่อ AI agent ต้องการกรอกข้อมูลเข้าสู่ระบบใด ๆ มันจะส่งคำขอไปยัง 1Password ซึ่งจะตรวจสอบ credential ที่เกี่ยวข้อง และแสดงหน้าต่างขออนุมัติจากผู้ใช้ผ่าน Touch ID, PIN หรือวิธีการยืนยันตัวตนอื่น ๆ เมื่อผู้ใช้อนุมัติแล้ว ระบบจะส่งข้อมูลเข้าสู่เบราว์เซอร์ผ่านช่องทางเข้ารหัสแบบ end-to-end โดยที่ AI agent ไม่สามารถเห็นหรือจัดเก็บรหัสผ่านได้เลย ฟีเจอร์นี้เปิดให้ใช้งานแบบ early access ผ่าน Browserbase ซึ่งเป็นแพลตฟอร์มสำหรับการสร้างและควบคุม AI agents ในเบราว์เซอร์ โดยนักพัฒนาสามารถเชื่อมต่อ vault ของ 1Password และกำหนดว่า agent ใดสามารถเข้าถึง credential ใดได้บ้าง แม้ระบบนี้จะเพิ่มความปลอดภัยอย่างมาก แต่ก็มีข้อแลกเปลี่ยนคือ ผู้ใช้ต้องอยู่เพื่ออนุมัติการกรอกข้อมูลทุกครั้ง ซึ่งอาจขัดกับแนวคิดของการทำงานอัตโนมัติเต็มรูปแบบ ✅ ข้อมูลสำคัญจากข่าว ➡️ 1Password เปิดตัวฟีเจอร์ Secure Agentic Autofill เพื่อป้องกัน AI agents เข้าถึงรหัสผ่าน ➡️ ระบบใช้การอนุมัติจากมนุษย์ก่อนส่ง credential เข้าสู่เบราว์เซอร์ ➡️ การอนุมัติทำผ่าน Touch ID, PIN หรือวิธีการยืนยันตัวตนอื่น ๆ ➡️ ข้อมูลถูกส่งผ่านช่องทางเข้ารหัสแบบ end-to-end โดยที่ AI agent ไม่เห็นรหัสผ่าน ➡️ ฟีเจอร์เปิดให้ใช้งานผ่าน Browserbase สำหรับนักพัฒนา AI agent ➡️ ผู้ใช้สามารถกำหนดว่า agent ใดเข้าถึง credential ใดได้บ้าง ➡️ ระบบมี audit log เพื่อบันทึกว่า credential ถูกใช้เมื่อใดและอย่างไร ✅ ข้อมูลเสริมจากภายนอก ➡️ Browserbase เป็นแพลตฟอร์มสำหรับสร้าง AI agent ที่ทำงานในเบราว์เซอร์ ➡️ AI agents เริ่มถูกใช้ในงานจริง เช่น การจัดซื้อ การ onboarding และการบริการลูกค้า ➡️ ระบบ “human-in-the-loop” เป็นแนวทางที่นิยมในงาน AI ที่ต้องการความปลอดภัยสูง ➡️ การใช้ credential แบบ just-in-time ช่วยลดความเสี่ยงจากการเก็บข้อมูลไว้ในระบบ ➡️ การแยกตัวตนของ AI agent กับผู้ใช้จริงเป็นหัวใจของการรักษาความปลอดภัยในระบบอัตโนมัติ https://securityonline.info/1password-launches-secure-agentic-autofill-with-human-in-the-loop-to-protect-credentials-from-ai-agents/

🔐 “Discord ถูกเจาะข้อมูลผ่านระบบซัพพอร์ตภายนอก — ข้อมูลผู้ใช้บางส่วนรั่ว แต่รหัสผ่านยังปลอดภัย” เมื่อวันที่ 20 กันยายน 2025 Discord ได้รับผลกระทบจากเหตุการณ์เจาะระบบที่ไม่ได้เกิดจากการแฮกระบบหลักของบริษัทโดยตรง แต่เกิดจากการที่แฮกเกอร์สามารถเข้าถึงข้อมูลผู้ใช้ผ่านผู้ให้บริการซัพพอร์ตภายนอกที่ Discord ใช้งานอยู่ โดยข้อมูลที่ถูกเข้าถึงนั้นรวมถึงชื่อจริง อีเมล ที่อยู่ IP และข้อมูลการติดต่ออื่น ๆ ของผู้ใช้ที่เคยติดต่อฝ่าย Customer Support หรือ Trust & Safety แม้จะไม่มีการเข้าถึงรหัสผ่านหรือข้อความส่วนตัวในเซิร์ฟเวอร์หรือ DM แต่ข้อความที่เคยส่งถึงฝ่ายซัพพอร์ตก็ถูกแฮกเกอร์เข้าถึงได้ รวมถึงข้อมูลการชำระเงินบางส่วน เช่น ประเภทการจ่ายเงินและเลขท้าย 4 หลักของบัตรเครดิต สำหรับผู้ใช้บางรายที่เคยส่งเอกสารยืนยันตัวตน เช่น บัตรประชาชนหรือพาสปอร์ต ก็อาจได้รับผลกระทบจากการรั่วไหลนี้เช่นกัน Discord ได้ดำเนินการตัดสิทธิ์การเข้าถึงของผู้ให้บริการที่ถูกเจาะทันที และแจ้งหน่วยงานบังคับใช้กฎหมายเพื่อดำเนินการสอบสวน พร้อมทั้งส่งอีเมลแจ้งผู้ใช้ที่ได้รับผลกระทบจาก noreply@discord.com โดยระบุข้อมูลที่ถูกเข้าถึงและแนวทางปฏิบัติต่อไป เหตุการณ์นี้เกิดขึ้นในช่วงที่ Discord เพิ่งเริ่มใช้ระบบยืนยันอายุด้วยเอกสารราชการ ทำให้ผู้ใช้จำนวนหนึ่งต้องส่งข้อมูลส่วนตัวที่อ่อนไหวมากขึ้น และกลายเป็นเป้าหมายของการโจมตีในครั้งนี้ ✅ ข้อมูลสำคัญจากข่าว ➡️ Discord ถูกเจาะข้อมูลผ่านผู้ให้บริการซัพพอร์ตภายนอก ไม่ใช่ระบบหลักของบริษัท ➡️ ข้อมูลที่ถูกเข้าถึง ได้แก่ ชื่อจริง อีเมล IP และข้อความที่ส่งถึงฝ่ายซัพพอร์ต ➡️ มีการเข้าถึงข้อมูลการชำระเงินบางส่วน เช่น ประเภทการจ่ายเงินและเลขท้ายบัตร ➡️ ผู้ใช้บางรายที่ส่งเอกสารยืนยันตัวตนอาจได้รับผลกระทบจากการรั่วไหล ➡️ Discord ตัดสิทธิ์การเข้าถึงของผู้ให้บริการทันที และแจ้งหน่วยงานสอบสวน ➡️ ผู้ใช้ที่ได้รับผลกระทบจะได้รับอีเมลจาก noreply@discord.com พร้อมข้อมูลที่รั่ว ➡️ ไม่มีการเข้าถึงรหัสผ่าน ข้อความในเซิร์ฟเวอร์ หรือที่ DM ➡️ Discord ทบทวนระบบตรวจจับภัยคุกคามและนโยบายความปลอดภัยของผู้ให้บริการ ✅ ข้อมูลเสริมจากภายนอก ➡️ Zendesk เป็นแพลตฟอร์มซัพพอร์ตที่ถูกใช้โดยหลายบริษัท รวมถึง Discord ➡️ การโจมตีผ่าน third-party vendor เป็นช่องโหว่ที่พบได้บ่อยในระบบองค์กรขนาดใหญ่ ➡️ การยืนยันตัวตนด้วยเอกสารราชการเริ่มถูกใช้มากขึ้นในแพลตฟอร์มโซเชียลเพื่อปฏิบัติตามกฎหมาย ➡️ การเข้าถึงข้อมูลที่มี government ID อาจนำไปสู่การขโมยตัวตน (identity theft) ➡️ Discord มีส่วนแบ่งตลาดมากกว่า 90% ในกลุ่มแอปสื่อสารสำหรับเกมเมอร์ https://www.tomshardware.com/video-games/pc-gaming/discord-data-hacked-in-latest-customer-service-breach-to-expose-user-information-hackers-gained-access-via-third-party-support-systems-but-didnt-steal-passwords

🔓 “Termix Docker เจอช่องโหว่ร้ายแรง CVE-2025-59951 — ดึงข้อมูล SSH ได้ทันทีโดยไม่ต้องล็อกอิน” Termix ซึ่งเป็นแพลตฟอร์มจัดการเซิร์ฟเวอร์แบบ self-hosted ที่ได้รับความนิยมในกลุ่ม DevOps และผู้ดูแลระบบ ได้เปิดเผยช่องโหว่ร้ายแรงใน Docker image อย่างเป็นทางการของตนเอง โดยช่องโหว่นี้ถูกติดตามในชื่อ CVE-2025-59951 และได้รับคะแนนความรุนแรง CVSS v4 สูงถึง 9.2 ซึ่งอยู่ในระดับ “วิกฤต” ช่องโหว่นี้เกิดจากการที่ Termix ใช้ reverse proxy ผ่าน Nginx แล้ว backend ดึง IP address ของ proxy แทนที่จะเป็น IP ของผู้ใช้จริงผ่านคำสั่ง req.ip ทำให้ระบบเข้าใจผิดว่าทุกคำขอเป็น “localhost” และเปิดสิทธิ์ให้เข้าถึง endpoint ที่ควรถูกจำกัดไว้ ผลคือ endpoint /ssh/db/host/internal ซึ่งเก็บข้อมูล SSH host เช่น IP, username และ password สามารถถูกเข้าถึงได้โดยไม่ต้องล็อกอินหรือยืนยันตัวตนใด ๆ ทั้งสิ้น นักวิจัยด้านความปลอดภัยสามารถทำ PoC ได้ง่าย ๆ ด้วยคำสั่ง HTTP GET ธรรมดา และได้รับข้อมูล SSH กลับมาในรูปแบบ JSON ทันที ช่องโหว่นี้มีผลกับทุกเวอร์ชันตั้งแต่ release-0.1.1-tag ถึง release-1.6.0-tag โดยเวอร์ชันที่ได้รับการแก้ไขคือ release-1.7.0-tag ซึ่งแนะนำให้ผู้ใช้รีบอัปเดตทันที พร้อมปรับ backend ให้ใช้ X-Real-IP แทน req.ip เพื่อป้องกันการเข้าใจผิดเรื่อง IP ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-59951 เกิดจากการใช้ req.ip ใน backend ทำให้เข้าใจว่า request มาจาก localhost ➡️ ส่งผลให้ endpoint /ssh/db/host/internal ถูกเปิดให้เข้าถึงโดยไม่ต้องล็อกอิน ➡️ ข้อมูลที่รั่วไหลได้แก่ IP, username และ password ของ SSH hosts ➡️ ช่องโหว่นี้มีผลกับ Docker image ตั้งแต่ release-0.1.1-tag ถึง release-1.6.0-tag ➡️ เวอร์ชันที่แก้ไขแล้วคือ release-1.7.0-tag ➡️ PoC แสดงให้เห็นว่าการโจมตีสามารถทำได้ง่ายและเสถียร ➡️ ระบบที่ใช้ reverse proxy ผ่าน Nginx มีความเสี่ยงสูง ➡️ แนะนำให้เปลี่ยนการตรวจสอบ IP เป็น X-Real-IP แทน req.ip ✅ ข้อมูลเสริมจากภายนอก ➡️ Termix เป็นแพลตฟอร์มจัดการเซิร์ฟเวอร์แบบ web-based ที่รวม SSH, tunneling และ file management ➡️ ช่องโหว่ประเภท Use-After-Free และ IP spoofing เป็นปัญหาที่พบได้บ่อยในระบบที่ใช้ proxy ➡️ การใช้ reverse proxy โดยไม่ตรวจสอบ IP อย่างถูกต้องอาจเปิดช่องให้เกิดการโจมตีแบบ privilege escalation ➡️ การใช้ Docker image จากแหล่งทางการโดยไม่ตรวจสอบ config อาจนำไปสู่การรั่วไหลข้อมูล ➡️ การใช้ asset mapping tools สามารถช่วยค้นหา instance ที่เปิด endpoint นี้อยู่ https://securityonline.info/critical-flaw-in-termix-docker-image-cve-2025-59951-leaks-ssh-credentials-without-authentication/

