🕵️ “ศาลสหรัฐฯ ตัดสินโทษ 5 คน ช่วยแรงงานไอทีเกาหลีเหนือปลอมตัวเป็นชาวอเมริกัน” กระทรวงยุติธรรมสหรัฐฯ เปิดเผยว่า ผู้ต้องหาทั้ง 5 คนมีบทบาทสำคัญในการจัดหาตัวตนปลอมให้แรงงานไอทีชาวเกาหลีเหนือ โดยใช้ ข้อมูลบัตรประชาชนจริงหรือขโมยมา เพื่อให้แรงงานเหล่านี้สามารถสมัครงานในบริษัทสหรัฐฯ ได้ พวกเขายังช่วย โฮสต์แล็ปท็อปที่บริษัทออกให้ ในสถานที่ต่าง ๆ ทั่วสหรัฐฯ และใช้ Remote Desktop Software เพื่อสร้างภาพลวงตาว่าพนักงานทำงานอยู่ในประเทศ การกระทำเหล่านี้ทำให้เกาหลีเหนือได้รับรายได้กว่า 3 ล้านดอลลาร์ ซึ่งถูกนำไปใช้สนับสนุนโครงการอาวุธและกิจกรรมที่ผิดกฎหมายอื่น ๆ โดย FBI ย้ำว่า นี่เป็นส่วนหนึ่งของความพยายามอย่างต่อเนื่องของรัฐบาลเปียงยางในการหลีกเลี่ยงมาตรการคว่ำบาตรและหาเงินทุนจากแรงงานไอที 💻 วิธีการที่ใช้ในการหลอกลวง 🔰 ใช้ ตัวตนปลอม ของพลเมืองสหรัฐฯ เพื่อสมัครงาน 🔰 โฮสต์ อุปกรณ์ที่บริษัทออกให้ ในสถานที่ต่าง ๆ เพื่อหลอกว่าแรงงานอยู่ในประเทศ 🔰 ใช้ Remote Desktop เพื่อทำงานจากต่างประเทศโดยไม่ถูกตรวจจับ 🔰 ผู้ต้องหาบางรายได้รับค่าตอบแทนตั้งแต่ 3,000 ถึง 90,000 ดอลลาร์ สำหรับการช่วยเหลือ 📌 สรุปสาระสำคัญ ✅ การตัดสินโทษ ➡️ มีผู้ต้องหา 5 คน (4 สหรัฐฯ, 1 ยูเครน) ถูกตัดสินโทษ ➡️ ช่วยแรงงานไอทีเกาหลีเหนือปลอมตัวเป็นชาวอเมริกัน ➡️ บริษัทสหรัฐฯ กว่า 240 แห่งตกเป็นเหยื่อ ✅ ผลกระทบ ➡️ เกาหลีเหนือได้รับรายได้กว่า 3 ล้านดอลลาร์ ➡️ รายได้ถูกนำไปสนับสนุนโครงการอาวุธและกิจกรรมผิดกฎหมาย ‼️ คำเตือน ⛔ บริษัทสหรัฐฯ ต้องระวังการจ้างงานระยะไกลที่ใช้ตัวตนปลอม ⛔ การตรวจสอบเอกสารและ IP Address เพียงอย่างเดียวไม่เพียงพอ ⛔ ผู้ที่ช่วยเหลือแรงงานเกาหลีเหนืออาจถูกดำเนินคดีร้ายแรง https://www.tomshardware.com/tech-industry/cyber-security/five-convicted-for-helping-north-korean-it-workers-pose-as-americans-and-secure-jobs-at-u-s-firms-over-240-companies-were-victimized-by-the-scam

🛡️ ช่องโหว่ร้ายแรงใน pgAdmin เสี่ยง RCE ผ่าน Dump Files ทีมพัฒนา pgAdmin ได้ออกแพตช์แก้ไขช่องโหว่หลายรายการที่กระทบต่อเวอร์ชัน ≤ 9.9 โดยช่องโหว่ที่ร้ายแรงที่สุดคือ CVE-2025-12762 (CVSS 9.1) ซึ่งเกิดขึ้นเมื่อ pgAdmin ทำงานใน server mode และผู้ใช้ทำการ restore ไฟล์ PostgreSQL dump แบบ PLAIN-format หากไฟล์ถูกปรับแต่งโดยผู้โจมตี จะสามารถฝังคำสั่งระบบและรันบนเซิร์ฟเวอร์ได้ทันที ส่งผลให้เกิดการ ยึดครองระบบเต็มรูปแบบ นอกจากนี้ยังมีช่องโหว่อื่น ๆ ที่ถูกเปิดเผยพร้อมกัน เช่น CVE-2025-12763 (CVSS 6.8): Command Injection บน Windows เนื่องจากการใช้ shell=True ในการ backup/restore CVE-2025-12764 (CVSS 7.5): LDAP Injection ในขั้นตอน authentication ทำให้เกิด DoS CVE-2025-12765 (CVSS 7.5): TLS Certificate Verification Bypass ใน LDAP ทำให้เสี่ยงต่อการโจมตีแบบ Man-in-the-Middle สิ่งที่น่ากังวลคือ ช่องโหว่เหล่านี้กระทบต่อ ทุกเวอร์ชัน ≤ 9.9 และมีผลต่อทั้ง Windows และระบบที่ใช้ LDAP authentication หากไม่อัปเดต อาจทำให้ข้อมูลในฐานข้อมูลถูกขโมยหรือระบบถูกควบคุมจากระยะไกล ทีมพัฒนาแนะนำให้อัปเดตเป็น pgAdmin v9.10 ทันที เพื่อปิดช่องโหว่ทั้งหมด และองค์กรที่ใช้ LDAP หรือ Windows environment ควรให้ความสำคัญเป็นพิเศษ เนื่องจากเสี่ยงสูงต่อการถูกโจมตี 📌 สรุปประเด็นสำคัญ ✅ ช่องโหว่ที่ค้นพบใน pgAdmin ➡️ CVE-2025-12762 (CVSS 9.1): RCE ผ่าน PLAIN-format dump files ➡️ CVE-2025-12763 (CVSS 6.8): Command Injection บน Windows ➡️ CVE-2025-12764 (CVSS 7.5): LDAP Injection ทำให้เกิด DoS ➡️ CVE-2025-12765 (CVSS 7.5): TLS Certificate Verification Bypass ✅ ผลกระทบต่อระบบ ➡️ เสี่ยงต่อการถูกยึดครองเซิร์ฟเวอร์ ➡️ ข้อมูลฐานข้อมูลอาจถูกขโมยหรือถูกแก้ไข ➡️ LDAP และ Windows environment มีความเสี่ยงสูง ‼️ คำเตือนและความเสี่ยง ⛔ ทุกเวอร์ชัน ≤ 9.9 ได้รับผลกระทบ ⛔ หากไม่อัปเดต อาจถูกโจมตีแบบ RCE หรือ MITM ⛔ องค์กรที่ใช้ LDAP authentication ต้องเร่งอัปเดตเพื่อป้องกันการรั่วไหลของ credentials https://securityonline.info/critical-pgadmin-flaws-cve-2025-12762-cvss-9-1-allow-remote-code-execution-via-postgresql-dump-files/

🖥️ ช่องโหว่ร้ายแรงใน IBM AIX – เสี่ยง RCE และการขโมย Private Keys IBM ได้ออกประกาศเตือนเกี่ยวกับช่องโหว่ร้ายแรงหลายรายการในระบบปฏิบัติการ AIX 7.2, AIX 7.3 และ VIOS 3.1/4.1 โดยหนึ่งในนั้นคือ CVE-2025-36250 ที่มีคะแนนความรุนแรงสูงสุด CVSS 10.0 สามารถทำให้ผู้โจมตีจากระยะไกลรันคำสั่งอันตรายบนเซิร์ฟเวอร์ได้โดยตรง นอกจากนั้นยังมีช่องโหว่อื่น ๆ ที่เกี่ยวข้องกับ Network Installation Manager (NIM) เช่นการจัดเก็บ Private Keys ในรูปแบบที่ไม่ปลอดภัย (CVE-2025-36096) ซึ่งเปิดโอกาสให้ผู้โจมตีสามารถดักจับและปลอมตัวเป็นระบบที่ถูกต้องได้ อีกทั้งยังมีช่องโหว่ Directory Traversal (CVE-2025-36236) ที่ทำให้ผู้โจมตีสามารถเขียนไฟล์อันตรายลงในระบบได้ สิ่งที่น่ากังวลคือ ช่องโหว่เหล่านี้เกิดขึ้นในบริการสำคัญของ AIX เช่น nimsh และ nimesis ซึ่งถูกใช้ในการจัดการติดตั้งและปรับปรุงระบบ หากถูกโจมตี อาจนำไปสู่การเข้าควบคุมระบบทั้งหมด รวมถึงการเคลื่อนย้ายไปยังระบบอื่นในเครือข่ายองค์กร IBM ได้ออก APARs และแพ็กเกจแก้ไข สำหรับ AIX และ VIOS พร้อมคำแนะนำให้ผู้ใช้งานตรวจสอบเวอร์ชันที่ติดตั้งด้วยคำสั่ง: lslpp -L | grep -i bos.sysmgt.nim.client เพื่อยืนยันว่าระบบได้รับการอัปเดตแล้ว 📌 สรุปประเด็นสำคัญ ✅ ช่องโหว่ที่ค้นพบใน IBM AIX ➡️ CVE-2025-36250 (CVSS 10.0): Remote Code Execution ผ่านบริการ nimesis ➡️ CVE-2025-36251 (CVSS 9.6): RCE ผ่านบริการ nimsh ➡️ CVE-2025-36096 (CVSS 9.0): การจัดเก็บ NIM Private Keys ไม่ปลอดภัย ➡️ CVE-2025-36236 (CVSS 8.2): Directory Traversal เขียนไฟล์อันตรายลงระบบ ✅ ผลกระทบต่อระบบ ➡️ เสี่ยงต่อการถูกควบคุมระบบจากระยะไกล ➡️ Private Keys อาจถูกขโมยและนำไปใช้ปลอมตัว ➡️ อาจเกิดการเคลื่อนย้ายการโจมตีไปยังระบบอื่นในองค์กร ‼️ คำเตือนและความเสี่ยง ⛔ ช่องโหว่ทั้งหมดต้องการเพียงการเชื่อมต่อเครือข่ายเพื่อโจมตี ⛔ หากไม่อัปเดตแพตช์ อาจถูกเข้าควบคุมระบบทั้งหมด ⛔ การใช้ Directory Traversal อาจนำไปสู่การ defacement หรือการฝัง backdoor https://securityonline.info/critical-ibm-aix-rce-cve-2025-36250-cvss-10-0-flaw-exposes-nim-private-keys-and-risks-directory-traversal/

⚠️ ช่องโหว่ CVSS 10.0 ใน Lynx+ Gateway หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ของสหรัฐฯ ออกประกาศเตือนเกี่ยวกับช่องโหว่หลายรายการในอุปกรณ์ Lynx+ Gateway ที่ใช้ในระบบอุตสาหกรรมและ OT (Operational Technology) โดยหนึ่งในนั้นคือ CVE-2025-58083 ซึ่งเป็นช่องโหว่ที่ร้ายแรงที่สุด มีคะแนน CVSS 10.0 เนื่องจากไม่มีการตรวจสอบสิทธิ์ในฟังก์ชันสำคัญ ทำให้ผู้โจมตีสามารถ รีเซ็ตอุปกรณ์จากระยะไกลได้ทันที นอกจากนั้นยังมีช่องโหว่อื่น ๆ เช่น 🪲 CVE-2025-55034 (CVSS 8.2): การตั้งรหัสผ่านที่อ่อนแอ เสี่ยงต่อการ brute-force 🪲 CVE-2025-59780 (CVSS 7.5): ขาดการตรวจสอบสิทธิ์ในการดึงข้อมูล ทำให้เข้าถึงข้อมูลภายในได้ 🪲 CVE-2025-62765 (CVSS 7.5): การส่งข้อมูลสำคัญแบบ cleartext ทำให้ผู้โจมตีสามารถดักจับรหัสผ่านและข้อมูลได้ สิ่งที่น่ากังวลคือ GIC ไม่ตอบสนองต่อการประสานงานกับ CISA