🎙️ เมื่อไนจีเรียลุกขึ้นสู้กับอาชญากรรมไซเบอร์ – และ 50 ชาวจีนต้องกลับบ้าน กลางเดือนสิงหาคม 2025 รัฐบาลไนจีเรียเปิดปฏิบัติการครั้งใหญ่เพื่อปราบปรามเครือข่ายอาชญากรรมไซเบอร์ที่มีชาวต่างชาติเป็นแกนนำ โดยหน่วยงาน Economic and Financial Crimes Commission (EFCC) ร่วมมือกับสำนักงานตรวจคนเข้าเมือง จับกุมผู้ต้องสงสัยกว่า 192 คนในเมืองลากอส ซึ่งเป็นศูนย์กลางเศรษฐกิจของประเทศ ผลจากการสอบสวนและดำเนินคดีนำไปสู่การเนรเทศชาวจีน 50 คน และชาวตูนิเซียอีก 1 คน หลังถูกตัดสินว่ามีความผิดฐาน “cyber-terrorism” และ “internet fraud” โดยศาลมีคำสั่งให้ส่งตัวกลับประเทศหลังจากรับโทษจำคุก EFCC ระบุว่า การกระทำของกลุ่มนี้มีเป้าหมายเพื่อบ่อนทำลายความมั่นคงทางการเงินของไนจีเรีย และสร้างความเสียหายต่อระบบเศรษฐกิจผ่านการหลอกลวงออนไลน์ เช่น romance scam และการลงทุนในคริปโตปลอม การเนรเทศครั้งนี้ถือเป็นส่วนหนึ่งของยุทธศาสตร์ระยะยาวในการปกป้องพลเมืองและระบบการเงินของประเทศ โดย EFCC ยืนยันว่าจะมีการเนรเทศเพิ่มเติมในอีกไม่กี่วันข้างหน้า 📌 สรุปเนื้อหาเป็นหัวข้อ ➡️ ไนจีเรียเนรเทศชาวจีน 50 คน และชาวตูนิเซีย 1 คน ฐาน cyber-terrorism และ internet fraud ➡️ ปฏิบัติการเริ่มเมื่อวันที่ 15 สิงหาคม 2025 โดย EFCC ร่วมกับสำนักงานตรวจคนเข้าเมือง ➡️ มีผู้ต้องสงสัยถูกจับกุมรวม 192 คนในเมืองลากอส ➡️ การดำเนินคดีนำไปสู่คำสั่งศาลให้เนรเทศหลังรับโทษจำคุก ➡️ EFCC ระบุว่ากลุ่มนี้เป็นหนึ่งในเครือข่ายอาชญากรรมไซเบอร์ที่ใหญ่ที่สุดในประเทศ ➡️ การโจมตีรวมถึง romance scam และการหลอกลงทุนในคริปโตปลอม ➡️ มีการเนรเทศรวมแล้ว 102 คนตั้งแต่เริ่มปฏิบัติการ ➡️ EFCC ยืนยันว่าจะมีการเนรเทศเพิ่มเติมในเร็ว ๆ นี้ ➡️ EFCC ประกาศว่านี่คือ “หมุดหมายสำคัญ” ในการต่อสู้กับอาชญากรรมไซเบอร์ ➡️ การเนรเทศมีเป้าหมายเพื่อปกป้องความมั่นคงและความน่าเชื่อถือของระบบการเงินไนจีเรีย ✅ ข้อมูลเสริมจากภายนอก ➡️ ในปี 2024 EFCC เคยจับกุมผู้ต้องสงสัยกว่า 800 คนในอาคารเดียวที่ใช้เป็นศูนย์กลางหลอกลวง ➡️ Romance scam เป็นหนึ่งในรูปแบบที่สร้างความเสียหายสูงสุดในไนจีเรีย ➡️ การหลอกลงทุนในคริปโตปลอมมีเป้าหมายทั้งในประเทศและต่างประเทศ ➡️ EFCC ได้รับการสนับสนุนจากหน่วยงานระหว่างประเทศในการติดตามธุรกรรมข้ามพรมแดน ➡️ การเน้นปราบปรามชาวต่างชาติสะท้อนถึงความพยายามควบคุมอิทธิพลภายนอกในอาชญากรรมไซเบอร์ https://www.thestar.com.my/tech/tech-news/2025/08/21/nigeria-deports-50-chinese-nationals-in-cybercrime-crackdown

🎙️ เมื่อรหัสผ่านองค์กรกลายเป็นจุดอ่อน – และแฮกเกอร์ไม่ต้องพยายามมากอีกต่อไป ในปี 2025 รายงาน Blue Report ของ Picus Security เผยข้อมูลที่น่าตกใจว่า ใน 46% ขององค์กรที่ทำการทดสอบ มีรหัสผ่านอย่างน้อยหนึ่งชุดถูกเจาะสำเร็จ เพิ่มขึ้นจาก 25% ในปี 2024 ซึ่งสะท้อนถึงปัญหาที่เรื้อรังมานาน: การใช้รหัสผ่านที่อ่อนแอและนโยบายที่ล้าสมัย แม้จะมีการรณรงค์เรื่องความปลอดภัยมาหลายปี แต่หลายองค์กรยังคงใช้รหัสผ่านที่เดาง่าย ซ้ำซาก หรือไม่บังคับให้เปลี่ยนรหัสอย่างสม่ำเสมอ บางแห่งยังใช้วิธีเก็บ hash แบบ MD5 หรือ SHA-1 ซึ่งถูกแฮกได้ง่ายด้วยเทคนิค brute-force หรือ rainbow table ที่น่ากังวลกว่านั้นคือ การโจมตีด้วยรหัสผ่านที่ถูกขโมย (เช่นจาก phishing หรือ malware) มีอัตราความสำเร็จสูงถึง 98% และการป้องกันการขโมยข้อมูล (data exfiltration) สำเร็จเพียง 3% เท่านั้น ซึ่งลดลงจาก 9% ในปีที่แล้ว ผู้เชี่ยวชาญเตือนว่าองค์กรต้องเปลี่ยนจากแนวคิด “ตั้งค่าแล้วปล่อยไว้” ไปสู่การตรวจสอบระบบอย่างต่อเนื่อง และใช้มาตรการเชิงรุก เช่น MFA, การวิเคราะห์พฤติกรรมผู้ใช้, และการจัดการสิทธิ์แบบละเอียด 📌 สรุปเนื้อหาเป็นหัวข้อ ➡️ 46% ขององค์กรที่ทดสอบมีรหัสผ่านถูกเจาะสำเร็จอย่างน้อยหนึ่งชุด ➡️ เพิ่มขึ้นจาก 25% ในปี 2024 สะท้อนถึงการใช้รหัสผ่านที่อ่อนแอและนโยบายล้าสมัย ➡️ การโจมตีด้วยรหัสผ่านที่ถูกขโมยมีอัตราความสำเร็จสูงถึง 98% ➡️ การป้องกันการขโมยข้อมูลสำเร็จเพียง 3% ลดลงจาก 9% ในปีที่แล้ว ➡️ แฮกเกอร์ใช้เทคนิค brute-force, rainbow table, password spraying และ infostealer malware ➡️ การเก็บ hash แบบ MD5 หรือ SHA-1 ไม่ปลอดภัยอีกต่อไป ➡️ ควรใช้ bcrypt, Argon2 หรือ scrypt ร่วมกับ salt และ pepper เพื่อเพิ่มความปลอดภัย ➡️ ช่องโหว่เกิดจากการตั้งค่าระบบที่ไม่ต่อเนื่อง เช่น logging gaps และ detection rule ที่ไม่แม่นยำ ➡️ การตรวจจับพฤติกรรมผิดปกติ เช่น การเคลื่อนไหวภายในระบบ (lateral movement) ยังมีประสิทธิภาพต่ำ ➡️ การใช้ MFA และการจัดการสิทธิ์แบบละเอียดเป็นมาตรการพื้นฐานที่ควรมี ✅ ข้อมูลเสริมจากภายนอก ➡️ Infostealer malware เพิ่มขึ้น 3 เท่าในปี 2025 และเป็นภัยหลักในการขโมย credentials ➡️ การโจมตีแบบ Valid Accounts (MITRE ATT&CK T1078) เป็นวิธีที่แฮกเกอร์นิยมใช้ ➡️ Ransomware เช่น BlackByte, BabLock และ Maori ยังเป็นภัยที่ป้องกันได้ยาก ➡️ การตรวจจับการค้นหาข้อมูลระบบ (System Discovery) มีประสิทธิภาพต่ำกว่า 12% ➡️ การเปลี่ยนแนวคิดเป็น “assume breach” ช่วยให้ตอบสนองต่อภัยคุกคามได้เร็วขึ้น https://www.csoonline.com/article/4042464/enterprise-passwords-becoming-even-easier-to-steal-and-abuse.html

🎙️ เมื่อแชตบอตกลายเป็นช่องทางเจาะระบบ – และคำถามธรรมดาอาจเปิดประตูให้แฮกเกอร์ Lenovo เปิดตัวแชตบอต Lena เพื่อช่วยลูกค้าในระบบสนับสนุน โดยใช้ GPT-4 เป็นแกนหลักในการตอบคำถาม แต่สิ่งที่ดูเหมือนจะเป็นนวัตกรรมกลับกลายเป็นช่องโหว่ร้ายแรง เมื่อทีมวิจัยจาก Cybernews พบว่า Lena สามารถถูกหลอกให้สร้างโค้ด HTML อันตรายผ่าน prompt เพียง 400 ตัวอักษร แฮกเกอร์ใช้เทคนิค prompt injection โดยเริ่มต้นด้วยคำถามเกี่ยวกับสินค้า แล้วแทรกคำสั่งให้ Lena ตอบกลับในรูปแบบ HTML พร้อมฝังโค้ด JavaScript ที่ขโมย session cookie เมื่อภาพไม่สามารถโหลดได้ เมื่อเจ้าหน้าที่สนับสนุนเปิดดูการสนทนา โค้ดนั้นจะทำงานทันทีใน browser ของพวกเขา ทำให้แฮกเกอร์สามารถเข้าถึงระบบสนับสนุนของบริษัทได้โดยไม่ต้องเจาะระบบโดยตรง Melissa Ruzzi จาก AppOmni เตือนว่า AI ที่มีสิทธิ์แก้ไขข้อมูลโดยไม่มีการควบคุม อาจกลายเป็นช่องทางโจมตีที่ร้ายแรง และ Arjun Chauhan จาก Everest Group เสริมว่าองค์กรส่วนใหญ่ยังมอง AI เป็น “โครงการทดลอง” มากกว่าระบบที่ต้องมีมาตรการความปลอดภัยจริงจัง ช่องโหว่นี้ไม่ใช่แค่การขโมย cookie แต่สามารถนำไปสู่การติดตั้ง keylogger, redirect ไปยังเว็บ phishing หรือแม้แต่การฝัง backdoor เพื่อเคลื่อนย้ายภายในเครือข่ายองค์กร Lenovo ยอมรับช่องโหว่และแก้ไขทันทีหลังได้รับการแจ้งเตือนจากนักวิจัย แต่เหตุการณ์นี้สะท้อนถึง blind spot ด้านความปลอดภัยของ AI ที่องค์กรทั่วโลกกำลังเผชิญ 📌 สรุปเนื้อหาเป็นหัวข้อ ➡️ Lenovo chatbot Lena ถูกพบว่ามีช่องโหว่ XSS จากการตอบสนองต่อ prompt ที่ถูกออกแบบมาอย่างเจาะจง ➡️ ช่องโหว่เกิดจากการ sanitization ของ input และ output ที่ไม่เพียงพอ ➡️ แฮกเกอร์สามารถฝังโค้ด JavaScript ผ่าน HTML ที่ Lena สร้างขึ้น ➡️ โค้ดจะทำงานเมื่อเจ้าหน้าที่สนับสนุนเปิดดูการสนทนา ทำให้ session cookie ถูกขโมย ➡️ ช่องโหว่นี้สามารถนำไปสู่การติดตั้ง keylogger, redirect ไปยังเว็บ phishing และฝัง backdoor ➡️ Lena ใช้ GPT-4 เป็นแกนหลักในการตอบคำถามลูกค้า ➡️ Lenovo ได้รับแจ้งจากนักวิจัยและดำเนินการแก้ไขทันที ➡️ ผู้เชี่ยวชาญเตือนว่า AI ควรได้รับการดูแลด้านความปลอดภัยเทียบเท่ากับแอปพลิเคชันทั่วไป ➡️ ช่องโหว่นี้สะท้อนถึง blind spot ในการออกแบบระบบ AI ที่เน้นความเร็วมากกว่าความปลอดภัย ➡️ การโจมตีใช้ prompt เพียง 400 ตัวอักษรในการเจาะระบบ ✅ ข้อมูลเสริมจากภายนอก ➡️ Cybernews และ CybersecurityNews รายงานว่า Lena สามารถรันสคริปต์บนเครื่องขององค์กรได้ ➡️ ช่องโหว่สามารถขยายผลไปยังระบบอื่นในเครือข่ายผ่าน lateral movement ➡️ OWASP จัด prompt injection เป็นช่องโหว่อันดับหนึ่งใน AI systems ➡️ ปริมาณ bot traffic แซงหน้าการใช้งานของมนุษย์ในปี 2024 คิดเป็น 51% ของทั้งหมด ➡️ การป้องกันต้องใช้ CSP headers, whitelisting, และ context-aware validation https://www.csoonline.com/article/4043005/lenovo-chatbot-breach-highlights-ai-security-blind-spots-in-customer-facing-systems.html

🎙️ เมื่อดีไซน์ลับของ Nissan ถูกขโมย – และภัยไซเบอร์ก็ไม่ใช่เรื่องไกลตัวอีกต่อไป เมื่อวันที่ 21 สิงหาคม 2025 กลุ่มแฮกเกอร์ Qilin ได้ออกมาอ้างว่า พวกเขาได้เจาะระบบของ Nissan Creative Box Inc. (CBI) ซึ่งเป็นสตูดิโอออกแบบในโตเกียวที่อยู่ภายใต้บริษัท Nissan Motor Co. และขโมยข้อมูลไปกว่า 4 เทราไบต์ รวมกว่า 405,882 ไฟล์ ข้อมูลที่ถูกขโมยนั้นไม่ใช่แค่เอกสารทั่วไป แต่รวมถึงไฟล์ออกแบบ 3D, ภาพเรนเดอร์ภายในรถ, สเปรดชีตการเงิน, และภาพการใช้งาน VR ในการออกแบบรถยนต์ ซึ่งเป็นข้อมูลลับที่ใช้ในการพัฒนารถต้นแบบและการวางแผนผลิตภัณฑ์ในอนาคต Qilin ขู่ว่าหาก Nissan ไม่ตอบสนองหรือเพิกเฉย พวกเขาจะปล่อยข้อมูลทั้งหมดให้สาธารณะ รวมถึงคู่แข่ง ซึ่งอาจส่งผลกระทบต่อความได้เปรียบทางธุรกิจและชื่อเสียงของ Nissan ในระยะยาว นี่ไม่ใช่ครั้งแรกที่ Qilin โจมตีองค์กรใหญ่ ก่อนหน้านี้พวกเขาเคยโจมตี Synnovis ผู้ให้บริการด้านสุขภาพในอังกฤษ จนทำให้มีผู้เสียชีวิตจากการเลื่อนการรักษา และล่าสุดยังโจมตีบริษัทอุตสาหกรรมในเยอรมนีอีกด้วย เหตุการณ์นี้สะท้อนถึงแนวโน้มใหม่ของการโจมตีแบบเจาะจงเป้าหมาย โดยมุ่งเน้นองค์กรที่มีข้อมูลสำคัญและมีผลกระทบต่อห่วงโซ่อุปทานระดับโลก 📌 สรุปเนื้อหาเป็นหัวข้อ ➡️ กลุ่ม Qilin ransomware อ้างว่าได้ขโมยข้อมูล 4TB จาก Nissan CBI ➡️ ข้อมูลรวมกว่า 405,882 ไฟล์ เช่น ไฟล์ออกแบบ 3D, ภาพเรนเดอร์, สเปรดชีตการเงิน และภาพ VR ➡️ ข้อมูลที่ถูกขโมยเป็นทรัพย์สินทางปัญญาเกี่ยวกับการออกแบบรถยนต์ ➡️ Qilin ขู่ว่าจะปล่อยข้อมูลทั้งหมดหาก Nissan ไม่ตอบสนอง ➡️ Nissan CBI เป็นสตูดิโอออกแบบที่ตั้งอยู่ในย่าน Harajuku โตเกียว ➡️ Creative Box เป็นแหล่งพัฒนาแนวคิดรถยนต์ใหม่ เช่น Nissan Nuvu ➡️ Qilin เคยโจมตี Synnovis ในอังกฤษ ส่งผลกระทบต่อการรักษาพยาบาล ➡️ กลุ่มนี้ใช้โมเดล ransomware-as-a-service และมีเป้าหมายระดับองค์กร ➡️ การโจมตีครั้งนี้อาจส่งผลต่อชื่อเสียงและความสามารถในการแข่งขันของ Nissan ➡️ ยังไม่มีคำแถลงอย่างเป็นทางการจาก Nissan ณ เวลาที่รายงาน ✅ ข้อมูลเสริมจากภายนอก ➡️ Qilin ยังโจมตีบริษัท Spohn + Burkhardt ในเยอรมนีในวันเดียวกัน ➡️ นักวิจัยจาก Cybernews ระบุว่า Qilin เลือกเป้าหมายที่มีข้อมูลสำคัญและมีผลกระทบสูง ➡️ การโจมตีแบบนี้มักใช้การเผยแพร่ข้อมูลบางส่วนเพื่อกดดันให้เหยื่อจ่ายค่าไถ่ ➡️ Creative Box เป็นหนึ่งในบริษัทในเครือที่สำคัญของ Nissan ในญี่ปุ่น ➡️ การออกแบบรถยนต์เป็นข้อมูลที่มีมูลค่าสูงและมักถูกปกป้องอย่างเข้มงวด https://hackread.com/qilin-ransomware-gang-4tb-data-breach-nissan-cbi/

🎙️ เมื่อ AI Browser กลายเป็นเหยื่อ – และ CAPTCHA ก็ไม่ใช่เกราะป้องกันอีกต่อไป ในยุคที่ AI browser อย่าง Comet จาก Perplexity ถูกออกแบบมาเพื่อช่วยผู้ใช้ทำงานออนไลน์ เช่น ซื้อของหรือจัดการอีเมลโดยอัตโนมัติ นักวิจัยจาก Guardio Labs กลับพบว่า AI เหล่านี้สามารถถูกหลอกให้ทำสิ่งอันตรายได้ง่ายกว่าที่คิด การโจมตีแบบใหม่ชื่อว่า “PromptFix” ใช้เทคนิคที่ดูเรียบง่ายแต่แฝงอันตราย นั่นคือ “CAPTCHA ปลอม” ที่ซ่อนคำสั่งอันตรายไว้ใน HTML โดยใช้ CSS เช่น display:none หรือ color:transparent เพื่อซ่อนข้อความที่ AI จะอ่านแต่มนุษย์มองไม่เห็น เมื่อ AI browser เจอ CAPTCHA ปลอมนี้ มันจะเข้าใจว่าเป็นคำสั่งที่ต้องทำตามทันที เช่น “ซื้อ Apple Watch จากเว็บนี้” หรือ “คลิกเพื่อดูผลเลือด” โดยไม่รู้เลยว่าเว็บนั้นเป็น phishing หรือร้านปลอมที่สร้างขึ้นมาเพื่อหลอกให้ AI กรอกข้อมูลบัตรเครดิตของผู้ใช้ นักวิจัยเรียกปรากฏการณ์นี้ว่า “Scamlexity” – การหลอกลวงที่ซับซ้อนขึ้นในยุคที่ AI กลายเป็นผู้ช่วยที่เชื่อฟังโดยไม่ตั้งคำถาม และเมื่อ AI ถูกหลอก ผู้ใช้ก็กลายเป็นเหยื่อโดยไม่รู้ตัว สิ่งที่น่ากลัวคือ ถ้าแฮกเกอร์สามารถหลอก AI ได้หนึ่งตัว ก็สามารถใช้เทคนิคเดียวกันกับผู้ใช้หลายล้านคนที่ใช้ AI ตัวนั้นได้ทันที โดยไม่ต้องหลอกมนุษย์ทีละคนอีกต่อไป 📌 สรุปเนื้อหาเป็นหัวข้อ ➡️ PromptFix เป็นการโจมตีแบบ prompt injection ที่ซ่อนคำสั่งไว้ใน CAPTCHA ปลอม ➡️ AI browser เช่น Comet ถูกหลอกให้คลิก phishing link และซื้อสินค้าจากร้านปลอม ➡️ คำสั่งถูกซ่อนไว้ใน HTML โดยใช้ CSS เพื่อให้มนุษย์มองไม่เห็น แต่ AI อ่านออก ➡️ AI ทำตามคำสั่งทันที เช่น กรอกข้อมูลบัตรเครดิต หรือคลิกลิงก์อันตราย ➡️ การโจมตีใช้เทคนิคจาก social engineering เพื่อหลอก AI โดยตรง ➡️ นักวิจัยเรียกปรากฏการณ์นี้ว่า “Scamlexity” – ความซับซ้อนของการหลอกลวงในยุค AI ➡️ การโจมตีสามารถขยายผลได้ทันทีเมื่อหลอก AI ได้หนึ่งตัว ➡️ AI browser บางครั้งไม่แจ้งเตือนผู้ใช้ก่อนทำธุรกรรม ➡️ CAPTCHA ปลอมถูกออกแบบให้ดูเหมือน “AI-friendly” เพื่อให้ AI ทำงานแทนมนุษย์ ➡️ การโจมตีสามารถนำไปสู่ drive-by download หรือการขโมยข้อมูล ✅ ข้อมูลเสริมจากภายนอก ➡️ PromptFix เป็นวิวัฒนาการจาก ClickFix ซึ่งเคยใช้หลอกมนุษย์ให้รันสคริปต์อันตราย ➡️ AI coding assistant เช่น Lovable ก็เคยถูกหลอกด้วยเทคนิคคล้ายกัน (VibeScamming) ➡️ การโจมตีแบบนี้ไม่พึ่งพาการ glitch โมเดล แต่ใช้การหลอกลวงเชิงบริบท ➡️ นักวิจัยเตือนว่า AI ต้องมีระบบความปลอดภัยตั้งแต่ต้น ไม่ใช่เสริมภายหลัง ➡️ Darktrace ระบุว่า transparency และ explainability คือหัวใจของการป้องกัน AI ‼️ คำเตือนในข่าว ⛔ AI browser ที่ไม่มีระบบตรวจสอบคำสั่งอาจกลายเป็นเครื่องมือของแฮกเกอร์ ⛔ CAPTCHA ปลอมสามารถหลอก AI ได้ง่ายกว่าที่คิด และมนุษย์ไม่สามารถมองเห็นคำสั่งที่ซ่อนอยู่ ⛔ การพึ่งพา AI โดยไม่เข้าใจกลไกภายในอาจทำให้ผู้ใช้ตกเป็นเหยื่อโดยไม่รู้ตัว ⛔ การโจมตีแบบ PromptFix สามารถขยายผลได้ทันทีโดยไม่ต้องหลอกมนุษย์ทีละคน ⛔ หากไม่ออกแบบระบบ AI ให้ปลอดภัยตั้งแต่ต้น การแก้ไขภายหลังอาจไม่ทันต่อภัยคุกคาม https://hackread.com/ai-browsers-trick-paying-fake-stores-promptfix-attack/