🔐 “เยอรมนีประกาศแผนเลิกใช้รหัสผ่าน — ดัน ‘Passkey’ เป็นมาตรฐานใหม่ของการยืนยันตัวตน” รัฐบาลเยอรมนีประกาศแผนเปลี่ยนผ่านครั้งใหญ่ในระบบความปลอดภัยดิจิทัล โดยเตรียมผลักดันให้ “Passkey” กลายเป็นวิธีการยืนยันตัวตนหลักแทนรหัสผ่านแบบเดิม ซึ่งมักเสี่ยงต่อการถูกขโมย ถูกฟิชชิ่ง และถูกใช้ซ้ำในหลายบัญชี สำนักงาน BSI (สำนักงานความปลอดภัยสารสนเทศแห่งรัฐบาลกลางเยอรมนี) ได้เผยแพร่ร่างแนวทาง TR-03188 สำหรับการใช้งาน Passkey โดยอธิบายถึงการทำงานของระบบที่ใช้ “กุญแจสาธารณะ” (public key) ที่เก็บไว้ในเว็บไซต์ และ “กุญแจส่วนตัว” (private key) ที่เก็บไว้ในอุปกรณ์ของผู้ใช้ ซึ่งจะจับคู่กันเพื่อยืนยันตัวตนโดยไม่ต้องพิมพ์รหัสผ่านเลย Passkey มีสองรูปแบบหลัก: 🗝️ Device-bound passkey: เก็บไว้ในอุปกรณ์เดียว เช่น โทรศัพท์หรือคอมพิวเตอร์ 🗝️ Synced passkey: เก็บไว้ในระบบคลาวด์แบบเข้ารหัส เพื่อให้ใช้งานได้หลายอุปกรณ์ ข้อดีของ Passkey คือไม่สามารถนำไปใช้ซ้ำในหลายเว็บไซต์ได้ เพราะแต่ละบัญชีจะมี passkey เฉพาะตัว และยังต้านทานการโจมตีแบบ phishing และ man-in-the-middle ได้ดี เพราะผู้โจมตีไม่สามารถเข้าถึงกุญแจส่วนตัวที่อยู่ในอุปกรณ์ของผู้ใช้ได้ แม้จะมีศักยภาพสูง แต่การใช้งาน Passkey ยังอยู่ในช่วงเริ่มต้น โดยรายงานในปี 2024 พบว่ามีเพียง 38% ของประชาชนที่รู้จัก Passkey และมีเพียง 18% ที่ใช้งานจริง ซึ่งทำให้รัฐบาลต้องเร่งสร้างความเข้าใจและมาตรฐานร่วมสำหรับผู้ให้บริการเว็บไซต์และแอปพลิเคชัน Microsoft ก็ประกาศในเดือนพฤษภาคม 2025 ว่าจะเปิดให้บัญชีใหม่ทั้งหมดสามารถใช้ Passkey ได้ทันที และจะขยายไปยังบัญชีเดิมในอนาคต 🔏🔑 “Passkey” คืออะไร ⁉️🤔 Passkey คือระบบการยืนยันตัวตนแบบใหม่ที่ใช้หลักการของ “กุญแจคู่” (key pair) ซึ่งประกอบด้วย: 🗝️ Public key: เก็บไว้ในเว็บไซต์หรือบริการออนไลน์ 🗝️ Private key: เก็บไว้ในอุปกรณ์ของผู้ใช้ เช่น โทรศัพท์หรือคอมพิวเตอร์ เมื่อผู้ใช้เข้าสู่ระบบ เว็บไซต์จะส่งคำขอไปยังอุปกรณ์เพื่อให้ใช้ private key เซ็นข้อมูล และส่งกลับไปตรวจสอบกับ public key ถ้าตรงกันก็เข้าสู่ระบบได้ทันที โดยไม่ต้องพิมพ์รหัสผ่าน ข้อดี: ✔️ ไม่ต้องจำรหัสผ่าน ✔️ ปลอดภัยจาก phishing และการโจมตีแบบดักกลาง ✔️ ใช้งานได้หลายอุปกรณ์ (ถ้าใช้แบบ synced passkey) ✔️ ไม่สามารถนำไปใช้ซ้ำในหลายเว็บไซต์ ✅ ข้อมูลสำคัญจากข่าว ➡️ รัฐบาลเยอรมนีประกาศแผนผลักดัน Passkey เป็นวิธีการยืนยันตัวตนหลัก ➡️ BSI เผยแพร่ร่างแนวทาง TR-03188 สำหรับการใช้งาน Passkey ➡️ Passkey ใช้ระบบกุญแจคู่: public key บนเว็บไซต์ และ private key ในอุปกรณ์ผู้ใช้ ➡️ มีสองรูปแบบ: device-bound และ synced passkey ➡️ Passkey ปลอดภัยจาก phishing และ man-in-the-middle attacks ➡️ ไม่สามารถใช้ซ้ำในหลายเว็บไซต์ เพิ่มความปลอดภัย ➡️ Microsoft ประกาศรองรับ Passkey สำหรับบัญชีใหม่ทั้งหมดในปี 2025 ➡️ รัฐบาลเยอรมนีต้องการสร้างมาตรฐานร่วมสำหรับผู้ให้บริการเว็บไซต์ ✅ ข้อมูลเสริมจากภายนอก ➡️ Apple, Google และ Microsoft ร่วมกันผลักดันมาตรฐาน Passkey ผ่าน FIDO Alliance ➡️ Passkey สามารถใช้ร่วมกับ biometric เช่น Face ID หรือ fingerprint ได้ ➡️ ระบบ Passkey ถูกออกแบบให้ใช้งานง่ายและไม่ต้องจำข้อมูลใด ๆ ➡️ การใช้ Passkey ช่วยลดภาระของฝ่าย IT ในการรีเซ็ตรหัสผ่าน ➡️ หลายธนาคารและบริการสุขภาพเริ่มทดลองใช้ Passkey เพื่อเพิ่มความปลอดภัย https://www.techradar.com/pro/security/germanys-government-wants-to-replace-passwords-with-passkeys

Formbricks ซึ่งเป็นแพลตฟอร์มโอเพ่นซอร์สสำหรับสร้างแบบสำรวจในแอปและเว็บไซต์ กำลังเผชิญกับช่องโหว่ด้านความปลอดภัยที่ร้ายแรงระดับ CVSS 9.4 โดยช่องโหว่นี้ถูกระบุเป็น CVE-2025-59934 และเปิดโอกาสให้ผู้โจมตีสามารถรีเซ็ตรหัสผ่านของผู้ใช้ได้โดยไม่ต้องมีสิทธิ์ใด ๆ เพียงแค่รู้ user.id ของเหยื่อ สาเหตุของช่องโหว่มาจากการตรวจสอบ JSON Web Token (JWT) ที่ผิดพลาด โดยระบบใช้ฟังก์ชัน jwt.decode ซึ่งแค่ถอดรหัส payload โดยไม่ตรวจสอบลายเซ็น (signature), วันหมดอายุ, ผู้สร้าง หรือกลุ่มเป้าหมายของ token เลย ทำให้ผู้โจมตีสามารถสร้าง JWT ปลอมที่มี header เป็น alg: “none” แล้วส่งไปยัง endpoint สำหรับรีเซ็ตรหัสผ่านได้ทันที ช่องโหว่นี้ส่งผลกระทบทั้งในส่วนของการยืนยันอีเมลและการรีเซ็ตรหัสผ่าน เพราะทั้งสองฟังก์ชันใช้ validator เดียวกันที่ไม่มีการตรวจสอบความถูกต้องของ token อย่างแท้จริง หากแฮกเกอร์รู้ user.id ของเหยื่อ เช่น cmfuc8pk60000vxfjud7bcl2w ก็สามารถสร้าง JWT ปลอมและส่งไปยัง /auth/forgot-password/reset?token=<JWT> ได้ทันที ระบบจะยอมรับ token นั้นและรีเซ็ตรหัสผ่านโดยไม่ถามอะไรเลย Formbricks ได้ออกแพตช์แก้ไขในเวอร์ชัน 4.0.1 และแนะนำให้ผู้ใช้งานอัปเดตทันที พร้อมคำแนะนำเพิ่มเติม เช่น การจำกัดการเข้าถึง endpoint ที่เกี่ยวข้อง การตรวจสอบกิจกรรมรีเซ็ตรหัสผ่านที่ผิดปกติ และการเปลี่ยนรหัสผ่านของผู้ใช้หากสงสัยว่ามีการโจมตีเกิดขึ้น ✅ ข้อมูลสำคัญจากข่าว ➡️ ช่องโหว่ CVE-2025-59934 มีระดับความรุนแรง CVSS 9.4 (Critical) ➡️ เกิดจากการใช้ jwt.decode โดยไม่ตรวจสอบลายเซ็นหรือข้อมูลสำคัญอื่น ➡️ ผู้โจมตีสามารถสร้าง JWT ปลอมด้วย alg: “none” และรีเซ็ตรหัสผ่านของผู้ใช้ได้ ➡️ ช่องโหว่ส่งผลกระทบทั้งการยืนยันอีเมลและการรีเซ็ตรหัสผ่าน ➡️ หากรู้ user.id ของเหยื่อ ก็สามารถเข้ายึดบัญชีได้ทันที ➡️ Formbricks ได้ออกแพตช์แก้ไขในเวอร์ชัน 4.0.1 ➡️ แนะนำให้จำกัดการเข้าถึง endpoint และตรวจสอบกิจกรรมผิดปกติ ➡️ มีการเผยแพร่ proof-of-concept ที่แสดงวิธีโจมตีอย่างชัดเจน ✅ ข้อมูลเสริมจากภายนอก ➡️ JWT เป็นมาตรฐานการยืนยันตัวตนที่นิยมใช้ในเว็บแอปสมัยใหม่ ➡️ การใช้ alg: “none” เป็นเทคนิคที่เคยถูกใช้โจมตีในหลายระบบมาก่อน ➡️ การตรวจสอบ JWT ควรใช้ jwt.verify แทน jwt.decode เพื่อความปลอดภัย ➡️ ช่องโหว่ลักษณะนี้สามารถนำไปสู่การยึดบัญชี (account takeover) ได้ทันที ➡️ การใช้ validator เดียวกันในหลายฟังก์ชันเป็นความเสี่ยงที่ควรหลีกเลี่ยง https://securityonline.info/cve-2025-59934-critical-flaw-in-formbricks-allows-unauthorized-password-resets-via-forged-jwt-tokens/

🕵️ “BRICKSTORM: ช่องโหว่เงียบจากจีนที่แฝงตัวในระบบสหรัฐฯ นานกว่า 1 ปี — เมื่อขอบระบบกลายเป็นประตูหลังของการจารกรรมไซเบอร์” ในรายงานล่าสุดจาก Mandiant และ Google Threat Intelligence Group ได้เปิดเผยการโจมตีไซเบอร์ที่ซับซ้อนและยาวนานโดยกลุ่มแฮกเกอร์จีน UNC5221 ซึ่งสามารถแฝงตัวอยู่ในระบบของบริษัทเทคโนโลยี, กฎหมาย, SaaS และ BPO ในสหรัฐฯ ได้ถึง 393 วันโดยไม่ถูกตรวจจับ กลุ่มนี้ใช้มัลแวร์ชื่อว่า “BRICKSTORM” ซึ่งเป็น backdoor ที่เขียนด้วยภาษา Go สำหรับระบบ Linux และ BSD โดยถูกฝังไว้ในอุปกรณ์ edge เช่น firewall, VPN gateway และ network appliance ที่มักไม่มีระบบตรวจจับภัยคุกคามแบบ endpoint หรือ SIEM ทำให้การตรวจจับแทบเป็นไปไม่ได้หากไม่มีการ threat hunting เชิงรุก จากจุดเริ่มต้นที่อุปกรณ์ edge แฮกเกอร์สามารถเคลื่อนตัวไปยังระบบภายใน เช่น VMware vCenter, ESXi, Windows Server และแม้แต่ Microsoft 365 โดยใช้เทคนิคหลากหลาย เช่น การขโมย credentials, การฝัง Java Servlet filter (BRICKSTEAL) เพื่อดัก username/password และการติดตั้ง web shell (SLAYSTYLE) เพื่อควบคุมระบบผ่าน HTTP เป้าหมายของการโจมตีไม่ใช่แค่การขโมยข้อมูล แต่รวมถึงการวิเคราะห์ source code เพื่อพัฒนา zero-day exploit และการเข้าถึงระบบ downstream ของลูกค้าบริษัทเป้าหมาย เช่น SaaS ที่มีข้อมูลผู้ใช้จำนวนมาก ที่น่ากังวลคือ BRICKSTORM ยังสามารถทำงานเป็น SOCKS proxy เพื่อเปิดช่องให้แฮกเกอร์เข้าถึงระบบภายในโดยตรง และใช้ Microsoft Entra ID เพื่อเข้าถึง mailbox ของผู้ดูแลระบบหรือผู้พัฒนาซอฟต์แวร์ ซึ่งมักมีข้อมูลสำคัญระดับองค์กร แม้จะมีการออก scanner script เพื่อค้นหา BRICKSTORM แล้ว แต่การตรวจสอบย้อนหลังยังเป็นเรื่องยาก เพราะ log ของอุปกรณ์ edge มักถูกลบหรือไม่มีการเก็บไว้แบบ centralized ทำให้ไม่สามารถระบุได้ว่าการเจาะระบบเริ่มต้นจากจุดใด ✅ ข้อมูลสำคัญจากข่าว ➡️ กลุ่ม UNC5221 จากจีนใช้มัลแวร์ BRICKSTORM เจาะระบบบริษัทสหรัฐฯ นานกว่า 393 วัน ➡️ ฝังตัวในอุปกรณ์ edge เช่น firewall และ VPN gateway ที่ไม่มีระบบตรวจจับภัยคุกคาม ➡️ เคลื่อนตัวไปยังระบบภายใน เช่น VMware vCenter, ESXi, Windows Server และ Microsoft 365 ➡️ ใช้ Java Servlet filter (BRICKSTEAL) เพื่อดัก username/password ➡️ ใช้ web shell (SLAYSTYLE) เพื่อควบคุมระบบผ่าน HTTP ➡️ ใช้ Microsoft Entra ID เพื่อเข้าถึง mailbox ของผู้ดูแลระบบ ➡️ BRICKSTORM ทำงานเป็น SOCKS proxy เพื่อเปิดช่องเข้าระบบภายใน ➡️ เป้าหมายรวมถึงการขโมยข้อมูล, วิเคราะห์ source code และพัฒนา zero-day exploit ➡️ Mandiant ออก scanner script เพื่อค้นหา BRICKSTORM บนอุปกรณ์ edge ✅ ข้อมูลเสริมจากภายนอก ➡️ BRICKSTORM ถูกพบครั้งแรกในยุโรปตั้งแต่ปี 2022 และกลับมาโจมตีในสหรัฐฯ ปี 2025 ➡️ มัลแวร์นี้ใช้ nested TLS และ reverse proxy ผ่าน Cloudflare/Heroku เพื่อหลบการตรวจจับ ➡️ UNC5221 มีความเชื่อมโยงกับ Silk Typhoon แต่ Google เชื่อว่าเป็นกลุ่มแยกต่างหาก ➡️ การโจมตีเน้นเป้าหมายที่มีข้อมูลเชิงเศรษฐกิจและความมั่นคง เช่น กฎหมายและเทคโนโลยี ➡️ การใช้ edge device เป็นจุดเริ่มต้นทำให้การตรวจจับยากและการป้องกันต้องเปลี่ยนแนวคิด https://www.csoonline.com/article/4062723/chinese-spies-had-year-long-access-to-us-tech-and-legal-firms.html