ทำให้ผู้ใช้งานต้องหาวิธีป้องกันเอง เช่น การจำกัดการเข้าถึงเครือข่าย, ใช้ firewall, และตรวจสอบ traffic อย่างเข้มงวด เนื่องจากอุปกรณ์นี้ถูกใช้งานอย่างแพร่หลายในระบบควบคุมอุตสาหกรรม การโจมตีอาจนำไปสู่การหยุดชะงักของการผลิตหรือการสูญเสียข้อมูลสำคัญ ในภาพรวม เหตุการณ์นี้สะท้อนถึงความเสี่ยงของ IoT และ OT devices ที่มักมีการออกแบบโดยไม่คำนึงถึงความปลอดภัย และเมื่อผู้ผลิตไม่ตอบสนองต่อการแก้ไข ช่องโหว่เหล่านี้จะกลายเป็นภัยถาวรที่องค์กรต้องรับมือเอง 📌 สรุปประเด็นสำคัญ ✅ ช่องโหว่ที่ค้นพบใน Lynx+ Gateway ➡️ CVE-2025-58083 (CVSS 10.0): รีเซ็ตอุปกรณ์จากระยะไกลโดยไม่ต้องยืนยันตัวตน ➡️ CVE-2025-55034 (CVSS 8.2): รหัสผ่านอ่อนแอ เสี่ยง brute-force ➡️ CVE-2025-59780 (CVSS 7.5): ดึงข้อมูลภายในโดยไม่ต้องยืนยันตัวตน ➡️ CVE-2025-62765 (CVSS 7.5): ส่งข้อมูลสำคัญแบบ cleartext ✅ ผลกระทบต่อระบบอุตสาหกรรม ➡️ เสี่ยงต่อการหยุดชะงักของการผลิต ➡️ ข้อมูลภายในและ credentials อาจถูกขโมย ‼️ คำเตือนและความเสี่ยง ⛔ ผู้ผลิต GIC ไม่ตอบสนองต่อการเปิดเผยช่องโหว่ ⛔ ผู้ใช้งานต้องหาวิธีป้องกันเอง เช่น firewall และ network segmentation ⛔ ช่องโหว่ใน IoT/OT devices มักถูกละเลยด้านความปลอดภัย ทำให้เป็นเป้าหมายโจมตีถาวร https://securityonline.info/cisa-warns-critical-lynx-gateway-flaw-cvss-10-0-allows-unauthenticated-remote-reset-vendor-non-responsive/

📱 มิจฉาชีพใช้ฟีเจอร์ Screen Sharing บน WhatsApp ขโมย OTP และเงิน ภัยคุกคามใหม่ที่กำลังแพร่กระจายอย่างรวดเร็วคือการหลอกให้เหยื่อแชร์หน้าจอผ่าน WhatsApp โดยมิจฉาชีพจะโทรเข้ามาในรูปแบบวิดีโอคอล แสร้งเป็นเจ้าหน้าที่ธนาคารหรือฝ่ายสนับสนุนของ Meta แล้วสร้างความตื่นตระหนกว่าบัญชีถูกแฮ็กหรือมีการใช้บัตรเครดิตผิดปกติ จากนั้นจึงขอให้เหยื่อแชร์หน้าจอหรือแม้แต่ติดตั้งแอปควบคุมระยะไกลอย่าง AnyDesk หรือ TeamViewer เมื่อเหยื่อหลงเชื่อและแชร์หน้าจอ มิจฉาชีพสามารถเห็นรหัสผ่าน ข้อมูลธนาคาร และที่สำคัญคือ OTP (One-Time Password) ที่ปรากฏขึ้น ทำให้สามารถเข้าถึงบัญชีและเงินได้ทันที มีกรณีในฮ่องกงที่เหยื่อสูญเงินกว่า 700,000 ดอลลาร์สหรัฐ Meta เองก็พยายามแก้ไขด้วยการเพิ่มระบบแจ้งเตือนแบบเรียลไทม์ หากผู้ใช้แชร์หน้าจอกับเบอร์ที่ไม่อยู่ในรายชื่อผู้ติดต่อ พร้อมทั้งลบแอคเคานต์ที่เกี่ยวข้องกับการหลอกลวงไปแล้วหลายล้านราย แต่ผู้เชี่ยวชาญยังเตือนว่าการป้องกันที่ดีที่สุดคือการไม่แชร์หน้าจอหรือรหัสใด