เมื่อคืนที่ผ่านมา (20 สิงหาคม 2568) ต่อเนื่องจนถึงรุ่งเช้า กองทัพรัสเซียเปิดฉากโจมตีอย่างหนักอีกครั้งในพื้นที่ของยูเครน มีรายงานการใช้ขีปนาวุธความเร็วเหนือเสียง "Kinzhals" และ "Zircons" ในครั้งนี้ด้วย 🟥ภูมิภาคดนีปรอเปตรอฟสค์ (Dnipropetrovsk) เป้าหมายของการโจมตีของรัสเซียคือโครงสร้างพื้นฐานด้านพลังงานก๊าซ ทำให้โรงงานอุตสาหกรรมได้รับความเสียหายอย่างรุนแรง 🟥ภูมิภาค ลวอฟ (Lvov/Lviv) ซึ่งมีรายงานการระเบิดรุนแรงสามครั้งติดต่อกัน 🟥ภูมิภาคลุตสก์ (Lust) มีรายงานการโจมตีอย่างน้อยสี่ครั้ง ยืนยันโดยนายกเทศมนตรีของเมือง 🟥มีรายงานขีปนาวุธความเร็วเหนือเสียง "Kinzhals" และ "Zircons" อย่างน้อย 4 ลูก โจมตีเป้าหมายในภูมิภาคริฟเน (Rivne)

🎙️ GodRAT – มัลแวร์ที่แฝงตัวในภาพ ส่งผ่าน Skype เพื่อเจาะระบบธุรกิจ ในช่วงปลายปี 2024 ถึงต้นปี 2025 นักวิจัยจาก Kaspersky ได้ค้นพบมัลแวร์ตัวใหม่ชื่อว่า “GodRAT” ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์ผ่านแอป Skype เพื่อเจาะระบบของธุรกิจขนาดเล็กและกลาง (SMBs) ในตะวันออกกลางและเอเชีย GodRAT ถูกซ่อนไว้ในไฟล์ภาพที่ดูเหมือนเอกสารการเงิน โดยใช้เทคนิค “steganography” เพื่อฝัง shellcode ที่เมื่อเปิดใช้งาน จะดาวน์โหลดมัลแวร์จากเซิร์ฟเวอร์ของผู้โจมตี เมื่อมัลแวร์เข้าสู่ระบบ มันจะเก็บข้อมูลสำคัญ เช่น ระบบปฏิบัติการ ชื่อโฮสต์ รายชื่อโปรแกรมป้องกันไวรัส และบัญชีผู้ใช้ จากนั้นสามารถติดตั้งปลั๊กอินเพิ่มเติม เช่น ตัวขโมยรหัสผ่าน หรือโปรแกรมสำรวจไฟล์ และในบางกรณี ยังมีการติดตั้ง AsyncRAT เพื่อเข้าถึงระบบอย่างถาวร นักวิจัยเชื่อว่า GodRAT เป็นวิวัฒนาการของมัลแวร์ AwesomePuppet ที่เชื่อมโยงกับกลุ่มแฮกเกอร์ Winnti (APT41) โดยมีโค้ดคล้ายกับ Gh0st RAT ซึ่งเป็นมัลแวร์เก่าที่ถูกใช้มานานกว่า 15 ปี แม้ว่า Skype จะไม่ใช่ช่องทางหลักในการทำงานอีกต่อไป แต่การใช้แอปที่ไม่ปลอดภัยยังคงเป็นช่องโหว่สำคัญที่องค์กรต้องระวัง 📌 สรุปเนื้อหาเป็นหัวข้อ ➡️ Kaspersky พบมัลแวร์ใหม่ชื่อ GodRAT ถูกส่งผ่าน Skype ในรูปแบบไฟล์ screensaver ➡️ ใช้เทคนิค steganography ซ่อน shellcode ในภาพที่ดูเหมือนเอกสารการเงิน ➡️ เมื่อเปิดไฟล์ มัลแวร์จะดาวน์โหลดจากเซิร์ฟเวอร์ของผู้โจมตี ➡️ GodRAT เก็บข้อมูลระบบ เช่น OS, hostname, antivirus, และบัญชีผู้ใช้ ➡️ สามารถติดตั้งปลั๊กอินเพิ่มเติม เช่น FileManager และ password stealer ➡️ บางกรณีมีการติดตั้ง AsyncRAT เพื่อเข้าถึงระบบอย่างต่อเนื่อง ➡️ เหยื่อส่วนใหญ่คือ SMBs ใน UAE, ฮ่องกง, จอร์แดน และเลบานอน ➡️ GodRAT เป็นวิวัฒนาการจาก AwesomePuppet และมีโค้ดคล้าย Gh0st RAT ➡️ การโจมตีสิ้นสุดการใช้ Skype ในเดือนมีนาคม 2025 และเปลี่ยนไปใช้ช่องทางอื่น ➡️ Source code ของ GodRAT ถูกพบใน VirusTotal ตั้งแต่กรกฎาคม 2024 ✅ ข้อมูลเสริมจากภายนอก ➡️ Gh0st RAT เป็นมัลแวร์ที่มีต้นกำเนิดจากจีน และถูกใช้โดยกลุ่ม APT มานาน ➡️ Steganography เป็นเทคนิคที่นิยมใช้ในการซ่อนมัลแวร์ในไฟล์ภาพหรือเสียง ➡️ AsyncRAT เป็นเครื่องมือควบคุมระยะไกลที่สามารถขโมยข้อมูลและควบคุมระบบ ➡️ การใช้ Skype ในองค์กรลดลง แต่ยังมีบางธุรกิจที่ใช้เป็นช่องทางสื่อสาร ➡️ การโจมตีลักษณะนี้มักเน้นเป้าหมายที่ไม่มีระบบป้องกันระดับสูง https://www.techradar.com/pro/security/still-use-skype-at-work-bad-news-hackers-are-targeting-it-with-dangerous-malware

🎙️ Rapper Bot – จากเครือข่ายโจมตีระดับโลก สู่การล่มสลายด้วยหมายจับเดียว ในเดือนสิงหาคม 2025 Ethan Foltz ชายวัย 22 ปีจากรัฐโอเรกอน ถูกจับกุมโดยเจ้าหน้าที่ของกระทรวงยุติธรรมสหรัฐฯ (DoJ) หลังถูกกล่าวหาว่าเป็นผู้สร้างและบริหาร “Rapper Bot” เครือข่าย DDoS-for-hire ที่ถูกใช้ในการโจมตีมากกว่า 370,000 ครั้งทั่วโลก Rapper Bot เป็นมัลแวร์ที่แพร่กระจายผ่านอุปกรณ์ทั่วไป เช่น DVR และ WiFi router โดยแฮกเกอร์สามารถควบคุมอุปกรณ์เหล่านี้ได้มากถึง 95,000 เครื่อง และใช้เป็นฐานยิงข้อมูลมหาศาลเพื่อโจมตีเป้าหมายแบบ DDoS (Distributed Denial of Service) เป้าหมายของการโจมตีมีตั้งแต่หน่วยงานรัฐบาล สื่อสังคมออนไลน์ ไปจนถึงบริษัทเทคโนโลยีในสหรัฐฯ โดยบางครั้งการโจมตีมีขนาดสูงถึง 6 Tbps ซึ่งสามารถทำให้ระบบล่มได้ภายในไม่กี่วินาที Foltzถูกกล่าวหาว่าให้บริการเช่าเครือข่ายนี้แก่ลูกค้าทั่วโลกในรูปแบบ “DDoS-for-hire” และบางรายยังใช้เพื่อข่มขู่เรียกค่าไถ่จากเหยื่อด้วย การจับกุมครั้งนี้เป็นส่วนหนึ่งของปฏิบัติการ PowerOFF ซึ่งเป็นความร่วมมือระหว่างหน่วยงานระหว่างประเทศในการปราบปรามบริการ DDoS-for-hire โดยก่อนหน้านี้ในปี 2024 มีการยึดโดเมนที่เกี่ยวข้องถึง 27 แห่ง 📌 สรุปเนื้อหาเป็นหัวข้อ ➡️ Ethan Foltz อายุ 22 ปี ถูกจับในรัฐโอเรกอน ฐานสร้างและบริหาร Rapper Bot ➡️ Rapper Bot เป็นเครือข่าย DDoS-for-hire ที่ควบคุมอุปกรณ์ได้ถึง 95,000 เครื่อง ➡️ ใช้มัลแวร์เจาะ DVR และ WiFi router เพื่อสร้าง botnet ➡️ มีการโจมตีมากกว่า 370,000 ครั้งต่อ 18,000 เหยื่อใน 80 ประเทศ ➡️ ขนาดการโจมตีสูงสุดถึง 6 Tbps ซึ่งถือว่าใหญ่ที่สุดในประวัติศาสตร์ DDoS ➡️ เป้าหมายรวมถึงหน่วยงานรัฐบาล สื่อสังคม และบริษัทเทคโนโลยีสหรัฐฯ ➡️ ลูกค้าบางรายใช้ Rapper Bot เพื่อข่มขู่เรียกค่าไถ่จากเหยื่อ ➡️ การจับกุมเป็นส่วนหนึ่งของปฏิบัติการ PowerOFF ที่ปราบปรามบริการ DDoS-for-hire ➡️ หลังการจับกุม ไม่มีรายงานการโจมตีจาก Rapper Bot เพิ่มเติม ➡️ Foltz ถูกตั้งข้อหาสนับสนุนการบุกรุกระบบคอมพิวเตอร์ และอาจถูกจำคุกสูงสุด 10 ปี ✅ ข้อมูลเสริมจากภายนอก ➡️ DDoS ขนาด 2–3 Tbps สามารถทำให้เว็บไซต์หรือบริการล่มได้ภายในไม่กี่วินาที ➡️ ค่าเสียหายจากการโจมตี 30 วินาทีอาจสูงถึง $10,000 ต่อครั้ง ➡️ Botnet ที่ใช้ IoT device เป็นเป้าหมายหลัก เพราะมีความปลอดภัยต่ำ ➡️ Rapper Bot เคยถูกเรียกอีกชื่อว่า “Eleven Eleven Botnet” และ “CowBot” ➡️ การจับกุมครั้งนี้ได้รับการสนับสนุนจากหน่วยงานความมั่นคงของกระทรวงกลาโหมสหรัฐฯ https://www.techradar.com/pro/security/hacker-behind-rapper-bot-ddos-for-hire-botnet-which-carried-out-over-370-000-attacks-arrested

พลตรีวินธัย สุวารี โฆษกกองทัพบก เผยถึงการนำคณะผู้สังเกตการณ์ชั่วคราว(IOT) 8 ประเทศ ลงพื้นที่ จ.สุรินทร์ ได้แสดงให้เห็นเจตนาและข้อควรพิจารณา 3 เรื่องหลัก คือ 1.การโจมตีของกัมพูชามายังโรงพยาบาล บ้านเรือนประชาชน 2.ข่าวปลอม ส่งผลให้เกิดความรุนแรงความขัดแย้งมากกว่าใช้อาวุธ และ 3.การยั่วยุที่ยังเกิดขึ้นเรื่อยๆ การเติมกำลังช่องอานม้าที่ยังคงตอบโต้กันไปมาให้หมดความอดกลั้น และ การลอบวางทุ่นระเบิด PMN-2 ซึ่งชี้ให้เห็นเจตนาของกัมพูชาอย่างชัดเจน -มีหลายอย่างไม่คาดคิด -คลิปทหารเขมรหลักฐานชั้นดี -ผวาสงครามแห่ขายโค-กระบือ -ขอพื้นที่ทำมาหากิน