🛡️ “Helium Browser: เบราว์เซอร์ที่ไม่ขอข้อมูลคุณแม้แต่บิตเดียว — เมื่อความเป็นส่วนตัวกลายเป็นมาตรฐานใหม่ ไม่ใช่แค่ตัวเลือก” ในยุคที่เบราว์เซอร์ส่วนใหญ่เต็มไปด้วยโฆษณา การติดตาม และการเก็บข้อมูลผู้ใช้ Helium Browser ได้เปิดตัวเวอร์ชัน ALPHA สำหรับ Windows 10/11 โดยชูจุดขายว่าเป็น “เบราว์เซอร์ที่เคารพผู้ใช้” อย่างแท้จริง ด้วยแนวคิดว่า “ความเป็นส่วนตัวควรเป็นค่าเริ่มต้น ไม่ใช่ตัวเลือกซ่อนอยู่ในเมนู” Helium ถูกสร้างขึ้นบนพื้นฐานของ Chromium แต่ตัดทุกสิ่งที่ไม่จำเป็นออกไป — ไม่มีโฆษณา ไม่มีการติดตาม ไม่มีการส่งข้อมูลโดยไม่ได้รับอนุญาต และไม่มีการร้องขอสิทธิ์แปลก ๆ เมื่อเปิดใช้งานครั้งแรก แม้แต่การเชื่อมต่อกับอินเทอร์เน็ตก็จะไม่เกิดขึ้นหากผู้ใช้ไม่อนุญาต เบราว์เซอร์นี้มาพร้อมกับ uBlock Origin ที่ติดตั้งไว้ล่วงหน้า ซึ่งช่วยบล็อกโฆษณา ตัวติดตาม คุกกี้จากบุคคลที่สาม ฟิชชิง และแม้แต่ cryptominers โดยไม่ต้องตั้งค่าเพิ่มเติม และไม่มีข้อยกเว้นที่แอบแฝงเหมือนเบราว์เซอร์อื่น ๆ Helium ยังรองรับฟีเจอร์เฉพาะตัว เช่น split view สำหรับเปิดหลายหน้าเว็บพร้อมกัน, !bangs สำหรับเข้าถึงเว็บไซต์โดยตรงแบบไม่ผ่าน search engine, และการติดตั้งเว็บแอปให้เป็นแอปเดสก์ท็อปโดยไม่ต้องใช้ Chrome สำหรับนักพัฒนา Helium ยังรักษามาตรฐานเว็บทั้งหมด และปรับปรุง DevTools ให้สะอาด ไม่มีการแจ้งเตือนที่รบกวน พร้อมรองรับส่วนขยายแบบ MV2 โดยไม่ส่งข้อมูลไปยัง Chrome Web Store ทำให้ Google ไม่สามารถติดตามการดาวน์โหลดส่วนขยายได้ ที่สำคัญคือ Helium เปิดซอร์สทั้งหมด — รวมถึงบริการออนไลน์ — และอนุญาตให้ผู้ใช้โฮสต์เองได้อย่างอิสระ พร้อมระบบอัปเดตที่ปลอดภัยผ่าน SignPath.io และการบังคับใช้ HTTPS ทุกเว็บไซต์โดยอัตโนมัติ ✅ ข้อมูลสำคัญจากข่าว ➡️ Helium Browser เปิดตัวเวอร์ชัน ALPHA สำหรับ Windows 10/11 ➡️ สร้างบน Chromium แต่ไม่มีโฆษณา ตัวติดตาม หรือการส่งข้อมูลโดยไม่ได้รับอนุญาต ➡️ ไม่เชื่อมต่ออินเทอร์เน็ตโดยอัตโนมัติเมื่อเปิดใช้งานครั้งแรก ➡️ ติดตั้ง uBlock Origin ล่วงหน้าเพื่อบล็อกโฆษณาและภัยคุกคามออนไลน์ ➡️ รองรับ split view, !bangs, และการติดตั้งเว็บแอปเป็นแอปเดสก์ท็อป ➡️ รองรับส่วนขยาย MV2 โดยไม่ส่งข้อมูลไปยัง Chrome Web Store ➡️ เปิดซอร์สทั้งหมด รวมถึงบริการออนไลน์ และสามารถโฮสต์เองได้ ➡️ ใช้ระบบอัปเดตผ่าน SignPath.io พร้อมการบังคับใช้ HTTPS ทุกเว็บไซต์ ➡️ ไม่มีระบบ sync หรือ password manager เพื่อรักษาความเป็นส่วนตัว ➡️ อินเทอร์เฟซเรียบง่าย ไม่รบกวนผู้ใช้ และไม่มีการแจ้งเตือนที่ไม่จำเป็น ✅ ข้อมูลเสริมจากภายนอก ➡️ !bangs เป็นฟีเจอร์ที่เริ่มต้นจาก DuckDuckGo แต่ Helium ทำให้ทำงานแบบออฟไลน์ได้ ➡️ การไม่ใช้ password manager ภายในเบราว์เซอร์ช่วยลดความเสี่ยงจากการถูกแฮกแบบ centralized ➡️ การเปิดซอร์สทั้งหมดช่วยให้ผู้ใช้สามารถตรวจสอบความปลอดภัยได้ด้วยตนเอง ➡️ Helium ใช้แนวคิด “respectful by design” คือไม่ทำอะไรโดยไม่ได้รับความยินยอมจากผู้ใช้ ➡️ เหมาะสำหรับผู้ใช้ที่ต้องการความเร็ว ความเรียบง่าย และความเป็นส่วนตัวสูงสุด https://helium.computer/

📰 Comet: เบราว์เซอร์ AI ตัวแรกที่มาพร้อมระบบความปลอดภัยจาก 1Password — เมื่อผู้ช่วยส่วนตัวออนไลน์ต้องปลอดภัยตั้งแต่ต้นทาง ในยุคที่เบราว์เซอร์ไม่ใช่แค่เครื่องมือค้นหา แต่กลายเป็นผู้ช่วยส่วนตัวที่ “คิด วิเคราะห์ และตัดสินใจ” ได้เอง Comet จาก Perplexity คือเบราว์เซอร์ AI ตัวใหม่ที่ออกแบบมาเพื่อเปลี่ยนประสบการณ์ออนไลน์ให้ฉลาดขึ้น โดยใช้ AI ในการเข้าใจเจตนาและนำเสนอข้อมูลแบบตรงจุด แต่ความสามารถนี้ก็มาพร้อมความเสี่ยงด้านความปลอดภัยที่สูงขึ้น เพื่อรับมือกับความท้าทายนี้ Perplexity ได้จับมือกับ 1Password ผู้นำด้านการจัดการรหัสผ่าน เพื่อฝังระบบความปลอดภัยระดับสูงเข้าไปใน Comet ตั้งแต่ต้น โดยผู้ใช้สามารถติดตั้งส่วนขยายของ 1Password เพื่อจัดการรหัสผ่าน, passkeys, และข้อมูลล็อกอินต่าง ๆ ได้อย่างปลอดภัยผ่านระบบ end-to-end encryption และ zero-knowledge architecture Comet ยังเน้นการเก็บข้อมูลแบบ local storage โดยไม่ส่งข้อมูลไปยังเซิร์ฟเวอร์ของ Perplexity ทำให้ผู้ใช้สามารถควบคุมสิ่งที่ AI เข้าถึงได้อย่างชัดเจน และลดความเสี่ยงจากการรั่วไหลของข้อมูลส่วนตัว ความร่วมมือครั้งนี้สะท้อนแนวคิดใหม่ของการพัฒนา AI — ไม่ใช่แค่ “ฉลาด” แต่ต้อง “ปลอดภัยโดยออกแบบ” เพื่อให้ผู้ใช้สามารถไว้วางใจและใช้งานได้อย่างมั่นใจในโลกออนไลน์ที่เต็มไปด้วยภัยคุกคาม ✅ Comet คือเบราว์เซอร์ AI ที่ออกแบบมาเพื่อเป็นผู้ช่วยส่วนตัวออนไลน์ ➡️ ใช้ AI วิเคราะห์เจตนาและนำเสนอข้อมูลแบบตรงจุด ➡️ เปลี่ยนเบราว์เซอร์จากเครื่องมือแบบ passive เป็นระบบที่ “คิดและตัดสินใจ” ได้ ✅ ความร่วมมือระหว่าง Perplexity และ 1Password ➡️ ฝังระบบ credential security เข้าไปใน Comet โดยตรง ➡️ ใช้ end-to-end encryption และ zero-knowledge architecture ✅ ส่วนขยาย 1Password สำหรับ Comet ➡️ รองรับการล็อกอิน, autofill, และจัดการรหัสผ่านแบบปลอดภัย ➡️ ซิงค์ข้อมูลข้ามอุปกรณ์และเบราว์เซอร์ได้ ➡️ สร้าง passkeys และรหัสผ่านที่แข็งแรงได้ทันที ✅ Comet เน้นความเป็นส่วนตัวของผู้ใช้ ➡️ เก็บข้อมูลการใช้งานไว้ในเครื่อง ไม่ส่งไปยังเซิร์ฟเวอร์ ➡️ ผู้ใช้สามารถควบคุมว่า AI เข้าถึงข้อมูลใด เมื่อใด และทำไม ✅ แนวคิด “ปลอดภัยโดยออกแบบ” สำหรับ AI ➡️ ไม่ให้ LLM เข้าถึงรหัสผ่านโดยตรง ➡️ ใช้ระบบ authorization ที่มีการกำหนดสิทธิ์แบบ deterministic ➡️ ทุกการเข้าถึงต้องมี audit trail เพื่อความโปร่งใส ‼️ คำเตือนเกี่ยวกับการใช้เบราว์เซอร์ AI ⛔ หากไม่มีระบบความปลอดภัยที่ดี AI อาจเข้าถึงข้อมูลสำคัญโดยไม่ได้ตั้งใจ ⛔ การใช้ LLM โดยไม่มีการควบคุมสิทธิ์ อาจทำให้เกิดการรั่วไหลของ credentials ⛔ ผู้ใช้ต้องเข้าใจว่า AI ไม่ควรได้รับ “raw secrets” ผ่าน prompt หรือ embedding ⛔ หากไม่มี audit trail องค์กรจะไม่สามารถตรวจสอบการเข้าถึงย้อนหลังได้ https://www.techradar.com/pro/security/1password-and-perplexity-partner-on-comet-ai-browser-a-full-time-personal-assistant-with-security-by-default

📰 Raven Stealer: มัลแวร์สายลับยุคใหม่ที่ขโมยข้อมูลจากเบราว์เซอร์แล้วส่งผ่าน Telegram — ภัยเงียบที่ซ่อนตัวในความเบา ภัยคุกคามไซเบอร์ล่าสุดที่ถูกเปิดโปงโดยทีม Lat61 Threat Intelligence จาก Point Wild คือมัลแวร์ชื่อ “Raven Stealer” ซึ่งแม้จะดูเล็กและเรียบง่าย แต่กลับมีความสามารถในการขโมยข้อมูลส่วนตัวจากเบราว์เซอร์ยอดนิยมอย่าง Chrome และ Edge ได้อย่างมีประสิทธิภาพ โดยใช้เทคนิคล้ำสมัย เช่น process hollowing และการส่งข้อมูลผ่าน Telegram bot แบบเรียลไทม์ Raven Stealer ถูกเขียนด้วยภาษา Delphi และ C++ และถูกแจกจ่ายผ่านฟอรั่มใต้ดินหรือมากับซอฟต์แวร์เถื่อน โดยเมื่อถูกติดตั้ง มัลแวร์จะทำงานแบบไร้ร่องรอยในหน่วยความจำ ไม่ทิ้งไฟล์ไว้บนฮาร์ดดิสก์ ทำให้แอนตี้ไวรัสทั่วไปตรวจจับได้ยากมาก สิ่งที่ Raven ขโมยมีตั้งแต่รหัสผ่าน คุกกี้ ข้อมูลบัตรเครดิต ไปจนถึง session cookies ที่สามารถใช้ข้ามระบบ MFA ได้ นอกจากนี้ยังสามารถขโมยข้อมูลจากแอปอื่น ๆ และกระเป๋าเงินคริปโตได้ด้วย โดยข้อมูลทั้งหมดจะถูกจัดเก็บใน ZIP แล้วส่งผ่าน Telegram API ไปยังผู้โจมตี ซึ่งมักใช้ Telegram เป็นช่องทางควบคุมและรับข้อมูลแบบ C2 (Command and Control) แม้การทดสอบบางครั้งจะล้มเหลวในการส่งข้อมูลเพราะ token ผิดพลาด แต่โครงสร้างของมัลแวร์นี้แสดงให้เห็นถึงแนวโน้มใหม่ของ “commodity malware” ที่แม้ผู้โจมตีจะไม่มีทักษะสูง ก็สามารถใช้เครื่องมือเหล่านี้ได้อย่างง่ายดาย ✅ Raven Stealer เป็นมัลแวร์ขโมยข้อมูลที่ถูกพัฒนาอย่างลับ ➡️ เขียนด้วย Delphi และ C++ ➡️ ถูกแจกจ่ายผ่านฟอรั่มใต้ดินและซอฟต์แวร์เถื่อน ✅ ใช้เทคนิค process hollowing เพื่อหลบเลี่ยงการตรวจจับ ➡️ ทำงานในหน่วยความจำโดยไม่ทิ้งไฟล์บนดิสก์ ➡️ ปลอมตัวเป็นโปรเซสของเบราว์เซอร์ เช่น chrome.exe ✅ ขโมยข้อมูลจากเบราว์เซอร์และแอปอื่น ๆ ➡️ รหัสผ่าน คุกกี้ ข้อมูลบัตรเครดิต และ session cookies ➡️ ข้อมูลจากกระเป๋าเงินคริปโตและแอปอื่น ๆ ก็ถูกเก็บ ✅ ส่งข้อมูลผ่าน Telegram bot แบบเรียลไทม์ ➡️ ใช้ API /sendDocument เพื่อส่ง ZIP file ➡️ Telegram ถูกใช้เป็นช่องทางควบคุมและรับข้อมูล ✅ มีโครงสร้างที่เอื้อต่อผู้โจมตีที่ไม่มีทักษะสูง ➡️ ใช้ builder สร้าง payload ได้ง่าย ➡️ มี UI ที่เรียบง่ายและรองรับโมดูลแบบ dynamic ‼️ คำเตือนเกี่ยวกับความเสี่ยงจาก Raven Stealer ⛔ การทำงานแบบ in-memory ทำให้แอนตี้ไวรัสทั่วไปตรวจจับได้ยาก ⛔ session cookies ที่ถูกขโมยสามารถใช้ข้าม MFA ได้ ⛔ การใช้ Telegram เป็นช่องทางส่งข้อมูลอาจหลบเลี่ยง firewall ขององค์กร ⛔ ผู้ใช้ที่ดาวน์โหลดซอฟต์แวร์เถื่อนมีความเสี่ยงสูงต่อการติดมัลแวร์นี้ https://hackread.com/raven-stealer-malware-browsers-passwords-payment-data/