ๆ กับคนแปลกหน้า และควรเปิดการยืนยันสองขั้นตอนใน WhatsApp เพื่อเพิ่มความปลอดภัย 📌 สรุปเป็นหัวข้อ: ✅ วิธีการหลอกลวงของมิจฉาชีพ ➡️ โทรวิดีโอคอล, แสร้งเป็นเจ้าหน้าที่, ขอแชร์หน้าจอ ✅ ผลกระทบที่เกิดขึ้นจริง ➡️ สูญเงินมหาศาล, ขโมย OTP และข้อมูลส่วนตัว ✅ การตอบโต้ของ Meta ➡️ ระบบแจ้งเตือน, ลบแอคเคานต์ปลอม, ใช้ AI ตรวจสอบ ‼️ ความเสี่ยงที่ผู้ใช้ต้องระวัง ⛔ อย่าแชร์หน้าจอหรือรหัสกับคนแปลกหน้า, เปิด Two-Step Verification https://hackread.com/whatsapp-screen-sharing-scammers-steal-otps-funds/

🔰📌 รวมข่าว Techradar 📌🔰 📺 Samsung TV ได้ “บุคลิก” ใหม่ ซัมซุงเปิดตัว Vision AI Companion บนทีวีรุ่นใหม่ ที่รวมพลังจาก Bixby, Microsoft Copilot และ Perplexity เข้ามาเป็นผู้ช่วยอัจฉริยะในบ้าน ไม่ใช่แค่หาหนังดู แต่ยังสามารถอธิบายสิ่งที่กำลังฉาย ตอบคำถามต่อเนื่อง แปลเสียงสดจากรายการต่างประเทศ หรือแม้แต่ช่วยวางแผนมื้อค่ำได้ ทีวีจึงไม่ใช่แค่จอภาพ แต่กลายเป็นผู้ช่วยพูดคุยที่ทุกคนในบ้านสามารถโต้ตอบพร้อมกันได้ 💻 Mini PC ARM ขนาดจิ๋ว แต่ทรงพลัง Minisforum เปิดตัว MS-R1 มินิพีซี ARM ขนาดเพียง 1.7 ลิตร แต่มีสล็อต PCIe x16 สำหรับใส่การ์ดจอหรืออุปกรณ์เสริมอื่น ๆ ใช้ชิป 12-core พร้อม GPU ในตัว รองรับ RAM สูงสุด 64GB และเก็บข้อมูลได้ถึง 8TB จุดเด่นคือเล็ก เงียบ แต่รองรับงาน AI และการประมวลผลหนัก ๆ ได้ 📱 iPhone ถูกมองว่า “เกินจริง” แต่ยังไม่ถึงขั้นหมดเสน่ห์ ผลสำรวจจากผู้อ่าน TechRadar พบว่า 47% มองว่า iPhone “โอเวอร์เรต” ส่วน 36% ยังลังเล และ 17% บอกว่าไม่จริง หลายคนเล่าว่าเคยตื่นเต้นกับ iPhone รุ่นแรก ๆ แต่หลังจากนั้นรู้สึกว่าการอัปเกรดไม่หวือหวาเหมือนเดิม แม้ยังใช้งานดี แต่ความตื่นเต้นลดลงไปมาก 🤖 หุ่นยนต์มนุษย์รุ่นใหม่ ทั้งกวน ทั้งพลาด โลกหุ่นยนต์กำลังคึกคัก XPeng จากจีนเปิดตัวหุ่นยนต์ IRON ที่ดูเหมือนนางแบบ แต่ถูกวิจารณ์ว่าดูหลอนเกินไป ขณะที่รัสเซียเปิดตัวหุ่นยนต์ Idol แต่กลับล้มกลางเวทีอย่างน่าอาย เทียบกับเจ้าอื่น ๆ อย่าง Tesla Optimus หรือ Figure 03 ที่พัฒนาไปไกลกว่า เหตุการณ์นี้สะท้อนว่าการสร้างหุ่นยนต์มนุษย์ยังเต็มไปด้วยความท้าทาย 🔒 VPN บูมในอิตาลี หลังบังคับตรวจอายุ อิตาลีออกกฎหมายให้เว็บไซต์ผู้ใหญ่ต้องตรวจสอบอายุผู้ใช้ ส่งผลให้คนแห่ค้นหา VPN เพื่อเลี่ยงระบบตรวจสอบ แม้รัฐบาลยืนยันว่ามีระบบ “โทเคนไม่ระบุตัวตน” แต่ประชาชนยังไม่มั่นใจ จึงหันไปใช้ VPN กันมากขึ้น ซึ่งก็เสี่ยงหากเลือกบริการฟรีหรือไม่น่าเชื่อถือ 🦠 มัลแวร์ GootLoader กลับมาอีกครั้ง หลังหายไป 9 เดือน มัลแวร์ GootLoader โผล่มาอีกครั้ง ใช้เทคนิคซ่อนโค้ดอันตรายใน “ฟอนต์เว็บ” เพื่อหลอกให้ผู้ใช้ดาวน์โหลดไฟล์ที่แท้จริง จุดประสงค์คือเปิดทางให้แฮกเกอร์เข้าถึงระบบองค์กร และอาจนำไปสู่การโจมตีแบบเรียกค่าไถ่ 🕵️ Infostealer ถูกสกัด หลังตำรวจเข้าถึงเซิร์ฟเวอร์ มัลแวร์ขโมยข้อมูลชื่อ Rhadamanthys ที่ขายแบบบริการ (MaaS) ถูกขัดขวาง เมื่อผู้ใช้หลายรายถูกล็อกไม่ให้เข้าระบบ มีการโยงไปถึงตำรวจเยอรมันที่อาจเข้าถึงเซิร์ฟเวอร์ได้ เหตุการณ์นี้อาจเป็นส่วนหนึ่งของปฏิบัติการใหญ่ “Operation Endgame” ที่มุ่งปราบปรามอาชญากรรมไซเบอร์ 🛡️ แฮกเกอร์ใช้ฟีเจอร์แอนติไวรัสโจมตี แพลตฟอร์มแชร์ไฟล์ Triofox มีช่องโหว่ร้ายแรง (CVE-2025-12480) ที่ถูกใช้เป็นช่องทางติดตั้งเครื่องมือรีโมต เช่น Zoho Assist และ AnyDesk ทำให้แฮกเกอร์สามารถควบคุมเครื่องจากระยะไกลได้ ปัญหานี้ถูกแก้ไขแล้ว แต่เตือนให้ผู้ใช้รีบอัปเดตเวอร์ชันใหม่ 📸 Insta360 เปิดตัวกล้องลูกผสมสุดแปลก กล้อง Ace Pro 2 ของ Insta360 ได้อุปกรณ์เสริมใหม่ ทั้งเลนส์หลายแบบ กริปถ่ายภาพ และที่แปลกที่สุดคือ เครื่องพิมพ์ภาพทันทีแบบติดกล้อง ทำให้กล้องแอ็กชันสามารถพิมพ์รูปออกมาได้ทันที คล้าย Instax แต่ติดกับกล้องแอ็กชันโดยตรง 💳 PayPal กลับมาที่สหราชอาณาจักร หลังจากปรับโครงสร้างช่วง Brexit ตอนนี้ PayPal รีแบรนด์ใหม่ใน UK พร้อมเปิดตัวบัตรเดบิตและเครดิต รวมถึงโปรแกรมสะสมแต้ม PayPal+ ที่แบ่งเป็น Blue, Gold และ Black ยิ่งใช้มากยิ่งได้สิทธิพิเศษ เช่นแต้มเพิ่มและประสบการณ์ VIP 🪪 AirTag คู่แข่งในรูปบัตรเครดิต บริษัท Nomad เปิดตัว Tracking Card Pro ที่หน้าตาเหมือนบัตรเครดิต แต่จริง ๆ เป็นอุปกรณ์ติดตาม ใช้ระบบ Find My ของ Apple จุดเด่นคือพรางตัวได้ดี ทำให้โจรไม่รู้ว่ามีตัวติดตามอยู่ในกระเป๋าสตางค์ 🧑‍💻 ข้อมูลพนักงาน GlobalLogic รั่ว บริษัท GlobalLogic (ในเครือ Hitachi) ยืนยันว่ามีการรั่วไหลข้อมูลพนักงานกว่า 10,000 คน จากช่องโหว่ในระบบ Oracle E-Business Suite ข้อมูลที่หลุดมีทั้งเลขบัญชี เงินเดือน และข้อมูลส่วนบุคคล เหตุการณ์นี้เป็นส่วนหนึ่งของการโจมตีที่กระทบหลายองค์กรใหญ่ทั่วโลก 🎧 Gemini อ่าน PDF ให้ฟังได้ Google เพิ่มฟีเจอร์ใหม่ใน Gemini ให้สามารถสรุปไฟล์ PDF เป็นเสียงแบบพอดแคสต์สั้น ๆ 2–10 นาที ฟังได้เหมือนเล่าเรื่อง ไม่ต้องอ่านเอง เหมาะกับเอกสารยาว ๆ เช่นสัญญา ฟีเจอร์นี้จะบันทึกไฟล์เสียงไว้ใน Google Drive เพื่อเปิดฟังได้ทุกอุปกรณ์