🕵️‍♂️ น้ำที่ไม่ปลอดภัย – เมื่อไซเบอร์สงครามเริ่มจากก๊อกน้ำ ในเดือนสิงหาคม 2025 เกิดเหตุการณ์สองครั้งที่สะท้อนถึงภัยคุกคามไซเบอร์ต่อโครงสร้างพื้นฐานด้านน้ำในยุโรป ซึ่งเชื่อมโยงกับกลุ่มแฮกเกอร์ที่สนับสนุนรัสเซีย เหตุการณ์แรกเกิดขึ้นที่เขื่อน Bremanger ในนอร์เวย์ เมื่อมีผู้เจาะระบบควบคุมและเปิดวาล์วปล่อยน้ำเป็นเวลาราว 4 ชั่วโมง แม้จะไม่มีความเสียหาย แต่แสดงให้เห็นว่าผู้โจมตีสามารถควบคุมระบบจริงได้ โดยมีวิดีโอเผยแพร่บน Telegram ซึ่งเชื่อมโยงกับกลุ่ม Z-Pentest Alliance ที่มีแนวโน้มสนับสนุนรัสเซีย เหตุการณ์ที่สองเกิดขึ้นในโปแลนด์ เมื่อรองนายกรัฐมนตรี Krzysztof Gawkowski เปิดเผยว่ามีความพยายามโจมตีระบบน้ำของเมืองใหญ่แห่งหนึ่ง แต่ถูกสกัดไว้ได้ทันเวลา เขาเปรียบเทียบว่า “รัสเซียอาจไม่ส่งรถถัง แต่ส่งมัลแวร์แทน” ผู้เชี่ยวชาญเตือนว่า การโจมตีลักษณะนี้เป็น “การหยั่งเชิง” ที่อาจนำไปสู่การโจมตีขนาดใหญ่ในอนาคต โดยเฉพาะระบบน้ำที่มักขาดงบประมาณและบุคลากรด้านไซเบอร์ แม้ผู้โจมตีจะดูเหมือนมือสมัครเล่น แต่การควบคุมระบบจริงได้เป็นเรื่องที่อันตรายมาก และการใช้ช่องโหว่ เช่น รหัสผ่านอ่อนแอ หรือ HMI ที่เปิดให้เข้าถึงผ่านอินเทอร์เน็ต เป็นจุดอ่อนที่พบได้ทั่วไป 📌 สรุปเนื้อหาเป็นหัวข้อ ➡️ เกิดเหตุโจมตีไซเบอร์ที่เขื่อน Bremanger ในนอร์เวย์ โดยเปิดวาล์วปล่อยน้ำ 4 ชั่วโมง ➡️ โปแลนด์สกัดการโจมตีระบบน้ำของเมืองใหญ่ได้ทันเวลา ➡️ กลุ่ม Z-Pentest Alliance ถูกเชื่อมโยงกับการโจมตีในนอร์เวย์ ➡️ วิดีโอการโจมตีถูกเผยแพร่บน Telegram พร้อมเพลงรัสเซีย ➡️ ผู้โจมตีใช้ HMI ที่เปิดผ่านอินเทอร์เน็ตและรหัสผ่านอ่อนแอ ➡️ ไม่มีความเสียหายทางกายภาพ แต่มีการควบคุมระบบจริง ➡️ ผู้เชี่ยวชาญเตือนว่าเป็นการ “หยั่งเชิง” ก่อนการโจมตีใหญ่ ➡️ ระบบน้ำเป็นโครงสร้างพื้นฐานที่สำคัญแต่ขาดการป้องกัน ➡️ สหรัฐฯ และยุโรปควรใช้เหตุการณ์นี้เป็นสัญญาณเตือน ➡️ โครงการ Cyber Peace Initiative และ DEF CON Franklin เสนอความช่วยเหลือฟรีแก่ระบบน้ำ ✅ ข้อมูลเสริมจากภายนอก ➡️ โปแลนด์เผชิญการโจมตีไซเบอร์จากรัสเซียวันละ 300 ครั้ง ➡️ ในปี 2024 รัสเซียเคยโจมตีระบบน้ำในเท็กซัสจนถังน้ำล้น ➡️ ระบบน้ำในสหรัฐฯ ส่วนใหญ่ไม่ได้รับการตรวจสอบไซเบอร์เต็มรูปแบบ ➡️ การโจมตีระบบ OT (Operational Technology) มักใช้กลุ่มแฮกเกอร์มือสมัครเล่นเป็นตัวแทน ➡️ การโจมตีระบบน้ำสามารถสร้างความหวาดกลัวและบั่นทอนความเชื่อมั่นของประชาชน ➡️ การควบคุมวาล์วแบบเรียลไทม์แสดงถึงความเสี่ยงเชิงปฏิบัติการที่ร้ายแรง https://www.csoonline.com/article/4042449/russia-linked-european-attacks-renew-concerns-over-water-cybersecurity.html

🧨 DripDropper – มัลแวร์สายแสบที่ “เจาะแล้วเย็บ” เพื่อครองเซิร์ฟเวอร์ มัลแวร์ตัวใหม่ชื่อว่า DripDropper ถูกค้นพบโดยทีม Red Canary ซึ่งมีพฤติกรรมแปลกประหลาด: มันเจาะช่องโหว่ใน Apache ActiveMQ เพื่อเข้าถึงเซิร์ฟเวอร์ Linux จากนั้น...มัน “แพตช์” ช่องโหว่นั้นเอง เพื่อกันไม่ให้แฮกเกอร์คนอื่นเข้ามาได้อีก ช่องโหว่ที่ใช้คือ CVE-2023-46604 ซึ่งเป็นช่องโหว่ระดับวิกฤตในโปรโตคอล OpenWire ของ ActiveMQ ที่เปิดให้รันคำสั่ง shell ได้โดยไม่ต้องยืนยันสิทธิ์ แม้จะถูกแพตช์มาตั้งแต่ปี 2023 แต่ยังมีหลายระบบที่ไม่ได้อัปเดต หลังจากเจาะเข้าไปได้ DripDropper จะติดตั้ง Sliver implant เพื่อควบคุมระบบแบบลับ ๆ และเปลี่ยนค่า sshd ให้สามารถล็อกอินแบบ root ได้ จากนั้นจะดาวน์โหลดไฟล์มัลแวร์ที่ถูกเข้ารหัสไว้จาก Dropbox โดยใช้ bearer token แบบ hardcoded DripDropper จะปล่อยไฟล์มัลแวร์สองตัว: ตัวแรกใช้ cron job เพื่อรันอย่างต่อเนื่องและติดต่อ Dropbox เพื่อรับคำสั่งใหม่ ส่วนตัวที่สองมีชื่อสุ่ม 8 ตัวอักษร และปรับแต่ง SSH เพื่อเปิดช่องทางลับผ่านบัญชี “games” สุดท้าย มัลแวร์จะดาวน์โหลดไฟล์ JAR ที่ถูกแพตช์จาก Apache Maven เพื่อแทนที่ไฟล์เดิมที่มีช่องโหว่ ทำให้ระบบดูเหมือนปลอดภัยจาก vulnerability scanner แต่จริง ๆ แล้วถูกควบคุมโดยแฮกเกอร์ไปแล้ว 📌 สรุปเนื้อหาเป็นหัวข้อ ➡️ DripDropper เป็นมัลแวร์ที่โจมตีระบบ Linux ผ่านช่องโหว่ CVE-2023-46604 ใน Apache ActiveMQ ➡️ ช่องโหว่นี้เปิดให้รันคำสั่ง shell โดยไม่ต้องยืนยันสิทธิ์ ➡️ หลังเจาะเข้าไป มัลแวร์จะติดตั้ง Sliver implant เพื่อควบคุมระบบ ➡️ ปรับแต่ง sshd ให้ล็อกอินแบบ root ได้ ➡️ ดาวน์โหลดมัลแวร์จาก Dropbox โดยใช้ bearer token แบบ hardcoded ➡️ DripDropper เป็นไฟล์ PyInstaller ELF ที่ต้องใช้รหัสผ่านในการรัน ➡️ ปล่อยไฟล์มัลแวร์สองตัว: ตัวหนึ่งใช้ cron job และอีกตัวปรับแต่ง SSH ผ่านบัญชี “games” ➡️ ดาวน์โหลดไฟล์ JAR ที่ถูกแพตช์จาก Apache Maven เพื่อปิดช่องโหว่ ➡️ การแพตช์ช่องโหว่ช่วยปิดทางให้แฮกเกอร์คนอื่นเข้าไม่ได้ และหลบการตรวจจับ ✅ ข้อมูลเสริมจากภายนอก ➡️ Sliver เป็นเครื่องมือ pentest ที่ถูกใช้โดยแฮกเกอร์เพื่อควบคุมระบบแบบลับ ➡️ การใช้ Dropbox เป็นช่องทางควบคุมมัลแวร์พบในมัลแวร์อื่น เช่น CHIMNEYSWEEP และ Mustang Panda ➡️ การแพตช์หลังการโจมตีเคยเกิดขึ้นในยุค 1990s ระหว่างกลุ่มไวรัสที่แข่งขันกัน ➡️ ช่องโหว่ CVE-2023-46604 ได้รับคะแนน CVSS 10 เต็ม ถือว่าอันตรายสูงสุด ➡️ การใช้ cron job ใน /etc/cron.* เป็นวิธีทั่วไปในการทำให้มัลแวร์รันต่อเนื่อง ➡️ การเปลี่ยน shell ของบัญชี “games” เป็น /bin/sh เปิดช่องให้รันคำสั่งลับ https://hackread.com/dripdropper-malware-exploits-linux-flaw-patche-lock-out/

อิหร่านประกาศกร้าวพร้อมรับมือกับการโจมตีรอบใหม่ใดๆของอิสราเอล และขู่จะใช้ขีปนาวุธใหม่ที่พัฒนาขึ้นมาเอง ซึ่งมีศักยภาพเหนือกว่าขีปนาวุธที่ใช้ระหว่างสงคราม 12 วันระหว่าง 2 ชาติเมื่อเร็วๆนี้มากมายหลายเท่า . อ่านเพิ่มเติม..https://sondhitalk.com/detail/9680000079561 #Sondhitalk #SondhiX #คุยทุกเรื่องกับสนธิ #สนธิเล่าเรื่อง #Thaitimes #กัมพูชายิงก่อน #ไทยนี้รักสงบแต่ถึงรบไม่ขลาด #CambodiaOpenedFire

องค์การอนามัยโลก WHO เผยแพร่ภาพแสดงสถานพยาบาลของไทยถูกโจมตีในวันที่ 24 กค 68 โดยอาวุธหนัก อย่างน้อย 5 ครั้ง ส่งผลกระทบต่อสถานพยาบาล ผู้ป่วย และการเข้าถึงเวชภัณฑ์ ตอกย้ำให้ชาวโลกรับรู้ว่า กัมพูชาก่ออาชญากรรมสงคราม ละเมิดอนุสัญญาเจนีวาข้อ 18 ที่ห้ามการโจมตีโรงพยาบาลพลเรือน #คิงส์โพธิ์แดง