📰 อังกฤษแชมป์ด้านจับผิดเว็บหลอกลวง — แต่ยังมีช่องโหว่เรื่องความเป็นส่วนตัวในยุค AI จากผลการทดสอบ National Privacy Test โดย NordVPN ซึ่งสำรวจผู้ใช้งานกว่า 30,000 คนจาก 185 ประเทศ พบว่า “ชาวอังกฤษ” เป็นกลุ่มที่มีความสามารถโดดเด่นที่สุดในบรรดาประเทศที่ใช้ภาษาอังกฤษ ในการตรวจจับเว็บไซต์ฟิชชิ่งหรือเว็บหลอกลวง โดยอังกฤษติดอันดับที่ 5 ของโลกในด้านความรู้ไซเบอร์และความเป็นส่วนตัวออนไลน์ ในทางกลับกัน “ชาวอเมริกัน” กลับมีคะแนนต่ำในด้านนี้ โดยมีเพียง 31% เท่านั้นที่สามารถแยกแยะเว็บไซต์ฟิชชิ่งได้อย่างถูกต้อง ซึ่งถือเป็นช่องโหว่สำคัญในยุคที่การหลอกลวงออนไลน์มีความซับซ้อนมากขึ้นทุกวัน แม้ชาวอังกฤษจะเก่งเรื่องการตั้งรหัสผ่านและรู้จักวิธีหลีกเลี่ยงมัลแวร์ แต่กลับมีความรู้ต่ำมากในเรื่อง “ความเป็นส่วนตัวเมื่อใช้ AI ในที่ทำงาน” โดยมีเพียง 5% เท่านั้นที่ตอบคำถามด้านนี้ได้ถูกต้อง ซึ่งใกล้เคียงกับค่าเฉลี่ยทั่วโลกที่อยู่ที่ 6% นอกจากนี้ยังพบว่า คนอังกฤษจำนวนมากยังไม่รู้วิธีเก็บรักษารหัสผ่านอย่างปลอดภัย และไม่คุ้นเคยกับเครื่องมือออนไลน์ที่ช่วยปกป้องข้อมูลส่วนตัว เช่น VPN หรือ password manager ซึ่งเป็นสิ่งที่สามารถช่วยลดความเสี่ยงจากการถูกโจมตีทางไซเบอร์ได้อย่างมาก ✅ อังกฤษเป็นประเทศที่เก่งที่สุดในกลุ่มภาษาอังกฤษในการจับเว็บฟิชชิ่ง ➡️ ติดอันดับ 5 ของโลกในด้านความรู้ไซเบอร์จากการทดสอบของ NordVPN ➡️ มีความเข้าใจเรื่องมัลแวร์และการตั้งรหัสผ่านที่แข็งแรง (96%) ✅ สหรัฐฯ มีช่องโหว่ด้านการตรวจจับเว็บหลอกลวง ➡️ มีเพียง 31% ของผู้ตอบแบบสอบถามที่สามารถแยกแยะเว็บฟิชชิ่งได้ ➡️ คะแนนรวมของสหรัฐฯ อยู่ที่อันดับ 4 ร่วมกับเยอรมนี ✅ ความรู้เรื่องความเป็นส่วนตัวเมื่อใช้ AI ยังต่ำทั่วโลก ➡️ อังกฤษและสหรัฐฯ มีเพียง 5% ที่ตอบคำถามด้านนี้ได้ถูกต้อง ➡️ ค่าเฉลี่ยทั่วโลกอยู่ที่ 6% เท่านั้น ✅ ช่องโหว่ด้านการจัดการรหัสผ่านยังมีอยู่มาก ➡️ มีเพียง 21% ของชาวอังกฤษที่รู้วิธีเก็บรหัสผ่านอย่างปลอดภัย ➡️ เครื่องมืออย่าง password manager ยังไม่เป็นที่รู้จักแพร่หลาย ✅ เครื่องมือช่วยป้องกันฟิชชิ่งมีบทบาทสำคัญ ➡️ NordVPN Threat Protection Pro สามารถบล็อกเว็บอันตรายและสแกนมัลแวร์ ➡️ ทำงานได้แม้ไม่มีการเชื่อมต่อ VPN โดยตรง https://www.techradar.com/vpn/vpn-privacy-security/brits-are-better-than-americans-at-spotting-phishing-scams-nordvpn-study-shows

🔐 “Pass: ผู้จัดการรหัสผ่านสาย Unix ที่เรียบง่ายแต่ทรงพลัง — เมื่อความปลอดภัยอยู่ในมือคุณผ่าน GPG และ Git” ในยุคที่ผู้คนต้องจัดการรหัสผ่านมากมายจากบริการออนไลน์ต่าง ๆ “Pass” ได้กลายเป็นเครื่องมือที่ได้รับความนิยมในหมู่ผู้ใช้ Unix และ Linux เพราะมันยึดหลักปรัชญา Unix อย่างแท้จริง — เรียบง่าย ใช้ได้จริง และไม่พึ่งพาโครงสร้างซับซ้อน Pass คือ shell script ขนาดเล็กที่จัดเก็บรหัสผ่านไว้ในไฟล์ที่ถูกเข้ารหัสด้วย GPG โดยแต่ละไฟล์จะตั้งชื่อตามเว็บไซต์หรือบริการที่ใช้รหัสนั้น เช่น Email/zx2c4.com หรือ Business/cheese-whiz-factory ซึ่งสามารถจัดหมวดหมู่เป็นโฟลเดอร์ได้ตามใจผู้ใช้ ผู้ใช้สามารถเพิ่ม แก้ไข ลบ หรือสร้างรหัสผ่านใหม่ได้ด้วยคำสั่งเดียว เช่น pass insert, pass edit, pass generate และยังสามารถคัดลอกรหัสผ่านไปยัง clipboard ได้ชั่วคราวด้วย pass -c ซึ่งจะล้างข้อมูลออกจาก clipboard ภายใน 45 วินาทีเพื่อความปลอดภัย Pass ยังรองรับการติดตามการเปลี่ยนแปลงผ่าน Git โดยทุกการแก้ไขจะถูกบันทึกเป็น commit ทำให้สามารถย้อนดูประวัติได้ และยังสามารถ sync ข้ามเครื่องด้วย pass git push และ pass git pull ที่น่าสนใจคือ Pass ไม่ได้จำกัดแค่รหัสผ่านเท่านั้น — ผู้ใช้สามารถจัดเก็บข้อมูลอื่น ๆ เช่น URL, คำถามลับ, PIN หรือ metadata ได้ในรูปแบบ multiline หรือแยกไฟล์ตามโฟลเดอร์ ซึ่งเปิดโอกาสให้ผู้ใช้จัดระเบียบข้อมูลได้ตามสไตล์ของตัวเอง นอกจากนี้ยังมี community ที่แข็งแกร่ง ซึ่งสร้าง extension และ GUI มากมาย เช่น pass-otp สำหรับรหัส OTP, qtpass สำหรับผู้ใช้ GUI, และ passff สำหรับใช้งานร่วมกับ Firefox รวมถึงเครื่องมือ import จาก password manager อื่น ๆ เช่น LastPass, KeePass และ 1Password ✅ จุดเด่นของ Pass ➡️ ใช้ GPG เข้ารหัสรหัสผ่านแต่ละรายการในไฟล์แยก ➡️ จัดเก็บใน ~/.password-store และสามารถจัดหมวดหมู่เป็นโฟลเดอร์ ➡️ ใช้คำสั่งง่าย ๆ เช่น insert, edit, generate, rm และ -c เพื่อจัดการรหัสผ่าน ➡️ รองรับการติดตามผ่าน Git และ sync ข้ามเครื่องได้ ✅ ความสามารถเพิ่มเติม ➡️ รองรับ multiline สำหรับจัดเก็บข้อมูลมากกว่ารหัสผ่าน เช่น URL, PIN, คำถามลับ ➡️ สามารถใช้ GPG key หลายตัวในระบบเดียวกัน — เหมาะกับการใช้งานเป็นทีม ➡️ มี bash/zsh/fish completion เพื่อความสะดวกในการใช้งาน ➡️ รองรับ extension เช่น pass-otp, pass-update, pass-import และ GUI เช่น qtpass, passmenu ✅ ข้อมูลเสริมจากภายนอก ➡️ Pass ถูกพัฒนาโดย Jason Donenfeld และเปิดให้ใช้งานภายใต้ GPLv2+ ➡️ มี community ที่แข็งแกร่งและมีการพัฒนาอย่างต่อเนื่อง ➡️ รองรับการติดตั้งผ่านแพ็กเกจของ Linux หลาย distro และ Homebrew บน macOS ➡️ มีเครื่องมือ import จาก password manager อื่น ๆ เช่น LastPass, KeePass, 1Password https://www.passwordstore.org/

🧨 “ChillyHell กลับมาหลอน macOS อีกครั้ง — มัลแวร์ผ่านการรับรองจาก Apple แอบใช้ Google.com บังหน้า” มัลแวร์ macOS ที่เคยเงียบหายไปอย่าง ChillyHell กลับมาอีกครั้งในปี 2025 พร้อมความสามารถที่ซับซ้อนและแนบเนียนกว่าเดิม โดยนักวิจัยจาก Jamf Threat Labs พบตัวอย่างใหม่ที่ถูกอัปโหลดขึ้น VirusTotal เมื่อเดือนพฤษภาคม ซึ่งน่าตกใจคือมันมีคะแนนตรวจจับเป็น “ศูนย์” และยังผ่านกระบวนการ notarization ของ Apple อย่างถูกต้อง ทำให้สามารถรันบน macOS ได้โดยไม่ถูกเตือนจาก Gatekeeper ChillyHell เป็นมัลแวร์แบบ backdoor ที่มีโครงสร้างแบบ modular เขียนด้วย C++ สำหรับเครื่อง Intel-based Mac โดยสามารถติดตั้งตัวเองแบบถาวรผ่าน 3 วิธี ได้แก่ LaunchAgent, LaunchDaemon และ shell profile injection เช่น .zshrc หรือ .bash_profile เพื่อให้เริ่มทำงานทุกครั้งที่เปิดเครื่องหรือเปิดเทอร์มินัลใหม่ เมื่อทำงานแล้ว มัลแวร์จะเชื่อมต่อกับเซิร์ฟเวอร์ควบคุมผ่าน DNS หรือ HTTP โดยใช้ IP ที่ถูก hardcoded ไว้ และสามารถรับคำสั่งจากผู้โจมตี เช่น เปิด reverse shell, ดาวน์โหลด payload ใหม่, อัปเดตตัวเอง หรือแม้แต่ใช้ brute-force เพื่อเจาะรหัสผ่านของผู้ใช้ โดยมีโมดูลเฉพาะสำหรับการโจมตี Kerberos authentication เพื่อหลบเลี่ยงการตรวจจับ ChillyHell ใช้เทคนิค timestomping เพื่อเปลี่ยนวันที่ของไฟล์ให้ดูเก่า และเปิดหน้า Google.com ในเบราว์เซอร์เพื่อเบี่ยงเบนความสนใจของผู้ใช้ ทำให้ดูเหมือนว่าไม่มีอะไรผิดปกติเกิดขึ้น แม้ Apple จะรีบเพิกถอนใบรับรองนักพัฒนาที่เกี่ยวข้องทันทีหลังได้รับรายงานจาก Jamf แต่เหตุการณ์นี้สะท้อนถึงช่องโหว่สำคัญในระบบความปลอดภัยของ macOS ที่ไม่สามารถป้องกันมัลแวร์ที่ได้รับการรับรองอย่างเป็นทางการได้ ✅ รายละเอียดของมัลแวร์ ChillyHell ➡️ เป็น backdoor แบบ modular เขียนด้วย C++ สำหรับ Intel-based Macs ➡️ ผ่านการ notarization ของ Apple ตั้งแต่ปี 2021 โดยไม่มีการตรวจพบ ➡️ ถูกอัปโหลดขึ้น VirusTotal ในปี 2025 โดยมีคะแนนตรวจจับเป็นศูนย์ ➡️ ถูกพบว่าเคยถูกโฮสต์บน Dropbox แบบสาธารณะตั้งแต่ปี 2021 ✅ วิธีการติดตั้งและการทำงาน ➡️ ติดตั้งตัวเองแบบถาวรผ่าน LaunchAgent, LaunchDaemon และ shell profile injection ➡️ เชื่อมต่อกับเซิร์ฟเวอร์ควบคุมผ่าน DNS และ HTTP ด้วย IP ที่ถูก hardcoded ➡️ ใช้โมดูลต่าง ๆ เช่น reverse shell, payload loader, updater และ brute-force password cracker ➡️ ใช้เทคนิค timestomping เพื่อเปลี่ยนวันที่ไฟล์ให้ดูเก่าและหลบเลี่ยงการตรวจสอบ ✅ กลยุทธ์ในการหลบซ่อน ➡️ เปิดหน้า Google.com ในเบราว์เซอร์เพื่อเบี่ยงเบนความสนใจของผู้ใช้ ➡️ ปรับพฤติกรรมการสื่อสารกับเซิร์ฟเวอร์เพื่อหลบเลี่ยงการตรวจจับ ➡️ ใช้ shell command เช่น touch -c -a -t เพื่อเปลี่ยน timestamp หากไม่มีสิทธิ์ระบบ ➡️ ทำงานแบบเงียบ ๆ โดยไม่มีการแจ้งเตือนหรือพฤติกรรมผิดปกติที่ชัดเจน ✅ ข้อมูลเสริมจากภายนอก ➡️ ChillyHell เคยถูกเชื่อมโยงกับกลุ่ม UNC4487 ที่โจมตีเว็บไซต์ในยูเครน ➡️ มัลแวร์นี้มีความสามารถคล้าย RAT (Remote Access Trojan) แต่ซับซ้อนกว่า ➡️ Modular backdoor ที่มี brute-force capability ถือว่าแปลกใหม่ใน macOS ➡️ Jamf และ Apple ร่วมมือกันเพิกถอนใบรับรองนักพัฒนาที่เกี่ยวข้องทันที https://hackread.com/chillyhell-macos-malware-resurfaces-google-com-decoy/