💰 DarkComet RAT กลับมาในคราบ Bitcoin Wallet มัลแวร์เก่าชื่อดัง DarkComet RAT ถูกนำกลับมาใช้อีกครั้ง โดยปลอมเป็นโปรแกรมกระเป๋า Bitcoin เพื่อหลอกผู้ใช้ที่สนใจคริปโต ตัวไฟล์ถูกบีบอัดด้วย UPX packer เพื่อหลบการตรวจจับ และเมื่อรันจะติดตั้งตัวเองในโฟลเดอร์ AppData พร้อมตั้งค่า autostart DarkComet มีความสามารถเดิมครบ เช่น keylogging, การควบคุมหน้าจอระยะไกล และขโมยข้อมูล credential โดยใช้เซิร์ฟเวอร์ C2 ที่เชื่อมต่อผ่านพอร์ต 1604 แม้เซิร์ฟเวอร์บางครั้งไม่ตอบสนอง แต่ก็แสดงพฤติกรรม beaconing ที่ชัดเจน การใช้ Bitcoin เป็นเหยื่อล่อสะท้อนให้เห็นว่าอาชญากรไซเบอร์ยังคงใช้กระแสคริปโตเป็นเครื่องมือหลอกลวงได้อย่างมีประสิทธิภาพ สรุปหัวข้อ: ✅ DarkComet RAT ถูกปลอมเป็น Bitcoin Wallet ➡️ ใช้ไฟล์ “94k BTC wallet.exe” หลอกผู้ใช้ ✅ ฟังก์ชันเดิมยังครบ เช่น keylogging และ remote desktop ➡️ เก็บข้อมูลในโฟลเดอร์ dclogs ก่อนส่งออก ‼️ ผู้ใช้ที่สนใจลงทุนคริปโตตกเป็นเป้าหมายง่าย ⛔ ไฟล์บีบอัด UPX ทำให้การตรวจจับยากขึ้น https://securityonline.info/legacy-malware-resurfaces-darkcomet-rat-uses-bitcoin-wallet-lure-to-deploy-upx-packed-payload/

🎮 มัลแวร์ปลอมตัวเป็น SteamCleaner นักวิจัยจาก AhnLab พบมัลแวร์ที่แฝงตัวในโปรแกรมชื่อ SteamCleaner ซึ่งจริง ๆ เป็นโครงการโอเพนซอร์สที่ถูกทิ้งร้างตั้งแต่ปี 2018 แต่ถูกคนร้ายหยิบมาแก้ไขใหม่แล้วปล่อยออกไป โดยเซ็นด้วยใบรับรองดิจิทัลที่ถูกต้อง ทำให้ดูเหมือนโปรแกรมจริง เมื่อผู้ใช้ติดตั้ง มัลแวร์จะลงสคริปต์ Node.js ที่เชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C2) และสามารถสั่งรันคำสั่งระยะไกลได้ ที่น่ากังวลคือมันมีระบบตรวจจับ sandbox หากอยู่ในเครื่องทดสอบจะไม่ทำงาน แต่ถ้าอยู่ในเครื่องจริงจะปล่อย payload อันตรายทันที การแพร่กระจายส่วนใหญ่เกิดจากเว็บไซต์แจกโปรแกรมเถื่อน เช่น crack หรือ keygen ซึ่งพาไปยัง GitHub ที่มีไฟล์ติดมัลแวร์อยู่ สรุปหัวข้อ: ✅ มัลแวร์ใช้ SteamCleaner เป็นฉากบังหน้า ➡️ เซ็นด้วยใบรับรองแท้เพื่อหลอกผู้ใช้ ✅ ใช้ Node.js และ PowerShell ในการติดตั้ง payload ➡️ สร้าง scheduled task ให้ทำงานทุกครั้งที่บูต ‼️ ผู้ใช้ที่ดาวน์โหลดโปรแกรมเถื่อนเสี่ยงสูง ⛔ GitHub ถูกใช้เป็นแหล่งแพร่กระจายไฟล์ปลอม https://securityonline.info/malware-disguised-as-steamcleaner-uses-valid-signature-to-inject-node-js-rce-backdoor/