🧠 Microsoft Entra Private Access – เปลี่ยนการเข้าถึง Active Directory แบบเดิมให้ปลอดภัยยิ่งขึ้น ในยุคที่องค์กรกำลังเปลี่ยนผ่านสู่ระบบคลาวด์ ความปลอดภัยของระบบภายในองค์กรก็ยังคงเป็นเป้าหมายของแฮกเกอร์ โดยเฉพาะ Active Directory ที่ยังคงถูกใช้งานอย่างแพร่หลายในหน่วยงานรัฐและองค์กรขนาดใหญ่ Microsoft จึงเปิดตัว “Entra Private Access” ซึ่งเป็นฟีเจอร์ใหม่ที่นำความสามารถด้าน Conditional Access และ Multi-Factor Authentication (MFA) จากระบบคลาวด์ มาสู่ระบบ Active Directory ที่อยู่ภายในองค์กร (on-premises) โดยใช้แนวคิด Zero Trust Network Access (ZTNA) แต่ก่อนจะใช้งานได้ องค์กรต้อง “ล้าง NTLM” ออกจากระบบให้หมด และเปลี่ยนมาใช้ Kerberos แทน เพราะ NTLM เป็นโปรโตคอลเก่าที่มีช่องโหว่ด้านความปลอดภัยสูง การติดตั้ง Entra Private Access ต้องมีการกำหนดค่าเครือข่าย เช่น เปิดพอร์ต TCP 1337 บน Firewall, ระบุ Service Principal Name (SPN) ของแอปภายใน และติดตั้ง Private Access Sensor บน Domain Controller รวมถึงต้องใช้เครื่องลูกข่ายที่เป็น Windows 10 ขึ้นไป และเชื่อมต่อกับ Microsoft Entra ID แม้จะดูซับซ้อน แต่การเปลี่ยนผ่านนี้จะช่วยให้องค์กรสามารถควบคุมการเข้าถึงระบบภายในได้อย่างปลอดภัยมากขึ้น ลดการพึ่งพา VPN แบบเดิม และเตรียมพร้อมสู่การป้องกันภัยไซเบอร์ในระดับสูง ➡️ Microsoft เปิดตัว Entra Private Access สำหรับ Active Directory ภายในองค์กร ➡️ ฟีเจอร์นี้นำ Conditional Access และ MFA จากคลาวด์มาใช้กับระบบ on-premises ➡️ ใช้แนวคิด Zero Trust Network Access (ZTNA) เพื่อควบคุมการเข้าถึง ➡️ ต้องลบ NTLM ออกจากระบบและใช้ Kerberos แทนเพื่อใช้งานฟีเจอร์นี้ ➡️ เปิดพอร์ต TCP 1337 บน Firewall และกำหนด SPN ของแอปภายใน ➡️ ต้องใช้เครื่องลูกข่าย Windows 10+ ที่เชื่อมต่อกับ Microsoft Entra ID ➡️ รองรับ Windows 10, 11 และ Android ส่วน macOS/iOS ยังอยู่ในช่วงทดลอง ➡️ เอกสารการติดตั้งฉบับเต็มเผยแพร่เมื่อเดือนกรกฎาคม 2025 ➡️ สามารถใช้ trial license ทดสอบการติดตั้งแบบ proof of concept ได้ ➡️ NTLM เป็นโปรโตคอลเก่าที่มีช่องโหว่ เช่น relay attack และ credential theft ➡️ Kerberos ใช้ระบบ ticket-based authentication ที่ปลอดภัยกว่า ➡️ Zero Trust เป็นแนวคิดที่ไม่เชื่อถืออัตโนมัติแม้จะอยู่ในเครือข่ายองค์กร ➡️ VPN แบบเดิมมีความเสี่ยงจากการถูกเจาะระบบและไม่รองรับการควบคุมแบบละเอียด ➡️ การใช้ SPN ช่วยระบุแอปภายในที่ต้องการป้องกันได้อย่างแม่นยำ ➡️ การบังคับใช้ MFA ช่วยลดความเสี่ยงจากการโจมตีด้วยรหัสผ่านที่รั่วไหล https://www.csoonline.com/article/4041752/microsoft-entra-private-access-brings-conditional-access-to-on-prem-active-directory.html

🧨 ช่องโหว่ RCE เดือนสิงหาคม 2025: เมื่อระบบสำคัญถูกเปิดช่องให้แฮกเกอร์ควบคุมจากระยะไกล ใน Patch Tuesday เดือนสิงหาคม 2025 Microsoft ได้ออกแพตช์แก้ไขช่องโหว่กว่า 107 รายการ โดยมี 13 รายการจัดเป็นระดับ “วิกฤต” และหนึ่งในนั้นคือช่องโหว่ CVE-2025-53779 ซึ่งเป็นช่องโหว่แบบ zero-day ในระบบ Windows Kerberos ที่ใช้ใน Active Directory ช่องโหว่นี้เกิดจากการจัดการ path traversal ใน dMSA (Delegated Managed Service Account) ที่ผิดพลาด ทำให้ผู้โจมตีที่มีสิทธิ์ระดับสูงสามารถปรับแต่งความสัมพันธ์ของบัญชีบริการ และยกระดับสิทธิ์จนกลายเป็น domain admin ได้ ซึ่งหมายถึงการควบคุมระบบเครือข่ายทั้งหมด แม้ Microsoft จะประเมินว่า “การโจมตีจริงยังไม่น่าจะเกิดขึ้น” แต่มี proof-of-concept ที่ใช้งานได้แล้ว และนักวิจัยจาก Akamai ได้เปิดเผยกลไกการโจมตีตั้งแต่เดือนพฤษภาคม ทำให้ช่องโหว่นี้กลายเป็นความเสี่ยงระดับสูงสำหรับองค์กรที่ใช้ Windows Server 2025 อีกด้านหนึ่ง Veeam ก็พบช่องโหว่ CVE-2025-23120 ซึ่งเปิดช่องให้ผู้ใช้ที่อยู่ในโดเมนสามารถโจมตี Backup Server ได้จากระยะไกล โดยไม่ต้องมีสิทธิ์ระดับ admin ช่องโหว่นี้มีคะแนน CVSS สูงถึง 9.9 และกระทบกับ Veeam Backup & Replication เวอร์ชัน 12.3.0.310 และก่อนหน้านั้นทั้งหมด ✅ ข้อมูลจากข่าวหลัก ➡️ Microsoft แก้ไขช่องโหว่ 107 รายการใน Patch Tuesday เดือนสิงหาคม 2025 ➡️ ช่องโหว่ CVE-2025-53779 เป็น zero-day ใน Windows Kerberos ที่ใช้ใน Active Directory ➡️ ช่องโหว่เกิดจาก path traversal ใน dMSA ทำให้สามารถยกระดับสิทธิ์เป็น domain admin ➡️ ช่องโหว่นี้มี proof-of-concept และถูกเปิดเผยโดย Akamai ตั้งแต่พฤษภาคม ➡️ Veeam พบช่องโหว่ CVE-2025-23120 ซึ่งเปิดช่องให้โจมตี Backup Server จากระยะไกล ➡️ ช่องโหว่ Veeam มีคะแนน CVSS 9.9 และกระทบกับเวอร์ชัน 12.3.0.310 และก่อนหน้านั้น ➡️ Veeam แนะนำให้อัปเดตเป็นเวอร์ชัน 12.3.1.1139 เพื่อแก้ไขช่องโหว่ ✅ ข้อมูลเสริมจากภายนอก ➡️ Kerberos เป็นระบบยืนยันตัวตนหลักใน Windows ที่ใช้ในองค์กรทั่วโลก ➡️ ช่องโหว่ใน dMSA อาจถูกใช้เป็นส่วนหนึ่งของ multi-exploit chain เพื่อควบคุมระบบ ➡️ CISA เคยเตือนว่า Kerberoasting เป็นวิธีที่เร็วที่สุดในการยกระดับสิทธิ์ในเครือข่าย ➡️ Veeam เป็นซอฟต์แวร์สำรองข้อมูลที่ใช้ในองค์กรขนาดใหญ่และศูนย์ข้อมูล ➡️ ช่องโหว่ใน Veeam อาจถูก reverse-engineer ได้หลังจากแพตช์ถูกปล่อย ➡️ การโจมตี RCE แบบไม่ต้องมี interaction จากผู้ใช้ถือเป็นภัยคุกคามระดับสูง https://research.kudelskisecurity.com/2025/08/19/how-we-exploited-coderabbit-from-a-simple-pr-to-rce-and-write-access-on-1m-repositories/

🚨 ช่องโหว่ CVE-2025-20265 ใน Cisco FMC: เมื่อระบบป้องกันกลายเป็นช่องทางโจมตี Cisco ได้ออกประกาศเตือนถึงช่องโหว่ร้ายแรงใน Secure Firewall Management Center (FMC) ซึ่งเป็นระบบจัดการไฟร์วอลล์แบบรวมศูนย์ที่ใช้กันในองค์กรและหน่วยงานรัฐบาลทั่วโลก โดยช่องโหว่นี้อยู่ในระบบยืนยันตัวตนผ่าน RADIUS ซึ่งเป็นโปรโตคอลที่ใช้เชื่อมต่อกับเซิร์ฟเวอร์ภายนอกเพื่อจัดการบัญชีผู้ใช้ ช่องโหว่นี้เกิดจากการจัดการข้อมูลที่ผู้ใช้กรอกระหว่างการล็อกอินไม่ดีพอ ทำให้แฮกเกอร์สามารถส่งข้อมูลที่ถูกออกแบบมาเฉพาะเพื่อสั่งให้ระบบรันคำสั่ง shell โดยไม่ต้องยืนยันตัวตนเลย ซึ่งหมายความว่าแฮกเกอร์สามารถควบคุมระบบได้ทันทีหาก FMC ถูกตั้งค่าให้ใช้ RADIUS สำหรับการล็อกอินผ่านเว็บหรือ SSH ช่องโหว่นี้ถูกระบุเป็น CVE-2025-20265 และได้รับคะแนนความรุนแรงเต็ม 10/10 จาก Cisco โดยส่งผลกระทบต่อเวอร์ชัน 7.0.7 และ 7.7.0 ของ FMC เท่านั้น หากมีการเปิดใช้ RADIUS authentication Cisco ได้ออกแพตช์แก้ไขแล้ว และแนะนำให้ผู้ใช้ที่ไม่สามารถติดตั้งแพตช์ได้ให้ปิดการใช้งาน RADIUS แล้วเปลี่ยนไปใช้ระบบยืนยันตัวตนแบบอื่น เช่น LDAP หรือบัญชีผู้ใช้ภายในแทน ✅ ข้อมูลจากข่าวหลัก ➡️ ช่องโหว่ CVE-2025-20265 อยู่ในระบบ RADIUS authentication ของ Cisco FMC ➡️ ช่องโหว่นี้เปิดช่องให้แฮกเกอร์ส่งคำสั่ง shell โดยไม่ต้องยืนยันตัวตน ➡️ ส่งผลกระทบต่อ FMC เวอร์ชัน 7.0.7 และ 7.7.0 ที่เปิดใช้ RADIUS สำหรับเว็บหรือ SSH ➡️ Cisco ให้คะแนนความรุนแรง 10/10 และแนะนำให้ติดตั้งแพตช์ทันที ➡️ หากไม่สามารถติดตั้งแพตช์ได้ ให้ปิด RADIUS และใช้ LDAP หรือ local accounts แทน ➡️ ช่องโหว่นี้ถูกค้นพบโดยนักวิจัยของ Cisco เอง และยังไม่มีรายงานการโจมตีจริงในขณะนี้ ➡️ Cisco ยังออกแพตช์แก้ไขช่องโหว่อื่นๆ อีก 13 รายการในผลิตภัณฑ์ต่างๆ ✅ ข้อมูลเสริมจากภายนอก ➡️ RADIUS เป็นโปรโตคอลยอดนิยมในองค์กรที่ต้องการควบคุมการเข้าถึงจากศูนย์กลาง ➡️ ช่องโหว่ลักษณะนี้จัดอยู่ในกลุ่ม “command injection” ซึ่งเป็นหนึ่งในช่องโหว่ที่อันตรายที่สุด ➡️ การโจมตีแบบนี้สามารถใช้เพื่อเข้าถึงข้อมูลลับหรือควบคุมระบบเครือข่ายทั้งหมด ➡️ Cisco แนะนำให้ผู้ใช้ทดสอบการเปลี่ยนระบบยืนยันตัวตนก่อนใช้งานจริง ➡️ ช่องโหว่นี้ไม่ส่งผลต่อ Cisco ASA หรือ FTD ซึ่งใช้ระบบจัดการคนละแบบ ➡️ การใช้ SAML หรือ LDAP อาจช่วยลดความเสี่ยงในระบบองค์กรได้ https://www.techradar.com/pro/security/cisco-warns-of-worrying-major-security-flaw-in-firewall-command-center-so-patch-now