🔐 “Signal เปิดตัวฟีเจอร์ Secure Backups สำรองข้อมูลแบบเข้ารหัส ปลอดภัยขั้นสุด!” ลองจินตนาการว่า...คุณใช้ Signal เป็นช่องทางหลักในการสื่อสารกับคนสำคัญ ไม่ว่าจะเป็นข้อความหวานๆ รูปครอบครัว หรือเอกสารลับทางธุรกิจ แล้ววันหนึ่งโทรศัพท์คุณพังหรือหาย—ทุกอย่างหายไปหมด ไม่มีทางกู้คืนได้เลย นั่นคือปัญหาที่ Signal เพิ่งแก้ไขด้วยฟีเจอร์ใหม่ “Secure Backups” ซึ่งเปิดให้ใช้ในเวอร์ชันเบต้าบน Android แล้ว และจะตามมาใน iOS และ Desktop เร็วๆ นี้ ฟีเจอร์นี้ให้ผู้ใช้ “เลือกเปิดใช้งานเอง” (opt-in) เพื่อสำรองข้อมูลการสนทนาแบบเข้ารหัสปลายทาง (end-to-end encrypted) โดยไม่มีใคร—including Signal เอง—สามารถเข้าถึงได้ ยกเว้นคุณคนเดียวผ่าน “รหัสกู้คืน” ที่ยาวถึง 64 ตัวอักษร ซึ่งถ้าคุณทำหาย ก็ไม่มีใครช่วยคุณได้เลย ที่น่าสนใจคือ Signal ยังเปิดตัวระบบสมัครสมาชิกแบบเสียเงินครั้งแรกในประวัติศาสตร์ของแอป เพื่อให้คุณสามารถสำรองไฟล์มีเดียย้อนหลังเกิน 45 วันได้ โดยคิดค่าบริการเพียง $1.99 ต่อเดือน ซึ่งถือว่าถูกมากเมื่อเทียบกับบริการอื่นที่มักแลกมาด้วยการขายข้อมูลผู้ใช้ และทั้งหมดนี้ยังคงยึดมั่นในหลักการ “ไม่เก็บข้อมูลผู้ใช้” และ “ไม่ผูกบัญชีสำรองกับตัวตนของผู้ใช้” ซึ่งเป็นหัวใจของ Signal มาตลอด ✅ ฟีเจอร์ใหม่: Secure Backups ➡️ เปิดให้ใช้ในเวอร์ชันเบต้าบน Android แล้ว ➡️ จะขยายไปยัง iOS และ Desktop ในอนาคต ➡️ เป็นฟีเจอร์แบบ opt-in ผู้ใช้ต้องเปิดใช้งานเอง ➡️ สำรองข้อมูลแบบเข้ารหัสปลายทาง (end-to-end encryption) ➡️ สำรองข้อความทั้งหมดและไฟล์มีเดียย้อนหลัง 45 วันได้ฟรี ➡️ มีระบบสมัครสมาชิก $1.99/เดือน สำหรับการสำรองไฟล์มีเดียย้อนหลังเกิน 45 วัน ➡️ ใช้เทคโนโลยี zero-knowledge ไม่ผูกกับบัญชีผู้ใช้หรือข้อมูลการชำระเงิน ➡️ สำรองข้อมูลใหม่ทุกวันโดยอัตโนมัติ ➡️ ข้อมูลที่ถูกตั้งให้ลบภายใน 24 ชั่วโมงจะไม่ถูกสำรองไว้ ✅ ความปลอดภัยของระบบ ➡️ ใช้รหัสกู้คืน 64 ตัวอักษรที่สร้างบนอุปกรณ์ของผู้ใช้ ➡️ Signal ไม่สามารถเข้าถึงหรือกู้คืนรหัสนี้ได้ ➡️ แนะนำให้เก็บรหัสไว้ในที่ปลอดภัย เช่น สมุดโน้ตหรือ password manager ➡️ ไม่มีการเชื่อมโยงข้อมูลสำรองกับบัญชีผู้ใช้โดยตรง ‼️ คำเตือนสำคัญ ⛔ หากทำรหัสกู้คืนหาย จะไม่สามารถกู้คืนข้อมูลได้อีกเลย ⛔ ข้อมูลที่ถูกลบหรือตั้งให้หายไปภายใน 24 ชั่วโมงจะไม่อยู่ในสำรอง ⛔ ผู้ใช้ต้องเปิดใช้งานฟีเจอร์เอง มิฉะนั้นจะไม่มีการสำรองข้อมูลใดๆ ⛔ การสำรองข้อมูลมีข้อจำกัดในเวอร์ชันฟรี (45 วันของไฟล์มีเดีย) https://signal.org/blog/introducing-secure-backups/

🎙️ เมื่อรหัสผ่านองค์กรกลายเป็นจุดอ่อน – และแฮกเกอร์ไม่ต้องพยายามมากอีกต่อไป ในปี 2025 รายงาน Blue Report ของ Picus Security เผยข้อมูลที่น่าตกใจว่า ใน 46% ขององค์กรที่ทำการทดสอบ มีรหัสผ่านอย่างน้อยหนึ่งชุดถูกเจาะสำเร็จ เพิ่มขึ้นจาก 25% ในปี 2024 ซึ่งสะท้อนถึงปัญหาที่เรื้อรังมานาน: การใช้รหัสผ่านที่อ่อนแอและนโยบายที่ล้าสมัย แม้จะมีการรณรงค์เรื่องความปลอดภัยมาหลายปี แต่หลายองค์กรยังคงใช้รหัสผ่านที่เดาง่าย ซ้ำซาก หรือไม่บังคับให้เปลี่ยนรหัสอย่างสม่ำเสมอ บางแห่งยังใช้วิธีเก็บ hash แบบ MD5 หรือ SHA-1 ซึ่งถูกแฮกได้ง่ายด้วยเทคนิค brute-force หรือ rainbow table ที่น่ากังวลกว่านั้นคือ การโจมตีด้วยรหัสผ่านที่ถูกขโมย (เช่นจาก phishing หรือ malware) มีอัตราความสำเร็จสูงถึง 98% และการป้องกันการขโมยข้อมูล (data exfiltration) สำเร็จเพียง 3% เท่านั้น ซึ่งลดลงจาก 9% ในปีที่แล้ว ผู้เชี่ยวชาญเตือนว่าองค์กรต้องเปลี่ยนจากแนวคิด “ตั้งค่าแล้วปล่อยไว้” ไปสู่การตรวจสอบระบบอย่างต่อเนื่อง และใช้มาตรการเชิงรุก เช่น MFA, การวิเคราะห์พฤติกรรมผู้ใช้, และการจัดการสิทธิ์แบบละเอียด 📌 สรุปเนื้อหาเป็นหัวข้อ ➡️ 46% ขององค์กรที่ทดสอบมีรหัสผ่านถูกเจาะสำเร็จอย่างน้อยหนึ่งชุด ➡️ เพิ่มขึ้นจาก 25% ในปี 2024 สะท้อนถึงการใช้รหัสผ่านที่อ่อนแอและนโยบายล้าสมัย ➡️ การโจมตีด้วยรหัสผ่านที่ถูกขโมยมีอัตราความสำเร็จสูงถึง 98% ➡️ การป้องกันการขโมยข้อมูลสำเร็จเพียง 3% ลดลงจาก 9% ในปีที่แล้ว ➡️ แฮกเกอร์ใช้เทคนิค brute-force, rainbow table, password spraying และ infostealer malware ➡️ การเก็บ hash แบบ MD5 หรือ SHA-1 ไม่ปลอดภัยอีกต่อไป ➡️ ควรใช้ bcrypt, Argon2 หรือ scrypt ร่วมกับ salt และ pepper เพื่อเพิ่มความปลอดภัย ➡️ ช่องโหว่เกิดจากการตั้งค่าระบบที่ไม่ต่อเนื่อง เช่น logging gaps และ detection rule ที่ไม่แม่นยำ ➡️ การตรวจจับพฤติกรรมผิดปกติ เช่น การเคลื่อนไหวภายในระบบ (lateral movement) ยังมีประสิทธิภาพต่ำ ➡️ การใช้ MFA และการจัดการสิทธิ์แบบละเอียดเป็นมาตรการพื้นฐานที่ควรมี ✅ ข้อมูลเสริมจากภายนอก ➡️ Infostealer malware เพิ่มขึ้น 3 เท่าในปี 2025 และเป็นภัยหลักในการขโมย credentials ➡️ การโจมตีแบบ Valid Accounts (MITRE ATT&CK T1078) เป็นวิธีที่แฮกเกอร์นิยมใช้ ➡️ Ransomware เช่น BlackByte, BabLock และ Maori ยังเป็นภัยที่ป้องกันได้ยาก ➡️ การตรวจจับการค้นหาข้อมูลระบบ (System Discovery) มีประสิทธิภาพต่ำกว่า 12% ➡️ การเปลี่ยนแนวคิดเป็น “assume breach” ช่วยให้ตอบสนองต่อภัยคุกคามได้เร็วขึ้น https://www.csoonline.com/article/4042464/enterprise-passwords-becoming-even-easier-to-steal-and-abuse.html

🎙️ GodRAT – มัลแวร์ที่แฝงตัวในภาพ ส่งผ่าน Skype เพื่อเจาะระบบธุรกิจ ในช่วงปลายปี 2024 ถึงต้นปี 2025 นักวิจัยจาก Kaspersky ได้ค้นพบมัลแวร์ตัวใหม่ชื่อว่า “GodRAT” ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์ผ่านแอป Skype เพื่อเจาะระบบของธุรกิจขนาดเล็กและกลาง (SMBs) ในตะวันออกกลางและเอเชีย GodRAT ถูกซ่อนไว้ในไฟล์ภาพที่ดูเหมือนเอกสารการเงิน โดยใช้เทคนิค “steganography” เพื่อฝัง shellcode ที่เมื่อเปิดใช้งาน จะดาวน์โหลดมัลแวร์จากเซิร์ฟเวอร์ของผู้โจมตี เมื่อมัลแวร์เข้าสู่ระบบ มันจะเก็บข้อมูลสำคัญ เช่น ระบบปฏิบัติการ ชื่อโฮสต์ รายชื่อโปรแกรมป้องกันไวรัส และบัญชีผู้ใช้ จากนั้นสามารถติดตั้งปลั๊กอินเพิ่มเติม เช่น ตัวขโมยรหัสผ่าน หรือโปรแกรมสำรวจไฟล์ และในบางกรณี ยังมีการติดตั้ง AsyncRAT เพื่อเข้าถึงระบบอย่างถาวร นักวิจัยเชื่อว่า GodRAT เป็นวิวัฒนาการของมัลแวร์ AwesomePuppet ที่เชื่อมโยงกับกลุ่มแฮกเกอร์ Winnti (APT41) โดยมีโค้ดคล้ายกับ Gh0st RAT ซึ่งเป็นมัลแวร์เก่าที่ถูกใช้มานานกว่า 15 ปี แม้ว่า Skype จะไม่ใช่ช่องทางหลักในการทำงานอีกต่อไป แต่การใช้แอปที่ไม่ปลอดภัยยังคงเป็นช่องโหว่สำคัญที่องค์กรต้องระวัง 📌 สรุปเนื้อหาเป็นหัวข้อ ➡️ Kaspersky พบมัลแวร์ใหม่ชื่อ GodRAT ถูกส่งผ่าน Skype ในรูปแบบไฟล์ screensaver ➡️ ใช้เทคนิค steganography ซ่อน shellcode ในภาพที่ดูเหมือนเอกสารการเงิน ➡️ เมื่อเปิดไฟล์ มัลแวร์จะดาวน์โหลดจากเซิร์ฟเวอร์ของผู้โจมตี ➡️ GodRAT เก็บข้อมูลระบบ เช่น OS, hostname, antivirus, และบัญชีผู้ใช้ ➡️ สามารถติดตั้งปลั๊กอินเพิ่มเติม เช่น FileManager และ password stealer ➡️ บางกรณีมีการติดตั้ง AsyncRAT เพื่อเข้าถึงระบบอย่างต่อเนื่อง ➡️ เหยื่อส่วนใหญ่คือ SMBs ใน UAE, ฮ่องกง, จอร์แดน และเลบานอน ➡️ GodRAT เป็นวิวัฒนาการจาก AwesomePuppet และมีโค้ดคล้าย Gh0st RAT ➡️ การโจมตีสิ้นสุดการใช้ Skype ในเดือนมีนาคม 2025 และเปลี่ยนไปใช้ช่องทางอื่น ➡️ Source code ของ GodRAT ถูกพบใน VirusTotal ตั้งแต่กรกฎาคม 2024 ✅ ข้อมูลเสริมจากภายนอก ➡️ Gh0st RAT เป็นมัลแวร์ที่มีต้นกำเนิดจากจีน และถูกใช้โดยกลุ่ม APT มานาน ➡️ Steganography เป็นเทคนิคที่นิยมใช้ในการซ่อนมัลแวร์ในไฟล์ภาพหรือเสียง ➡️ AsyncRAT เป็นเครื่องมือควบคุมระยะไกลที่สามารถขโมยข้อมูลและควบคุมระบบ ➡️ การใช้ Skype ในองค์กรลดลง แต่ยังมีบางธุรกิจที่ใช้เป็นช่องทางสื่อสาร ➡️ การโจมตีลักษณะนี้มักเน้นเป้าหมายที่ไม่มีระบบป้องกันระดับสูง https://www.techradar.com/pro/security/still-use-skype-at-work-bad-news-hackers-are-targeting-it-with-dangerous-malware