🧠 ยุคแห่งการแฮกด้วย AI มาถึงแล้ว: เมื่อทั้งฝ่ายดีและร้ายใช้ AI ในสงครามไซเบอร์ ในปี 2025 โลกไซเบอร์กำลังเข้าสู่ยุคใหม่ที่ AI ไม่ได้เป็นแค่เครื่องมือช่วยงานทั่วไปอีกต่อไป แต่กลายเป็นอาวุธในสงครามระหว่างแฮกเกอร์และผู้ป้องกันระบบ โดยรายงานจาก NBC และ Tom’s Hardware ระบุว่า AI โดยเฉพาะ LLMs (Large Language Models) เช่น ChatGPT, Gemini และ Big Sleep ถูกนำมาใช้ทั้งในการค้นหาช่องโหว่และสร้างมัลแวร์ ตัวอย่างที่ชัดเจนคือกรณีของรัสเซียที่ฝังโปรแกรม AI ลงในอีเมลฟิชชิ่งเพื่อค้นหาไฟล์ลับในคอมพิวเตอร์ของเหยื่อโดยอัตโนมัติ หรือกรณีของเกาหลีเหนือที่ใช้ AI สร้างโปรไฟล์ปลอมเพื่อสมัครงานในบริษัทเทคโนโลยีตะวันตก แล้วใช้ AI สื่อสารกับเพื่อนร่วมงานเพื่อหลอกลวงข้อมูล ในฝั่งของผู้ป้องกัน Google ใช้ AI “Big Sleep” ค้นพบช่องโหว่กว่า 20 จุดในซอฟต์แวร์โอเพ่นซอร์ส เช่น FFmpeg และ ImageMagick โดยไม่มีมนุษย์เข้าไปช่วยในขั้นตอนแรกเลย ส่วน CrowdStrike และ ReliaQuest ก็ใช้ AI ช่วยวิเคราะห์เหตุการณ์และลดภาระงานที่ไม่จำเป็นให้กับทีมรักษาความปลอดภัย อย่างไรก็ตาม AI ยังไม่สามารถค้นพบช่องโหว่ใหม่ที่มนุษย์ไม่เคยรู้มาก่อน และยังสร้าง “AI slop” หรือรายงานปลอมจำนวนมากที่ทำให้นักพัฒนาซอฟต์แวร์ต้องเสียเวลาไปกับการตรวจสอบข้อมูลที่ไม่มีคุณภาพ ✅ ข้อมูลจากข่าวหลัก ➡️ แฮกเกอร์จากหลายประเทศเริ่มใช้ AI ในการโจมตีไซเบอร์ เช่น รัสเซีย, เกาหลีเหนือ, จีน และอิหร่าน ➡️ รัสเซียใช้ AI ฝังในอีเมลฟิชชิ่งเพื่อค้นหาไฟล์ลับในคอมพิวเตอร์เหยื่อ ➡️ เกาหลีเหนือใช้ AI สร้างโปรไฟล์ปลอมเพื่อสมัครงานในบริษัทเทคโนโลยีตะวันตก ➡️ Google ใช้ AI “Big Sleep” ค้นพบช่องโหว่กว่า 20 จุดในซอฟต์แวร์โอเพ่นซอร์ส ➡️ CrowdStrike และ ReliaQuest ใช้ AI ช่วยวิเคราะห์และตอบสนองต่อเหตุการณ์ไซเบอร์ ➡️ AI ช่วยให้การค้นหาช่องโหว่เร็วขึ้น แต่ยังไม่สามารถค้นพบสิ่งใหม่ที่มนุษย์ไม่รู้ ➡️ HackerOne เริ่มแยกอันดับระหว่างนักวิจัยเดี่ยวกับกลุ่ม AI เช่น Xbow ➡️ ปริมาณรายงานช่องโหว่ปลอมจาก AI เพิ่มขึ้นถึง 20% ในปี 2025 ✅ ข้อมูลเสริมจากภายนอก ➡️ Google Gemini และ DeepMind ร่วมกันพัฒนา Big Sleep เพื่อค้นหาช่องโหว่ก่อนที่แฮกเกอร์จะเจอ ➡️ ช่องโหว่ CVE-2025-6965 ใน SQLite ถูก AI ค้นพบก่อนถูกโจมตีจริง ➡️ AI ถูกใช้สร้าง deepfake เสียงและวิดีโอในแคมเปญฟิชชิ่งขั้นสูง ➡️ 87% ของผู้บริหาร IT กังวลเรื่องสงครามไซเบอร์ที่ใช้ AI เป็นอาวุธ ➡️ 85% ของเทคนิคโจมตีสามารถหลบหลีกเครื่องมือรักษาความปลอดภัยแบบเดิมได้ ➡️ Amazon และบริษัทใหญ่เชื่อว่า AI agents จะเปลี่ยนวิธีทำงานของมนุษย์ในทุกอุตสาหกรรม https://www.tomshardware.com/tech-industry/cyber-security/report-claims-the-era-of-ai-hacking-has-arrived-good-and-bad-actors-leveraging-ai-in-cybersecurity-arms-race

🔐 Anna’s Archive ยังอยู่ และยังสู้: อัปเดตล่าสุดจากทีมงาน ในเดือนสิงหาคม 2025 ทีมงาน Anna’s Archive ออกมาอัปเดตสถานการณ์ล่าสุดผ่านบล็อกของพวกเขา โดยระบุว่ากำลังเผชิญ “การโจมตีที่เพิ่มขึ้น” ต่อภารกิจของพวกเขาในการปกป้องและเผยแพร่ความรู้ของมนุษยชาติ ตั้งแต่เริ่มต้นในปี 2022 พวกเขาได้ “ปลดปล่อย” หนังสือ บทความวิชาการ นิตยสาร และหนังสือพิมพ์หลายสิบล้านรายการจากแหล่งต่าง ๆ เช่น Internet Archive, HathiTrust, DuXiu และอื่น ๆ ผ่านการ scrape และการแชร์แบบ torrent นอกจากนี้ยังได้รวบรวม metadata จากแหล่งใหญ่ที่สุดในโลก เช่น WorldCat และ Google Books เพื่อระบุว่าหนังสือเล่มใดยังขาดหาย และควรได้รับการช่วยเหลือก่อน ทีมงานยังได้สร้างพันธมิตรกับ LibGen forks, STC/Nexus และ Z-Library เพื่อแลกเปลี่ยนไฟล์และ mirror ข้อมูลซึ่งช่วยให้ความรู้เหล่านี้ไม่สูญหายไปจากโลก แม้จะมีข่าวเศร้าคือหนึ่งใน LibGen forks ได้หายไปโดยไม่ทราบสาเหตุ มีผู้เล่นใหม่ชื่อ WeLib ที่ใช้โค้ดของ Anna’s Archive และ mirror ข้อมูล แต่ไม่ได้แบ่งปันอะไรกลับคืนสู่ระบบนิเวศ ทีมงานจึงแนะนำให้ “ใช้ด้วยความระมัดระวัง” และไม่แนะนำให้ใช้งาน ขณะนี้ยังมีข้อมูลใหม่หลายร้อยเทราไบต์รอการประมวลผล และทีมงานเชิญชวนผู้สนใจให้เข้าร่วมเป็นอาสาสมัครหรือบริจาคเพื่อช่วยให้โครงการดำเนินต่อไปได้ ✅ ความเคลื่อนไหวล่าสุดของ Anna’s Archive ➡️ เผชิญการโจมตีต่อภารกิจในการปกป้องความรู้ของมนุษยชาติ ➡️ ดำเนินการ harden ระบบ infrastructure และความปลอดภัยเชิงปฏิบัติการ ➡️ ได้ scrape ไฟล์จาก IA CDL, HathiTrust, DuXiu และอื่น ๆ รวมหลายสิบล้านรายการ ➡️ รวบรวม metadata จาก WorldCat และ Google Books เพื่อระบุหนังสือที่ยังขาด ➡️ สร้างพันธมิตรกับ LibGen forks, STC/Nexus และ Z-Library เพื่อ mirror ข้อมูล ➡️ มีข้อมูลใหม่หลายร้อยเทราไบต์รอการประมวลผล ➡️ เชิญชวนให้ร่วมเป็นอาสาสมัครหรือบริจาคผ่านหน้า Volunteering และ Donate ➡️ Anna’s Archive มีหนังสือกว่า 51 ล้านเล่ม และบทความวิชาการกว่า 98 ล้านรายการ ➡️ ส่งผลต่อการวิจัยทั่วโลก โดยช่วยลดช่องว่างระหว่างมหาวิทยาลัยใหญ่กับสถาบันเล็ก ➡️ นักวิจัยรายงานว่าใช้เวลาทำ literature review ลดลงถึง 60–80% ➡️ ส่งเสริมการวิจัยข้ามสาขาเพิ่มขึ้นกว่า 40% ➡️ บางมหาวิทยาลัยเริ่มปรับบทบาทห้องสมุดจากการเก็บหนังสือ สู่การฝึกทักษะดิจิทัล ➡️ ผู้ให้บริการ AI และนักวิจัยใช้ข้อมูลจาก Anna’s Archive เพื่อฝึกโมเดลและวิเคราะห์ข้อมูล https://annas-archive.org/blog/an-update-from-the-team.html