🍟 จากฟรีนักเก็ตสู่ช่องโหว่ระดับองค์กร – เมื่อ McDonald’s ลืมล็อกประตูดิจิทัล เรื่องเริ่มต้นจากนักวิจัยด้านความปลอดภัยนามว่า “BobDaHacker” ที่แค่อยากได้ McNuggets ฟรีจากแอปของ McDonald’s แต่กลับพบว่าการตรวจสอบคะแนนสะสมทำแค่ฝั่งผู้ใช้ (client-side) ทำให้สามารถปลดล็อกของรางวัลได้แม้ไม่มีคะแนน เมื่อเขาขุดลึกลงไป ก็พบช่องโหว่ใน “Feel-Good Design Hub” ซึ่งเป็นแพลตฟอร์มภายในของ McDonald’s ที่ใช้สำหรับจัดการแบรนด์และสื่อการตลาดในกว่า 120 ประเทศ โดยระบบเดิมใช้รหัสผ่านฝั่งผู้ใช้ในการป้องกันข้อมูลลับ! แม้ McDonald’s จะใช้เวลาถึง 3 เดือนในการแก้ไขระบบให้มีการล็อกอินแบบแยกสำหรับพนักงานและพันธมิตร แต่ Bob พบว่าเพียงแค่เปลี่ยนคำว่า “login” เป็น “register” ใน URL ก็สามารถสร้างบัญชีใหม่และเข้าถึงข้อมูลลับได้ทันที ที่น่าตกใจยิ่งกว่าคือระบบส่งรหัสผ่านแบบ plain-text ทางอีเมล และไม่มีช่องทางรายงานช่องโหว่อย่างเป็นทางการ ทำให้ Bob ต้องโทรไปยังสำนักงานใหญ่และสุ่มชื่อพนักงานจาก LinkedIn เพื่อให้มีคนรับเรื่อง นอกจากนี้ยังพบ API Key ที่รั่ว, ระบบค้นหาที่เปิดเผยข้อมูลพนักงานทั่วโลก, ช่องโหว่ในระบบ GRS ที่เปิดให้ใครก็ได้ inject HTML และแม้แต่แอปทดลองของร้าน CosMc’s ที่สามารถใช้คูปองไม่จำกัดและแก้ไขคำสั่งซื้อได้ตามใจ ✅ ข้อมูลในข่าว ➡️ BobDaHacker พบช่องโหว่จากการตรวจสอบคะแนนสะสมในแอป McDonald’s ที่ทำแค่ฝั่ง client ➡️ ระบบ Feel-Good Design Hub ใช้รหัสผ่านฝั่ง client ในการป้องกันข้อมูลภายใน ➡️ เปลี่ยน “login” เป็น “register” ใน URL สามารถสร้างบัญชีและเข้าถึงข้อมูลลับได้ ➡️ ระบบส่งรหัสผ่านแบบ plain-text ทางอีเมล ซึ่งเป็นแนวปฏิบัติที่ไม่ปลอดภัย ➡️ ไม่มีช่องทางรายงานช่องโหว่อย่างเป็นทางการ ต้องโทรสุ่มชื่อพนักงานจาก LinkedIn ➡️ พบ API Key และ Algolia Index ที่รั่ว ทำให้สามารถส่ง phishing และดูข้อมูลพนักงาน ➡️ ระบบ TRT เปิดให้พนักงานทั่วไปค้นหาอีเมลของผู้บริหารและใช้ฟีเจอร์ “impersonation” ➡️ GRS Panel ไม่มีการยืนยันตัวตน ทำให้สามารถ inject HTML ได้ ➡️ แอป CosMc’s มีช่องโหว่ให้ใช้คูปองไม่จำกัดและแก้ไขคำสั่งซื้อได้ ✅ ข้อมูลเสริมจากภายนอก ➡️ การตรวจสอบฝั่ง client เป็นช่องโหว่พื้นฐานที่ควรหลีกเลี่ยงในระบบที่เกี่ยวข้องกับสิทธิ์หรือรางวัล ➡️ การส่งรหัสผ่านแบบ plain-text ขัดกับมาตรฐานความปลอดภัยสมัยใหม่ เช่น OWASP ➡️ security.txt เป็นมาตรฐานที่ใช้ระบุช่องทางรายงานช่องโหว่ แต่ McDonald’s ลบไฟล์นี้ออก ➡️ การไม่มีช่องทางรายงานที่ชัดเจนทำให้นักวิจัยอาจละทิ้งการแจ้งเตือน ➡️ การใช้ API Key แบบ hardcoded ใน JavaScript เป็นช่องโหว่ที่พบได้บ่อยในเว็บแอป ➡️ การเปิดเผยข้อมูลพนักงานระดับผู้บริหารอาจนำไปสู่ targeted phishing หรือ social engineering https://www.tomshardware.com/tech-industry/cyber-security/prompted-by-free-nuggets-security-researcher-uncovers-staggering-mcdonalds-internal-platform-vulnerability-changing-login-to-register-in-url-prompted-site-to-issue-plain-text-password-for-a-new-account

🧠🔐 เรื่องเล่าจากเครือข่ายส่วนตัว: Tailscale กับการเชื่อมต่อที่ง่าย ปลอดภัย และทรงพลัง ลองนึกภาพว่าคุณสามารถเชื่อมต่ออุปกรณ์ทุกชิ้นของคุณ—จากมือถือ คอมพิวเตอร์ ไปจนถึง Raspberry Pi—เข้าด้วยกันได้อย่างง่ายดาย โดยไม่ต้องตั้งค่าเครือข่ายให้ยุ่งยาก นั่นคือสิ่งที่ Tailscale ทำได้ Chris Smith ใช้ Tailscale มานานกว่า 4 ปี และเล่าประสบการณ์ว่า มันไม่ใช่แค่ VPN ธรรมดา แต่เป็นระบบที่ใช้ WireGuard เป็นแกนหลัก พร้อมฟีเจอร์เสริมที่ทำให้ชีวิตง่ายขึ้น เช่น: - เชื่อมต่ออุปกรณ์ผ่าน IP ส่วนตัวใน tailnet โดยไม่ต้องเปิดพอร์ตหรือแจก key - รองรับ SSH โดยไม่ต้องใช้ public key หรือ password - Expose บริการเฉพาะบนเครื่องให้เป็น node แยกใน tailnet - ใช้ MagicDNS เพื่อเรียกชื่อเครื่องแทน IP ได้ทันที - แชร์บริการผ่านอินเทอร์เน็ตด้วยฟีเจอร์ Funnel แบบ HTTPS โดยไม่ต้องติดตั้งอะไรเพิ่ม นอกจากนี้ Tailscale ยังมีฟีเจอร์ระดับองค์กร เช่น ACL, session recording, log streaming, และการจัดการผ่าน GitOps ที่ช่วยให้ควบคุมสิทธิ์และตรวจสอบการใช้งานได้อย่างละเอียด แต่ก็มีข้อควรระวัง เช่น การพึ่งพาเซิร์ฟเวอร์กลางของ Tailscale อาจเป็นข้อจำกัดด้านความเป็นส่วนตัว และการใช้งานในองค์กรขนาดใหญ่หรือแอปที่ต้องการ throughput สูงอาจไม่เหมาะนัก ✅ Tailscale ใช้ WireGuard เป็นแกนหลักในการสร้างเครือข่าย VPN ➡️ ช่วยให้เชื่อมต่ออุปกรณ์ต่าง ๆ ได้โดยไม่ต้องตั้งค่าเครือข่าย ✅ ติดตั้งง่าย ใช้งานได้ทันทีหลัง login โดยไม่ต้องแจก key หรือเปิดพอร์ต ➡️ รองรับหลายแพลตฟอร์ม เช่น Windows, macOS, Linux, iOS, Android ✅ รองรับ SSH โดยไม่ต้องใช้ public key หรือ password ➡️ ทำให้การเชื่อมต่อจากมือถือหรือเครื่องอื่นสะดวกขึ้น ✅ สามารถ expose บริการเฉพาะบนเครื่องให้เป็น node แยกใน tailnet ➡️ ใช้ Docker image, Go library หรือเครื่องมือ third-party ได้ ✅ MagicDNS ช่วยให้เรียกชื่อเครื่องแทน IP ได้ทันที ➡️ ลดความยุ่งยากในการจัดการ DNS ด้วยตนเอง ✅ Funnel ช่วยแชร์บริการผ่านอินเทอร์เน็ตแบบ HTTPS ได้ทันที ➡️ ไม่ต้องติดตั้งอะไรเพิ่ม ผู้ใช้ปลายทางไม่ต้องมี Tailscale https://chameth.com/how-i-use-tailscale/

🔓 เรื่องเล่าจากสายโทรศัพท์: เมื่อแฮกเกอร์แค่ “ขอรหัส” แล้วได้จริง ย้อนกลับไปในเดือนสิงหาคม 2023 บริษัท Clorox ผู้ผลิตน้ำยาฟอกขาวชื่อดัง ถูกโจมตีด้วยแรนซัมแวร์โดยกลุ่ม Scattered Spider ซึ่งใช้วิธีง่ายๆ อย่างการโทรไปยังฝ่าย IT ของ Cognizant—ผู้ให้บริการด้านเทคโนโลยีของ Clorox—แล้ว “ขอรหัสผ่าน” โดยแอบอ้างว่าเป็นพนักงาน สิ่งที่น่าตกใจคือ พนักงานของ Cognizant กลับให้รหัสผ่านโดยไม่ตรวจสอบตัวตนใดๆ ทั้งสิ้น! ไม่ถามชื่อผู้จัดการ ไม่ตรวจสอบอีเมล ไม่ใช้ระบบยืนยันตัวตนที่ Clorox เตรียมไว้เลยแม้แต่นิดเดียว ผลลัพธ์คือ Clorox ต้องหยุดการผลิต, ปิดระบบ IT, และใช้การจัดการคำสั่งซื้อแบบแมนนวลนานหลายสัปดาห์ รวมความเสียหายกว่า 380 ล้านดอลลาร์ และล่าสุด Clorox ได้ฟ้อง Cognizant ฐานประมาทเลินเล่ออย่างร้ายแรง ✅ Clorox ถูกโจมตีด้วยแรนซัมแวร์ในเดือนสิงหาคม 2023 โดยกลุ่ม Scattered Spider ➡️ ใช้วิธี social engineering โทรไปขอรหัสผ่านจากฝ่าย IT โดยแอบอ้างเป็นพนักงาน ➡️ ไม่ใช้มัลแวร์หรือเทคนิคซับซ้อนใดๆ ✅ Cognizant เป็นผู้ให้บริการ IT ที่ดูแลระบบภายในของ Clorox รวมถึงการรีเซ็ตรหัสผ่านและ MFA ➡️ มีหน้าที่ตรวจสอบตัวตนก่อนให้ข้อมูลสำคัญ ➡️ แต่กลับละเลยขั้นตอนทั้งหมดที่ Clorox กำหนดไว้ ✅ Clorox ฟ้อง Cognizant เรียกค่าเสียหาย 380 ล้านดอลลาร์ ➡️ รวมถึงค่าใช้จ่ายในการฟื้นฟูระบบกว่า 49 ล้านดอลลาร์ ➡️ และความเสียหายจากการหยุดผลิตและจัดส่งสินค้า ✅ มีหลักฐานเป็นบทสนทนาระหว่างแฮกเกอร์กับพนักงาน Cognizant ที่ให้รหัสโดยไม่ตรวจสอบ ➡️ “I don’t have a password, so I can’t connect.” ➡️ “Oh, ok. Ok. So, let me provide the password to you, okay?” ✅ ระบบที่ควรใช้คือ MyID และการตรวจสอบผ่านชื่อผู้จัดการและอีเมลยืนยัน ➡️ แต่ไม่ได้ถูกนำมาใช้เลยในเหตุการณ์นี้ ➡️ แสดงถึงความล้มเหลวในการฝึกอบรมและควบคุมคุณภาพ ‼️ การละเลยขั้นตอนตรวจสอบตัวตนสามารถเปิดช่องให้เกิดการโจมตีร้ายแรง ⛔ แม้จะมีระบบความปลอดภัยดีแค่ไหน แต่จุดอ่อนคือ “มนุษย์” ที่ไม่ทำตามขั้นตอน ⛔ การแอบอ้างตัวตนเป็นวิธีพื้นฐานที่ยังได้ผลในหลายองค์กร ‼️ การจ้างบริษัทภายนอกดูแลระบบ IT ต้องมีการกำกับและตรวจสอบอย่างเข้มงวด ⛔ ไม่ควรคิดว่า “จ้างแล้วจบ” โดยไม่ติดตามการปฏิบัติงานจริง ⛔ ควรมีสัญญาที่ระบุขั้นตอนความปลอดภัยอย่างชัดเจน ‼️ การตอบสนองต่อเหตุการณ์โจมตีต้องรวดเร็วและแม่นยำ ⛔ Clorox ระบุว่า Cognizantใช้เวลานานเกินไปในการติดตั้งเครื่องมือป้องกัน ⛔ ส่งผลให้การควบคุมความเสียหายล่าช้าไปหลายชั่วโมง ‼️ การละเมิดขั้นตอนพื้นฐานอาจนำไปสู่ความเสียหายระดับองค์กร ⛔ ไม่ใช่แค่ข้อมูลรั่ว แต่กระทบถึงการผลิต, การจัดส่ง, และความเชื่อมั่นของลูกค้า ⛔ อาจต้องใช้เวลาหลายเดือนในการฟื้นฟูภาพลักษณ์และระบบ https://www.tomshardware.com/tech-industry/cyber-security/it-provider-sued-after-it-simply-handed-the-credentials-to-hackers-clorox-claims-cognizant-gaffe-enabled-a-usd380m-ransomware-attack

🧠 เรื่องเล่าจากข่าว: เกมเอาชีวิตรอดที่ “ขโมยชีวิตดิจิทัล” ของคุณ ลองจินตนาการว่าคุณโหลดเกมเอาชีวิตรอดชื่อ Chemia จาก Steam เพื่อเล่นในช่วง Early Access แต่แทนที่จะได้สนุกกับการสร้างฐานและฝ่าฟันภัยพิบัติ คุณกลับโดนขโมยข้อมูลส่วนตัวและคริปโตแบบไม่รู้ตัว — นี่คือสิ่งที่เกิดขึ้นจริง! บริษัทความปลอดภัยไซเบอร์ Prodaft เปิดเผยว่าเกม Chemia ถูกฝังมัลแวร์ 3 สายพันธุ์ ได้แก่: - Fickle Stealer: ขโมยข้อมูลจากเบราว์เซอร์, password manager และ crypto wallet - Vidar Stealer: มัลแวร์แบบบริการ (Malware-as-a-Service) ที่เชื่อมต่อผ่านโซเชียลมีเดีย - HijackLoader: ตัวโหลดมัลแวร์ที่สามารถติดตั้งภัยคุกคามอื่นในอนาคต เกมนี้ถูกแจกผ่านระบบ Playtest ของ Steam ซึ่งต้องขอสิทธิ์เข้าถึงก่อนเล่น ทำให้ดูเหมือนปลอดภัย แต่จริง ๆ แล้วเป็นช่องทางที่แฮกเกอร์ใช้หลบเลี่ยงการตรวจสอบของแพลตฟอร์ม ✅ เกม Chemia ถูกใช้เป็นช่องทางแพร่มัลแวร์ ➡️ ฝังมัลแวร์ 3 ชนิด: Fickle Stealer, Vidar Stealer, HijackLoader ➡️ มัลแวร์ทำงานเมื่อผู้ใช้เปิดเกม โดยรันควบคู่กับแอปพลิเคชันจริง ✅ มัลแวร์แต่ละตัวมีหน้าที่เฉพาะ ➡️ Fickle Stealer: ใช้ PowerShell ขโมยข้อมูลระบบและไฟล์สำคัญ ➡️ Vidar Stealer: เชื่อมต่อผ่านโซเชียลมีเดียเพื่อส่งข้อมูล ➡️ HijackLoader: ใช้ติดตั้งมัลแวร์อื่นในอนาคต ✅ เกมถูกแจกผ่านระบบ Playtest ของ Steam ➡️ ต้องขอสิทธิ์ก่อนเล่น ทำให้ดูเหมือนปลอดภัย ➡️ ไม่มีรีวิวหรือข้อมูลจากนักพัฒนาอื่น ทำให้ตรวจสอบยาก ✅ นักพัฒนา Aether Forge Studios ไม่มีตัวตนชัดเจน ➡️ ไม่มีเว็บไซต์หรือโซเชียลมีเดียที่เชื่อมโยงกับเกม ➡️ อาจเป็นบัญชีปลอมที่ใช้หลอกลวงผู้ใช้ ✅ Prodaft เผยว่าแฮกเกอร์ชื่อ EncryptHub อยู่เบื้องหลัง ➡️ เคยมีประวัติการโจมตีแบบ spear-phishing ตั้งแต่ปี 2024 ➡️ แชร์ Indicators of Compromise (IOCs) บน GitHub เพื่อช่วยตรวจสอบ ‼️ เกมบนแพลตฟอร์มที่เชื่อถือได้ก็อาจไม่ปลอดภัย ⛔ Steam ไม่สามารถตรวจสอบมัลแวร์ในทุกเกมได้ทันที ⛔ ผู้ใช้มักเชื่อว่าการโหลดจาก Steam คือ “ปลอดภัยโดยอัตโนมัติ” ‼️ มัลแวร์สามารถขโมยข้อมูลสำคัญได้ทันทีที่เปิดเกม ⛔ ข้อมูลที่ถูกขโมยรวมถึงรหัสผ่าน, session token, และ crypto wallet ⛔ อาจนำไปสู่การสูญเสียทางการเงินและการขโมยตัวตน ‼️ ระบบ Early Access และ Playtest อาจถูกใช้เป็นช่องทางโจมตี ⛔ เกมที่ยังไม่เปิดตัวเต็มรูปแบบอาจไม่มีการตรวจสอบเข้มงวด ⛔ แฮกเกอร์ใช้ช่องโหว่นี้ในการฝังโค้ดอันตราย ‼️ ผู้ใช้ที่เคยเล่น Chemia ควรตรวจสอบระบบทันที ⛔ ลบเกมออกจากเครื่อง ⛔ สแกนมัลแวร์เต็มระบบ ⛔ เปลี่ยนรหัสผ่านทุกบัญชีที่เคยล็อกอินระหว่างเล่นเกม https://www.tomshardware.com/tech-industry/cyber-security/hacker-plants-three-strains-of-malware-in-a-steam-early-access-game-called-chemia-security-company-found-crypto-jacking-infostealers-and-a-backdoor-to-install-yet-more-malware-in-the-future

🎙️ เรื่องเล่าจากมัลแวร์ที่ปลอมตัวเป็น Chrome: เมื่อ Interlock แรนซัมแวร์ใช้ CAPTCHA หลอกให้รันคำสั่งเอง Interlock ถูกตรวจพบครั้งแรกในเดือนกันยายน 2024 และมีการโจมตีเพิ่มขึ้นในช่วงกลางปี 2025 โดย FBI พบว่า: - กลุ่มนี้พัฒนาแรนซัมแวร์สำหรับทั้ง Windows และ Linux - เน้นโจมตีระบบ virtual machine (VM) และใช้เทคนิคใหม่ในการเข้าถึงระบบ เทคนิคที่ใช้มีความแปลกใหม่ เช่น: - “Drive-by download” จากเว็บไซต์ที่ถูกแฮก โดยปลอมเป็นอัปเดตของ Chrome, Edge, FortiClient หรือ Cisco Secure Client - “ClickFix” — หลอกให้ผู้ใช้คลิก CAPTCHA ปลอม แล้วคัดลอกคำสั่งไปวางในหน้าต่าง Run ของระบบ เมื่อเข้าระบบได้แล้ว Interlock จะ: - ใช้ web shell และ Cobalt Strike เพื่อควบคุมระบบ - ขโมยข้อมูล เช่น username, password และใช้ keylogger บันทึกการพิมพ์ - เข้ารหัสไฟล์และเปลี่ยนนามสกุลเป็น .interlock หรือ .1nt3rlock - ส่งโน้ตร้องขอค่าไถ่ผ่านเว็บไซต์ .onion โดยไม่ระบุจำนวนเงิน - ข่มขู่ว่าจะเปิดเผยข้อมูลหากไม่จ่ายค่าไถ่เป็น Bitcoin — และเคยทำจริงหลายครั้ง FBI, CISA, HHS และ MS-ISAC แนะนำให้ทุกองค์กรเร่งดำเนินมาตรการป้องกัน เช่น: - ใช้ DNS filtering และ firewall เพื่อป้องกันการเข้าถึงเว็บอันตราย - อัปเดตระบบและซอฟต์แวร์ทั้งหมด - ใช้ MFA และจัดการสิทธิ์การเข้าถึงอย่างเข้มงวด - แบ่งเครือข่ายเพื่อลดการแพร่กระจาย - สำรองข้อมูลแบบ offline และไม่สามารถแก้ไขได้ (immutable backup) ✅ FBI และ CISA เตือนภัย Interlock ransomware ที่โจมตีองค์กรและโครงสร้างพื้นฐานสำคัญ ➡️ ใช้เทคนิค double extortion คือทั้งเข้ารหัสและข่มขู่เปิดเผยข้อมูล ✅ Interlock พัฒนาแรนซัมแวร์สำหรับ Windows และ Linux โดยเน้นโจมตี VM ➡️ ใช้เทคนิคใหม่ เช่น drive-by download และ ClickFix ✅ ClickFix คือการหลอกให้ผู้ใช้คลิก CAPTCHA ปลอม แล้วรันคำสั่งอันตรายเอง ➡️ เป็นการใช้ social engineering ที่แยบยลและยากต่อการตรวจจับ ✅ หลังเข้าระบบ Interlock ใช้ Cobalt Strike และ web shell เพื่อควบคุมและขโมยข้อมูล ➡️ รวมถึงการใช้ keylogger เพื่อดักจับการพิมพ์ ✅ ไฟล์ที่ถูกเข้ารหัสจะมีนามสกุล .interlock หรือ .1nt3rlock ➡️ โน้ตร้องขอค่าไถ่ไม่ระบุจำนวนเงิน แต่ให้ติดต่อผ่าน Tor ✅ หน่วยงานแนะนำให้ใช้ DNS filtering, MFA, network segmentation และ backup แบบ immutable ➡️ พร้อมทรัพยากรฟรีจากโครงการ #StopRansomware https://hackread.com/fbi-cisa-interlock-ransomware-target-critical-infrastructure/

🎙️ เรื่องเล่าจากรหัสผ่านเดียวที่ล้มบริษัท 158 ปี KNP เป็นบริษัทขนส่งที่มีรถบรรทุกกว่า 500 คัน และพนักงานราว 700 คน โดยมีมาตรการด้านความปลอดภัยตามมาตรฐานอุตสาหกรรม รวมถึงประกันภัยไซเบอร์ แต่กลับถูกโจมตีด้วย ransomware ที่เริ่มต้นจากการ “เดารหัสผ่าน” ของพนักงานคนหนึ่ง แฮกเกอร์เข้าระบบได้และเข้ารหัสข้อมูลทั้งหมดของบริษัท — แม้จะมีประกัน แต่บริษัทประเมินว่าค่าไถ่อาจสูงถึง £5 ล้าน ซึ่งเกินกว่าที่จะจ่ายไหว สุดท้าย KNP ต้องปิดกิจการ และพนักงานทั้งหมดตกงาน Paul Abbott ผู้อำนวยการบริษัทบอกว่าเขาไม่เคยแจ้งพนักงานคนนั้นว่า “รหัสผ่านของเขาคือจุดเริ่มต้นของการล่มสลาย” เพราะไม่อยากให้ใครต้องแบกรับความรู้สึกผิดเพียงคนเดียว หน่วยงานด้านความมั่นคงไซเบอร์ของอังกฤษระบุว่า: - ปีที่ผ่านมา มีการโจมตี ransomware กว่า 19,000 ครั้ง - ค่าไถ่เฉลี่ยอยู่ที่ £4 ล้าน - หนึ่งในสามของบริษัทเลือก “จ่ายเงิน” เพื่อให้ธุรกิจดำเนินต่อได้ Suzanne Grimmer จาก National Crime Agency เตือนว่า: 🔖 “ถ้าแนวโน้มนี้ยังดำเนินต่อไป ปีนี้จะเป็นปีที่เลวร้ายที่สุดสำหรับ ransomware ในสหราชอาณาจักร” ✅ KNP Logistics Group ถูกโจมตีด้วย ransomware จากรหัสผ่านที่เดาง่ายของพนักงาน ➡️ ส่งผลให้ข้อมูลทั้งหมดถูกเข้ารหัส และบริษัทไม่สามารถจ่ายค่าไถ่ได้ ✅ บริษัทมีพนักงานราว 700 คน และรถบรรทุกกว่า 500 คัน ➡️ เป็นหนึ่งในบริษัทขนส่งเก่าแก่ที่สุดในอังกฤษ ✅ ค่าไถ่ถูกประเมินว่าอาจสูงถึง £5 ล้าน แม้จะมีประกันภัยไซเบอร์ ➡️ เกินกว่าที่บริษัทจะรับไหว ทำให้ต้องปิดกิจการ ✅ หน่วยงานความมั่นคงไซเบอร์ของอังกฤษระบุว่ามี ransomware กว่า 19,000 ครั้งในปีที่ผ่านมา ➡️ ค่าไถ่เฉลี่ยอยู่ที่ £4 ล้าน และหนึ่งในสามของบริษัทเลือกจ่ายเงิน ✅ Paul Abbott ไม่แจ้งพนักงานเจ้าของรหัสผ่านว่าเป็นต้นเหตุของการล่มสลาย ➡️ เพื่อไม่ให้เกิดความรู้สึกผิดที่รุนแรงเกินไป ✅ ผู้เชี่ยวชาญระบุว่าแฮกเกอร์มัก “รอวันที่องค์กรอ่อนแอ” แล้วลงมือทันที ➡️ ไม่จำเป็นต้องเจาะระบบซับซ้อน แค่รหัสผ่านอ่อนก็พอ https://www.techspot.com/news/108749-one-weak-password-brought-down-158-year-old.html