🛡️ CobraJet: โดรนสังหารอัจฉริยะที่บินเร็วถึง 300 ไมล์ต่อชั่วโมง ในยุคที่ฝูงโดรนราคาถูกกลายเป็นภัยคุกคามหลักในสนามรบ เช่นในสงครามยูเครน-รัสเซีย บริษัท SkyDefense LLC จากสหรัฐฯ ได้เปิดตัว “CobraJet” โดรนขับเคลื่อนด้วย AI ที่ออกแบบมาเพื่อรับมือกับภัยเหล่านี้โดยเฉพาะ CobraJet เป็นโดรนแบบ eVTOL (บินขึ้นลงแนวดิ่ง) ที่ใช้พลังงานจากแบตเตอรี่ solid-state และมอเตอร์ไฟฟ้าแบบ duct fan ทำให้สามารถบินด้วยความเร็วสูงถึง 300 ไมล์ต่อชั่วโมง พร้อมความคล่องตัวระดับเครื่องบินขับไล่ ตัวเครื่องทำจากวัสดุคาร์บอนไฟเบอร์พิมพ์ 3D และมีดีไซน์คล้าย F-22 และ F-35 พร้อมระบบ thrust vectoring เพื่อการหลบหลีกและโจมตีที่แม่นยำ ระบบ AI ของ CobraJet ใช้ชิป NVIDIA และกล้อง Teledyne FLIR ที่ไม่มีชิ้นส่วนจากประเทศต้องห้าม ทำให้สามารถตรวจจับ วิเคราะห์ และตัดสินใจได้แบบเรียลไทม์ ทั้งกลางวันและกลางคืน นอกจากนี้ยังมีระบบ VRAM (Visual Realtime Area Monitoring) ที่ช่วยให้ผู้ควบคุมสามารถสั่งการหรือปล่อยให้โดรนทำงานอัตโนมัติได้ และสามารถสื่อสารกับ CobraJet ตัวอื่นเพื่อทำงานเป็นฝูงแบบ “AI-powered unmanned Air Force” CobraJet สามารถติดอาวุธได้หลากหลาย ตั้งแต่โดรนกามิกาเซ่ ไปจนถึงระเบิดนำวิถี และสามารถปรับภารกิจได้ทั้งโจมตีทางอากาศ พื้นดิน หรือทางทะเล ✅ คุณสมบัติหลักของ CobraJet ➡️ เป็นโดรน eVTOL ที่บินได้เร็วถึง 300 ไมล์ต่อชั่วโมง ➡️ ใช้แบตเตอรี่ solid-state และมอเตอร์ไฟฟ้าแบบ duct fan ➡️ โครงสร้างทำจากคาร์บอนไฟเบอร์พิมพ์ 3D ดีไซน์คล้าย F-22 และ F-35 ➡️ มีระบบ thrust vectoring เพื่อความคล่องตัวสูง ➡️ ใช้ชิป NVIDIA และกล้อง Teledyne FLIR สำหรับการวิเคราะห์ภาพแบบเรียลไทม์ ➡️ มีระบบ VRAM ที่ให้ผู้ควบคุมมีส่วนร่วมในการตัดสินใจ ➡️ สามารถทำงานร่วมกันเป็นฝูงแบบ AI-powered unmanned Air Force ➡️ รองรับอาวุธหลากหลาย เช่น โดรนกามิกาเซ่ ระเบิดนำวิถี และมิสไซล์ขนาดเล็ก ➡️ สามารถปล่อยจากรถบรรทุก เรือ หรือเครื่องบิน เพิ่มความยืดหยุ่นในการใช้งาน ✅ ข้อมูลเสริมจากภายนอก ➡️ ใช้ระบบ SmartVision และ anti-jam เพื่อทำงานในพื้นที่ที่มีการรบกวนสัญญาณ ➡️ มีเวอร์ชัน V4, V6 และ V8 สำหรับภารกิจต่างระดับ ➡️ ใช้ในภารกิจป้องกันชายแดน ฐานทัพ และสถานที่สาธารณะ ➡️ มีความสามารถในการโจมตีเป้าหมายภาคพื้นและทางทะเล ➡️ ระบบ modular ทำให้สามารถอัปเกรดได้ตามเทคโนโลยีใหม่ ➡️ เหมาะสำหรับหน่วยงานความมั่นคง เช่น กองทัพ ตำรวจ และ Homeland Security https://www.tomshardware.com/tech-industry/cobrajet-nvidia-ai-powered-drone-killer-takes-out-overwhelming-enemy-drone-incursions-at-up-to-300mph

🧠 Unicode ฟอนต์หลอกตา: เมื่อ “ん” กลายเป็น “/” แล้วนำไปสู่มัลแวร์ ช่วงกลางปี 2025 มีการค้นพบแคมเปญฟิชชิ่งที่โจมตีผู้ใช้ Booking.com โดยใช้เทคนิคที่เรียกว่า “homoglyph attack” ซึ่งอาศัยความคล้ายกันของตัวอักษรจากชุดภาษาต่าง ๆ เพื่อหลอกให้ผู้ใช้คลิกลิงก์ปลอม ในกรณีนี้ แฮกเกอร์ใช้ตัวอักษรญี่ปุ่น “ん” (Unicode U+3093) ที่ในบางฟอนต์ดูคล้ายกับเครื่องหมาย “/” หรือ “~” เพื่อสร้าง URL ที่ดูเหมือนของจริง เช่น: 🔖https://account.booking.comんdetailんrestrict-access.www-account-booking.com/en/ ซึ่งจริง ๆ แล้วโดเมนที่ใช้งานคือ “www-account-booking.com” ที่เป็นของผู้โจมตี และเมื่อผู้ใช้คลิกเข้าไป จะถูกดาวน์โหลดไฟล์ MSI ที่มีมัลแวร์ เช่น infostealer หรือ remote access tool แม้ Unicode จะเป็นมาตรฐานที่ช่วยให้คอมพิวเตอร์รองรับทุกภาษา แต่ก็เปิดช่องให้เกิดการโจมตีแบบนี้ได้ เพราะระบบไม่สามารถแยกแยะได้ว่าอักขระถูกใช้เพื่อหลอกลวงหรือไม่ ✅ ความซับซ้อนของ Unicode ➡️ Unicode รองรับตัวอักษรกว่า 1.1 ล้านตัวจากทุกภาษา ➡️ มีตัวอักษรที่คล้ายกันแต่ต่าง encoding เช่น “O” ละติน vs “О” ซีริลลิก ➡️ ระบบไม่สามารถแยกแยะได้ว่าอักขระถูกใช้เพื่อหลอกลวงหรือไม่ ‼️ ข้อเสนอแนะในการป้องกัน ⛔ หลีกเลี่ยงการคลิกลิงก์จากอีเมลที่ไม่คุ้นเคย ⛔ ใช้เบราว์เซอร์ที่แสดง Punycode เพื่อดูโดเมนจริง ⛔ ติดตั้งแอนติไวรัสที่สามารถตรวจจับ Unicode-based malware https://www.tomshardware.com/tech-industry/cyber-security/booking-com-customers-learn-the-hard-way-that-unicode-is-tricky

🕵️‍♂️🔐 เล่าให้ฟังใหม่: การโจมตีแบบ Brute-Force ครั้งใหญ่ต่อ Fortinet SSL VPN – สัญญาณเตือนภัยไซเบอร์ที่ไม่ควรมองข้าม เมื่อวันที่ 3 สิงหาคม 2025 นักวิจัยจาก GreyNoise ตรวจพบการโจมตีแบบ brute-force จำนวนมหาศาลต่อ Fortinet SSL VPN โดยมี IP ที่ไม่ซ้ำกันกว่า 780 รายการในวันเดียว ซึ่งเป็นปริมาณสูงสุดในรอบหลายเดือน การโจมตีนี้ไม่ใช่การสุ่มทั่วไป แต่เป็นการโจมตีแบบมีเป้าหมายชัดเจน โดยเริ่มจาก FortiOS และเปลี่ยนเป้าหมายไปยัง FortiManager ซึ่งเป็นเครื่องมือจัดการอุปกรณ์ Fortinet หลายตัวพร้อมกัน สิ่งที่น่าสนใจคือ มีเบาะแสว่าเครื่องมือโจมตีอาจถูกปล่อยจากเครือข่ายบ้านหรือใช้ residential proxy เพื่อหลบเลี่ยงการตรวจจับ และมีการพบลักษณะการโจมตีคล้ายกันในเดือนมิถุนายน ซึ่งเชื่อมโยงกับการเปิดเผยช่องโหว่ใหม่ในภายหลัง GreyNoise พบว่า 80% ของการโจมตีลักษณะนี้มักนำไปสู่การเปิดเผยช่องโหว่ใหม่ภายใน 6 สัปดาห์ โดยเฉพาะในระบบ edge เช่น VPN และ firewall ซึ่งเป็นเป้าหมายหลักของกลุ่มผู้โจมตีขั้นสูง ✅ พบการโจมตีแบบ brute-force ต่อ Fortinet SSL VPN จากกว่า 780 IP ภายในวันเดียว ➡️ เป็นปริมาณสูงสุดในรอบหลายเดือน ✅ การโจมตีมีเป้าหมายชัดเจน ไม่ใช่การสุ่ม ➡️ เริ่มจาก FortiOS แล้วเปลี่ยนไปยัง FortiManager ✅ FortiManager เป็นเครื่องมือจัดการอุปกรณ์ Fortinet หลายตัว ➡️ การโจมตีตรงนี้อาจทำให้ระบบทั้งเครือข่ายถูกควบคุม ✅ พบว่าการโจมตีอาจมาจากเครือข่ายบ้านหรือใช้ residential proxy ➡️ เพื่อหลบเลี่ยงการตรวจจับจากระบบป้องกัน ✅ ประเทศเป้าหมายหลักคือ ฮ่องกงและบราซิล ➡️ แต่ยังพบการโจมตีในสหรัฐฯ แคนาดา รัสเซีย และญี่ปุ่น ✅ GreyNoise พบว่าการโจมตีแบบนี้มักนำไปสู่การเปิดเผยช่องโหว่ใหม่ ➡️ โดยเฉลี่ยภายใน 6 สัปดาห์หลังจากการโจมตีเริ่มต้น ✅ Fortinet แนะนำให้ลูกค้าใช้เครื่องมือของ GreyNoise เพื่อบล็อก IP ที่เป็นอันตราย ➡️ และติดตามสถานการณ์อย่างใกล้ชิด https://hackread.com/brute-force-campaign-fortinet-ssl-vpn-coordinated-attack/

🛡️📧 ช่องโหว่ CVE-2025-53786 ใน Microsoft Exchange Hybrid: เมื่อแฮกเกอร์สามารถข้ามจากเซิร์ฟเวอร์ภายในสู่คลาวด์ได้โดยไม่ทิ้งร่องรอย ในเดือนสิงหาคม 2025 Microsoft ได้แจ้งเตือนถึงช่องโหว่ระดับสูงในระบบ Exchange Hybrid ที่ชื่อว่า CVE-2025-53786 ซึ่งเกิดจากการตั้งค่าการเชื่อมโยงระหว่าง Exchange Server ภายในองค์กร (on-premises) กับ Exchange Online บน Microsoft 365 โดยใช้ service principal ร่วมกัน ช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีที่ได้สิทธิ์ admin บน Exchange Server ภายใน สามารถข้ามไปควบคุม Exchange Online ได้โดยไม่ทิ้ง log หรือร่องรอยที่ตรวจสอบได้ผ่านระบบ auditing บนคลาวด์ แม้จะยังไม่มีการโจมตีจริงในขณะนี้ แต่มีเซิร์ฟเวอร์กว่า 29,000 เครื่องทั่วโลกที่ยังไม่ได้ติดตั้งแพตช์ โดยเฉพาะในสหรัฐฯ เยอรมนี และรัสเซีย ซึ่งเสี่ยงต่อการถูกโจมตีแบบ “silent privilege escalation” Microsoft และ CISA ได้ออกคำแนะนำให้ผู้ดูแลระบบรีบติดตั้ง hotfix เดือนเมษายน 2025 และเปลี่ยนไปใช้ Exchange Hybrid App แบบ dedicated พร้อมรีเซ็ต keyCredentials ของ service principal เดิม ✅ ช่องโหว่ CVE-2025-53786 เป็นช่องโหว่ระดับสูงใน Exchange Hybrid ➡️ มีคะแนน CVSS 8.0 และเปิดทางให้ privilege escalation แบบไร้ร่องรอย ✅ เกิดจากการใช้ service principal ร่วมกันระหว่าง Exchange Server และ Exchange Online ➡️ ทำให้แฮกเกอร์สามารถข้ามจากระบบภายในไปยังคลาวด์ได้ ✅ มีเซิร์ฟเวอร์กว่า 29,000 เครื่องที่ยังไม่ได้ติดตั้งแพตช์ ➡️ รวมถึง 7,200 เครื่องในสหรัฐฯ และ 6,700 เครื่องในเยอรมนี ✅ Microsoft แนะนำให้ติดตั้ง hotfix เดือนเมษายน 2025 ➡️ และเปลี่ยนไปใช้ Exchange Hybrid App แบบ dedicated ✅ CISA ออก Emergency Directive ให้รีบดำเนินการตามคำแนะนำ ➡️ รวมถึงการรีเซ็ต keyCredentials และตรวจสอบด้วย Exchange Health Checker ✅ Microsoft วางแผนบล็อกการใช้งาน Exchange Web Services ผ่าน service principal เดิม ➡️ เพื่อบังคับให้ผู้ใช้เปลี่ยนไปใช้ระบบใหม่ภายในตุลาคม 2025 https://www.techradar.com/pro/security/thousands-of-microsoft-exchange-servers-remain-unpatched-against-major-threat-heres-what-to-do-to-stay-safe