🎙️ เรื่องเล่าจากโลกมืดของ UIA: เมื่อเครื่องมือสำหรับผู้พิการถูกใช้เป็นช่องทางลอบโจมตี UI Automation (UIA) เป็นระบบที่ Microsoft ออกแบบเพื่อช่วยให้เทคโนโลยีผู้ช่วย (assistive technologies) เช่น screen reader เข้าถึง UI ของซอฟต์แวร์ต่าง ๆ ได้ — แต่แฮกเกอร์พบว่า UIA สามารถใช้ “สแกน” หน้าต่างของโปรแกรมอื่น เพื่อดึงข้อมูลจากฟิลด์ต่าง ๆ ได้ โดยไม่ต้องเข้าถึง API หรือระบบเครือข่าย มัลแวร์ Coyote รุ่นล่าสุดจึงใช้ UIA ในการ: - ตรวจสอบว่าเหย้อติดต่อกับธนาคารหรือเว็บคริปโตหรือไม่ โดยวิเคราะห์ชื่อหน้าต่าง - หากไม่พบชื่อในลิสต์ 75 สถาบันที่ถูกตั้งไว้ล่วงหน้า จะใช้ UIA สแกน sub-elements เพื่อตรวจจับ field ที่น่าจะเกี่ยวกับการเงิน - ดึงข้อมูล เช่น username, password, หรือ address bar ได้โดยตรงผ่าน COM object ของ UIA เทคนิคนี้ช่วยให้มัลแวร์: - หลบหลีก endpoint detection software ได้ดีขึ้น - ทำงานได้ทั้งแบบ online และ offline - มีความยืดหยุ่นในการเข้าถึงหลายแอปและหลาย browser โดยไม่ต้องรู้โครงสร้างล่วงหน้า ✅ Coyote Trojan รุ่นใหม่ใช้ Microsoft UI Automation (UIA) ในการขโมยข้อมูลจากธนาคารและคริปโต ➡️ ถือเป็นมัลแวร์ตัวแรกที่นำ UIA ไปใช้จริงจากแนวคิด proof-of-concept ✅ UIA เป็น framework ที่ช่วยให้โปรแกรมเข้าถึง UI ของแอปอื่นผ่าน COM object ➡️ ทำให้สามารถอ่าน content ใน input field, address bar, และ sub-element ของหน้าต่างได้ ✅ Coyote ตรวจสอบชื่อหน้าต่างว่าเกี่ยวข้องกับสถาบันการเงินหรือไม่ ➡️ หากไม่ตรง จะใช้ UIA “ไต่” โครงสร้างหน้าต่างเพื่อหาข้อมูลแทน ✅ มัลแวร์มีลิสต์สถาบันการเงิน 75 แห่ง ซึ่งรวมถึงธนาคารและ crypto exchange ➡️ มีการ mapping เป็นหมวดหมู่ภายใน เพื่อใช้เลือกเป้าหมายและเทคนิคการโจมตี ✅ Coyote ยังส่งข้อมูลเครื่องกลับไปยัง C2 เช่น username, computer name, browser ➡️ แม้อยู่แบบ offline ก็ยังตรวจสอบและเก็บข้อมูลไว้ได้โดยไม่ต้องสื่อสารตลอดเวลา ✅ Akamai มีคำแนะนำให้ตรวจสอบ DLL ที่โหลด เช่น UIAutomationCore.dll ➡️ และใช้ osquery ตรวจสอบ named pipe ที่เกี่ยวข้องกับ UIA เพื่อจับพฤติกรรมผิดปกติ https://hackread.com/coyote-trojan-use-microsoft-ui-automation-bank-attacks/

🎙️ เรื่องเล่าจากรหัสลับในเฟิร์มแวร์: เมื่อ Wi-Fi ธุรกิจกลายเป็นช่องทางให้แฮกเกอร์เข้าระบบ ช่องโหว่หลักคือ CVE-2025-37103 ซึ่งมีคะแนนความรุนแรงถึง 9.8/10 (ระดับวิกฤต) โดยเกิดจากการที่มีบัญชีแอดมินแบบ hardcoded อยู่ในเฟิร์มแวร์ของอุปกรณ์ — ใครก็ตามที่รู้รหัสนี้สามารถ: - เข้าสู่ระบบในฐานะแอดมิน - เปลี่ยนการตั้งค่า - ติดตั้งมัลแวร์ - ควบคุมอุปกรณ์และเครือข่ายที่เชื่อมต่อ ช่องโหว่นี้ไม่มีวิธีแก้ชั่วคราว (no workaround) นอกจากการติดตั้งแพตช์ล่าสุดเท่านั้น นอกจากนี้ยังมีช่องโหว่รองอีกตัวคือ CVE-2025-37102 ซึ่งเป็นช่องโหว่ command injection ที่เปิดให้ผู้ใช้ที่มีสิทธิ์สูงสามารถรันคำสั่งบนระบบปฏิบัติการได้โดยตรง — มีคะแนนความรุนแรง 7.2/10 (ระดับสูง) ✅ HPE พบช่องโหว่ร้ายแรงใน Aruba Instant On Access Points และออกแพตช์แล้ว ➡️ ช่องโหว่หลักคือ CVE-2025-37103 ที่มีรหัสแอดมินแบบ hardcoded ในเฟิร์มแวร์ ✅ ช่องโหว่นี้เปิดให้แฮกเกอร์เข้าถึงอุปกรณ์ในฐานะแอดมินโดยไม่ต้องยืนยันตัวตน ➡️ สามารถเปลี่ยนการตั้งค่า, ติดตั้งมัลแวร์ และควบคุมเครือข่ายได้ ✅ ช่องโหว่รองคือ CVE-2025-37102 เป็น command injection สำหรับผู้ใช้ที่มีสิทธิ์สูง ➡️ สามารถรันคำสั่งบนระบบปฏิบัติการได้โดยตรง ✅ Aruba Instant On เป็นอุปกรณ์ Wi-Fi สำหรับธุรกิจขนาดเล็กที่เน้นความง่ายและความปลอดภัย ➡️ แต่ช่องโหว่นี้ทำให้ความปลอดภัยถูกลดลงอย่างมาก ✅ ช่องโหว่ทั้งสองไม่มีวิธีแก้ชั่วคราว ต้องติดตั้งแพตช์เท่านั้น ➡️ HPE แนะนำให้ผู้ใช้รีบอัปเดตทันทีเพื่อป้องกันการโจมตี ✅ ช่องโหว่แบบ hardcoded credential มักเกิดจากการตั้งค่าชั่วคราวในช่วงพัฒนา ➡️ หากทีม DevSecOps ไม่ลบออกก่อนปล่อยผลิตภัณฑ์ จะกลายเป็นช่องโหว่ถาวร ‼️ ช่องโหว่ CVE-2025-37103 มีความรุนแรงระดับวิกฤตและสามารถถูกใช้โจมตีจากระยะไกล ⛔ หากไม่อัปเดตแพตช์ อุปกรณ์อาจถูกควบคุมโดยแฮกเกอร์ทันที ‼️ ไม่มีวิธีแก้ชั่วคราวสำหรับช่องโหว่ทั้งสอง ⛔ การป้องกันต้องอาศัยการติดตั้งแพตช์เท่านั้น ‼️ ช่องโหว่ command injection อาจถูกใช้ร่วมกับช่องโหว่อื่นเพื่อเจาะระบบลึกขึ้น ⛔ โดยเฉพาะในระบบที่มีผู้ใช้หลายระดับสิทธิ์ ‼️ การมีรหัสแอดมินแบบ hardcoded เป็นความผิดพลาดด้านความปลอดภัยที่ไม่ควรเกิดขึ้น ⛔ แสดงถึงการขาดการตรวจสอบในกระบวนการพัฒนาและปล่อยผลิตภัณฑ์ ‼️ อุปกรณ์ที่ไม่ได้รับการอัปเดตอาจกลายเป็นจุดเริ่มต้นของการโจมตีทั้งเครือข่าย ⛔ โดยเฉพาะในธุรกิจขนาดเล็กที่ไม่มีทีมรักษาความปลอดภัยเฉพาะทาง https://www.techradar.com/pro/security/hpe-warns-hardcoded-passwords-in-aruba-hardware-could-be-a-security-risk

🎙️ เรื่องเล่าจากช่องโหว่เดียว: โจมตีเซิร์ฟเวอร์ระดับโลกได้ด้วย 1 บรรทัด ช่องโหว่นี้มีชื่อว่า CVE-2025-47812 และเปิดเผยแบบ public บน GitHub เมื่อ 30 มิถุนายน 2025 — แต่เพียงหนึ่งวันหลังจากนั้น ก็มีการโจมตีจริงเกิดขึ้นทันที โดยนักวิจัยจาก Huntress พบว่า: - ช่องโหว่นี้อยู่ใน Wing FTP เวอร์ชันก่อน 7.4.4 (แพตช์ออก 14 พ.ค. 2025) - อาศัยการ ฉีด null byte เข้าในฟิลด์ชื่อผู้ใช้ - ทำให้ bypass authentication แล้วแนบโค้ด Lua ลงในไฟล์ session - เมื่อเซิร์ฟเวอร์ deserialize ไฟล์ session เหล่านั้น จะรันโค้ดในระดับ root/SYSTEM แม้การโจมตีบางครั้งถูกสกัดโดย Defender ของ Microsoft แต่พบพฤติกรรมหลายอย่าง เช่น: - การพยายามใช้ certutil และ cmd.exe เพื่อดาวน์โหลด payload - การสร้างผู้ใช้งานใหม่ในระบบ - การสแกน directory เพื่อหาช่องทางเข้าถึงอื่น มีเคสหนึ่งที่แฮกเกอร์ ต้องค้นหาวิธีใช้ curl แบบสด ๆ ระหว่างโจมตี แสดงให้เห็นว่าส่วนหนึ่งของผู้โจมตียังไม่ได้มีความเชี่ยวชาญเต็มที่ — แต่ช่องโหว่นั้นร้ายแรงมากจน “ต่อให้โจมตีไม่เก่งก็ยังสำเร็จได้” ✅ ช่องโหว่ CVE-2025-47812 ทำให้เกิดการรันโค้ดจากระยะไกลแบบไม่ต้องล็อกอิน ➡️ ใช้การฉีด null byte ในฟิลด์ username แล้วแนบโค้ด Lua ลงในไฟล์ session ✅ โค้ด Lua ที่ถูกแทรกจะถูกรันเมื่อเซิร์ฟเวอร์ deserialize session file ➡️ ทำงานในระดับ root บน Linux หรือ SYSTEM บน Windows ✅ นักวิจัยพบว่าแฮกเกอร์ใช้คำสั่งผ่าน cmd.exe และ certutil เพื่อดึง payload ➡️ พฤติกรรมคล้ายการเจาะระบบเพื่อฝัง backdoor และสร้างผู้ใช้ใหม่ ✅ Wing FTP Server ถูกใช้ในองค์กรระดับโลก เช่น Airbus และ USAF ➡️ ช่องโหว่นี้อาจกระทบระบบ sensitive และเครือข่ายภายใน ✅ แพตช์แก้ไขอยู่ในเวอร์ชัน 7.4.4 ซึ่งปล่อยตั้งแต่ 14 พฤษภาคม 2025 ➡️ แต่หลายองค์กรยังใช้เวอร์ชันก่อนหน้านั้น แม้ช่องโหว่ถูกเปิดเผยแล้ว ✅ นักวิจัยแนะนำให้ปิดการเข้าถึงผ่าน HTTP/S, ปิด anonymous login และตรวจ log session ➡️ เป็นมาตรการเบื้องต้นหากยังไม่สามารถอัปเดตเวอร์ชันได้ทันที ✅ ยังมีช่องโหว่อื่นอีก 3 ตัวที่พบ เช่นการดูด password ผ่าน JavaScript และการอ่านระบบ path ➡️ แต่ CVE-2025-47812 ถูกจัดว่า “รุนแรงที่สุด” เพราะสามารถเจาะระบบได้ครบทุกระดับ https://www.techradar.com/pro/security/hackers-are-exploiting-a-critical-rce-flaw-in-a-popular-ftp-server-heres-what-you-need-to-know

มีคนมาถามว่าลุงให้ Antivirus ยี่ห้ออะไร? ลุงใช้ Bitdefender ครับ 🎙️ เรื่องเล่าจากโลกไซเบอร์: Antivirus กับ Internet Security ยังต่างกันอยู่ไหม? ในยุคที่มัลแวร์แอบแฝงผ่านเว็บ, อีเมล, และไฟล์ต่าง ๆ ได้เนียนเหมือนภาพโฆษณา — คนจำนวนมากจึงตั้งคำถามว่า “ควรเลือกแค่ Antivirus หรือจ่ายเพิ่มเพื่อ Internet Security ดี?” 🔍 Antivirus คืออะไร Antivirus คือซอฟต์แวร์ที่ตรวจจับและกำจัดมัลแวร์จากไฟล์ในเครื่อง เช่น ไวรัส, หนอน (worm), โทรจัน ฯลฯ โดยอิงจากการเทียบ signature และการวิเคราะห์พฤติกรรม (heuristics) ล่าสุดยังรวมถึงการตรวจภัยออนไลน์ด้วย (ไม่ใช่เฉพาะไฟล์ในเครื่องเท่านั้นอีกต่อไป) 🌐 Internet Security Suite คืออะไร Internet Security Suite คือแพ็กเกจรวมหลายเครื่องมือ เช่น antivirus, firewall, VPN, password manager, และระบบควบคุมภัยคุกคามแบบเรียลไทม์ ช่วยป้องกันผู้ใช้จากภัยออนไลน์โดยเฉพาะ เช่น การฟิชชิ่ง, การถูกสอดแนม, การโดนแฮกผ่านเว็บ, และมัลแวร์จากเว็บที่แฝงมา ✅ Antivirus คือการป้องกันระดับ local ที่สแกนไฟล์ในเครื่อง ➡️ ใช้ signature-based และ heuristic-based detection เพื่อดักจับภัย ✅ Internet Security ครอบคลุมมากกว่า โดยเน้นการป้องกันภัยขณะออนไลน์ ➡️ ป้องกันฟิชชิ่ง, เว็บมัลแวร์, และการสอดแนมผ่านเครือข่าย ✅ ฟีเจอร์ที่มักมีใน Internet Security เช่น firewall, VPN, password manager ➡️ เสริมความปลอดภัยให้กับการใช้งานอินเทอร์เน็ตแบบครบวงจร ✅ ปัจจุบัน Antivirus หลายตัวใช้ cloud-based threat detection แล้ว ➡️ ความแตกต่างระหว่าง antivirus กับ internet security จึงเริ่มพร่ามัว ✅ ผู้ให้บริการเริ่มรวมทั้งสองไว้ในผลิตภัณฑ์เดียว ต่างกันแค่ “ระดับราคา” ➡️ เช่น Norton Antivirus (พื้นฐาน) กับ Norton 360 (พรีเมียม) ✅ Antivirus ฟรีบางตัวก็มีฟีเจอร์ internet security แล้ว เช่น Avast, Bitdefender ➡️ มี firewall, สแกน Wi-Fi, ป้องกัน ransomware และ phishing mail https://www.techradar.com/pro/security/antivirus-vs-internet-security-whats-the-difference