🕵️‍♀️📱 เมื่อ 73% ของผู้ใหญ่ในสหรัฐฯ เคยตกเป็นเหยื่อออนไลน์: กลโกงใหม่ที่คุณต้องรู้ทัน ในยุคที่ทุกอย่างเชื่อมต่อกับอินเทอร์เน็ต การหลอกลวงออนไลน์กลายเป็นภัยเงียบที่แทรกซึมเข้ามาในชีวิตประจำวันของผู้คนโดยไม่รู้ตัว จากการสำรวจล่าสุดโดย Pew Research Center พบว่า 73% ของผู้ใหญ่ในสหรัฐฯ เคยเผชิญกับการหลอกลวงออนไลน์อย่างน้อยหนึ่งครั้ง ไม่ว่าจะเป็นการถูกขโมยข้อมูลบัตรเครดิต ซื้อของออนไลน์แล้วไม่ได้รับสินค้า หรือถูกโจมตีด้วย ransomware ที่น่าตกใจคือ คนวัยทำงานอายุ 18–59 ปีกลับมีแนวโน้มเสียเงินจากการหลอกลวงมากกว่าผู้สูงอายุถึง 34% โดยกลโกงที่พบมากที่สุดในกลุ่มนี้คือโฆษณาหลอกลวงในโซเชียลมีเดีย งานปลอม และการลงทุนปลอม กลโกงใหม่ที่กำลังระบาดคือ “การเชิญประชุมปลอม” ผ่าน Google หรือ Outlook Calendar ที่แฮกเกอร์ส่งลิงก์ปลอมมาให้โดยไม่ต้องได้รับการตอบรับ เมื่อคลิกเข้าไป ผู้ใช้จะถูกนำไปยังเว็บปลอมที่ดูเหมือน Zoom หรือถูกหลอกให้ติดตั้งมัลแวร์ อีกหนึ่งกลโกงคือการโจมตีผ่านแอปยืนยันตัวตน (MFA) ที่ส่งการแจ้งเตือนซ้ำ ๆ จนผู้ใช้เผลอกดอนุมัติโดยไม่ตั้งใจ และสุดท้ายคือไฟล์แนบ HTML ที่แฝงโค้ดอันตรายไว้ในอีเมลที่ดูเหมือนมาจากแหล่งที่เชื่อถือได้ ✅ 73% ของผู้ใหญ่ในสหรัฐฯ เคยถูกหลอกลวงออนไลน์ ➡️ รูปแบบที่พบบ่อยคือบัตรเครดิต, ซื้อของออนไลน์, ransomware ✅ 32% เคยถูกหลอกลวงภายในปีที่ผ่านมา ➡️ ส่วนใหญ่ผ่านอีเมล, ข้อความ หรือโทรศัพท์ ✅ คนอายุ 18–59 ปีมีแนวโน้มเสียเงินจากการหลอกลวงมากกว่าผู้สูงอายุ ➡️ โดยเฉพาะจากโฆษณาในโซเชียลมีเดีย, งานปลอม และการลงทุนปลอม ✅ กลโกงใหม่ผ่าน Calendar Invite ปลอม ➡️ ลิงก์ปลอมที่ดูเหมือน Zoom หรืออัปเดตซอฟต์แวร์ ✅ MFA scam ส่งแจ้งเตือนซ้ำ ๆ เพื่อให้ผู้ใช้เผลอกดอนุมัติ ➡️ มักเกิดกับแอปที่ใช้การแจ้งเตือนแบบ “approve” ✅ ไฟล์แนบ HTML ในอีเมลสามารถฝังมัลแวร์หรือเปิดเว็บปลอม ➡️ ใช้ชื่อบริการที่คุ้นเคยเพื่อหลอกให้คลิก https://www.thestar.com.my/tech/tech-news/2025/08/13/at-least-73-of-us-adults-have-fallen-for-online-scams-how-you-can-avoid-the-latest-con

🛡️💻 Patch Tuesday สิงหาคม 2025: Microsoft อุดช่องโหว่ 107 รายการ รวมถึง 13 ช่องโหว่ร้ายแรงแบบ RCE Microsoft ปล่อยอัปเดตความปลอดภัยประจำเดือนสิงหาคม 2025 หรือที่เรียกว่า “Patch Tuesday” ซึ่งคราวนี้มีการแก้ไขช่องโหว่ถึง 107 รายการ โดย 13 รายการถูกจัดเป็น “Critical” หรือร้ายแรงที่สุด โดยเฉพาะช่องโหว่แบบ Remote Code Execution (RCE) ที่สามารถให้แฮกเกอร์รันโค้ดจากระยะไกลได้โดยไม่ต้องมีการโต้ตอบจากผู้ใช้ หนึ่งในช่องโหว่ที่น่ากังวลคือใน Windows Graphics Component (CVE-2025-50165) ที่เปิดช่องให้รันโค้ดผ่านการ dereference pointer ที่ไม่ปลอดภัย และใน DirectX Graphics Kernel (CVE-2025-50176) ที่เกิดจาก type confusion ซึ่งอาจนำไปสู่การเข้าควบคุมระบบโดยผู้ใช้ที่ได้รับสิทธิ์แล้ว ช่องโหว่ใน Microsoft Message Queuing (MSMQ) (CVE-2025-50177) ก็ยังคงเป็นปัญหาเรื้อรัง โดยเปิดโอกาสให้ผู้โจมตีที่ไม่ได้รับการยืนยันตัวตนสามารถรันโค้ดได้หากชนะ race condition นอกจากนี้ยังมีช่องโหว่ใน Microsoft Office และ Word ที่สามารถถูกโจมตีได้เพียงแค่เปิดไฟล์เอกสารที่เป็นอันตราย เช่น CVE-2025-53731 และ CVE-2025-53784 รวมถึงช่องโหว่ใน GDI+, Hyper-V, NTLM และ Azure ที่เกี่ยวข้องกับการเปิดเผยข้อมูลและการยกระดับสิทธิ์ ✅ Microsoft แก้ไขช่องโหว่ 107 รายการใน Patch Tuesday สิงหาคม 2025 ➡️ รวมถึง 13 ช่องโหว่ระดับ Critical ที่ต้องรีบอัปเดตทันที ✅ ช่องโหว่ RCE หลายรายการสามารถรันโค้ดโดยไม่ต้องโต้ตอบจากผู้ใช้ ➡️ เช่นใน Windows Graphics Component, DirectX, MSMQ, Office, Word ✅ ช่องโหว่ใน Windows NTLM (CVE-2025-53778) อาจให้สิทธิ์ SYSTEM ➡️ เป็นการยกระดับสิทธิ์ที่ร้ายแรงในระบบเครือข่าย ✅ ช่องโหว่ใน Azure Virtual Machines และ Stack Hub เปิดเผยข้อมูลสำคัญ ➡️ เสี่ยงต่อการรั่วไหลของข้อมูลในระบบคลาวด์ ✅ ช่องโหว่ใน Hyper-V อาจทำให้ VM ถูกควบคุมจากภายนอก ➡️ ส่งผลต่อองค์กรที่ใช้ virtualized environment ✅ ช่องโหว่ใน Microsoft Word สามารถถูกโจมตีผ่าน Preview Pane ➡️ ไม่ต้องเปิดไฟล์ก็สามารถถูกโจมตีได้ ✅ Microsoft แก้ไขช่องโหว่ zero-day ใน Windows Kerberos (CVE-2025-53779) ➡️ อาจให้ผู้โจมตียกระดับสิทธิ์เป็น domain admin ✅ RCE และ EoP เป็นช่องโหว่ที่ถูกใช้บ่อยที่สุดในการโจมตีจริง ➡️ เพราะสามารถควบคุมระบบและขยายสิทธิ์ได้ ✅ ช่องโหว่ใน Kerberos กระทบต่อระบบ Active Directory โดยตรง ➡️ เสี่ยงต่อการถูกควบคุมทั้ง domain และ forest ✅ การโจมตีผ่าน MSMQ และ GDI+ เป็นเทคนิคที่ใช้กันมานาน ➡️ แต่ยังคงพบช่องโหว่ใหม่ในระบบเหล่านี้ ✅ การโจมตีผ่านเอกสาร Office ยังคงเป็นช่องทางยอดนิยม ➡️ เพราะผู้ใช้มักเปิดไฟล์โดยไม่ตรวจสอบความปลอดภัย https://hackread.com/patch-tuesday-microsoft-fixes-vulnerabilities-rce-flaws/

🕵️‍♂️💰 เรื่องเล่าจากโลกไซเบอร์: ScarCruft จากสายลับสู่โจรเรียกค่าไถ่ ScarCruft กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ เคยเป็นที่รู้จักในฐานะสายลับไซเบอร์ที่เน้นการขโมยข้อมูลจากหน่วยงานรัฐบาลและบุคคลสำคัญในเกาหลีใต้ ญี่ปุ่น และรัสเซีย แต่ในเดือนกรกฎาคม 2025 พวกเขาเปลี่ยนแนวทางครั้งใหญ่ โดยหันมาใช้มัลแวร์เรียกค่าไถ่ (ransomware) ชื่อว่า VCD เพื่อโจมตีแบบหวังผลทางการเงิน การโจมตีครั้งนี้ดำเนินการโดยกลุ่มย่อยชื่อ ChinopuNK ผ่านอีเมลฟิชชิ่งที่แนบไฟล์ปลอมซึ่งแอบอ้างว่าเป็นการอัปเดตรหัสไปรษณีย์ เมื่อเหยื่อเปิดไฟล์จะถูกติดตั้งมัลแวร์มากกว่า 9 ชนิด รวมถึง ChillyChino รุ่นใหม่, LightPeek, FadeStealer และ NubSpy ซึ่งเป็น backdoor ที่เขียนด้วยภาษา Rust และใช้บริการ PubNub เพื่อซ่อนการสื่อสารให้ดูเหมือนทราฟฟิกปกติ ที่น่าตกใจคือ VCD ransomware ไม่เพียงเข้ารหัสไฟล์ของเหยื่อ แต่ยังแสดงข้อความเรียกค่าไถ่ทั้งภาษาอังกฤษและเกาหลี สะท้อนว่าพวกเขาเตรียมพร้อมโจมตีทั้งในประเทศและต่างประเทศ นักวิเคราะห์จาก DeepTempo เตือนว่า การใช้ ransomware อาจไม่ใช่แค่การหาเงิน แต่เป็นการเบี่ยงเบนความสนใจจากการขโมยข้อมูล หรือใช้กดดันทางการเมือง ซึ่งเป็นแนวโน้มใหม่ของกลุ่ม APT ที่ผสมผสานการจารกรรมกับอาชญากรรมไซเบอร์ ✅ ScarCruft เปลี่ยนจากการจารกรรมมาใช้ ransomware ชื่อ VCD ➡️ เป็นการโจมตีแบบหวังผลทางการเงินครั้งแรกของกลุ่ม ✅ การโจมตีดำเนินการโดยกลุ่มย่อย ChinopuNK ➡️ ใช้อีเมลฟิชชิ่งปลอมเป็นไฟล์อัปเดตรหัสไปรษณีย์ ✅ มัลแวร์ที่ใช้มีมากกว่า 9 ชนิด รวมถึง ChillyChino รุ่นใหม่ ➡️ และ backdoor NubSpy ที่เขียนด้วยภาษา Rust ✅ NubSpy ใช้ PubNub เพื่อซ่อนการสื่อสารให้ดูเหมือนปกติ ➡️ ทำให้ตรวจจับได้ยาก ✅ VCD ransomware เข้ารหัสไฟล์และแสดงข้อความเรียกค่าไถ่ ➡️ มีทั้งภาษาอังกฤษและเกาหลี ✅ นักวิเคราะห์ชี้ว่า ransomware อาจใช้เป็นเครื่องมือเบี่ยงเบนหรือกดดัน ➡️ ไม่ใช่แค่การหาเงิน แต่เป็นยุทธศาสตร์หลายชั้น https://hackread.com/north-korean-group-scarcruft-spying-ransomware-attacks/