⚠️ ข่าวด่วน: ช่องโหว่ร้ายแรงใน Apache OFBiz เปิดทาง RCE Apache Software Foundation (ASF) ได้ออกประกาศเตือนและปล่อยแพตช์แก้ไขช่องโหว่ร้ายแรงใน Apache OFBiz ซึ่งเป็นแพลตฟอร์ม ERP แบบโอเพนซอร์สที่ใช้กันอย่างแพร่หลาย โดยช่องโหว่ที่ถูกระบุว่า CVE-2025-59118 เป็นประเภท Unrestricted Upload of File with Dangerous Type 📌 รายละเอียดช่องโหว่ 🪲 ช่องโหว่นี้เปิดทางให้ผู้โจมตีสามารถ อัปโหลดไฟล์อันตราย เช่นสคริปต์หรือ web shell โดยไม่มีการตรวจสอบที่เหมาะสม 🪲 หากถูกโจมตีสำเร็จ ผู้ไม่หวังดีสามารถทำ Remote Command Execution (RCE) และเข้าควบคุมระบบได้เต็มรูปแบบ 🪲 นอกจากนี้ยังมีช่องโหว่ CVE-2025-61623 (Reflected XSS) ที่เปิดทางให้แฮกเกอร์ฝังโค้ด JavaScript อันตรายลงในเบราว์เซอร์ของผู้ใช้ 🛠️ การแก้ไข 🪛 ASF ได้ปล่อยแพตช์ในเวอร์ชัน Apache OFBiz 24.09.03 ซึ่งแก้ไขทั้ง RCE และ XSS 🪛 ผู้ใช้ทุกเวอร์ชันก่อนหน้า 24.09.03 ควรรีบอัปเดตทันที 🌍 ความสำคัญต่อโลกไซเบอร์ 🔰 เนื่องจาก OFBiz มักถูกใช้ในระบบธุรกิจสำคัญ เช่น บัญชี, อีคอมเมิร์ซ, การจัดการสินค้าคงคลัง ช่องโหว่นี้จึงมีผลกระทบสูงต่อองค์กร 🔰 หากถูกโจมตี อาจนำไปสู่ การรั่วไหลข้อมูล, การขโมย credentials, และการยึดระบบเครือข่ายองค์กร ✅ รายละเอียดช่องโหว่ CVE-2025-59118 ➡️ ประเภท Unrestricted File Upload ➡️ เปิดทางให้ทำ Remote Command Execution (RCE) ➡️ ส่งผลกระทบต่อทุกเวอร์ชันก่อน 24.09.03 ✅ ช่องโหว่เพิ่มเติม CVE-2025-61623 ➡️ Reflected XSS ➡️ สามารถขโมย session cookies และสวมรอยผู้ใช้ได้ ✅ การแก้ไขจาก ASF ➡️ ออกแพตช์ในเวอร์ชัน 24.09.03 ➡️ แก้ไขทั้ง RCE และ XSS ‼️ คำเตือนสำหรับผู้ใช้ OFBiz ⛔ หากไม่อัปเดต อาจถูกควบคุมระบบจากระยะไกล ⛔ เสี่ยงต่อการรั่วไหลข้อมูลธุรกิจสำคัญ ⛔ อาจถูกใช้เป็นฐานโจมตีเครือข่ายองค์กร https://securityonline.info/critical-apache-ofbiz-flaw-cve-2025-59118-allows-remote-command-execution-via-unrestricted-file-upload/

🚨 ข่าวด่วน: Chrome ออกแพตช์ฉุกเฉินแก้ช่องโหว่ V8 ร้ายแรง Google ประกาศอัปเดต Chrome Stable Channel เพื่อแก้ไขช่องโหว่ร้ายแรงใน V8 JavaScript Engine ซึ่งเป็นหัวใจสำคัญในการประมวลผลโค้ดของเว็บเพจ ช่องโหว่นี้ถูกระบุว่า CVE-2025-13042 โดยมีความเสี่ยงสูงถึงขั้น Remote Code Execution (RCE) ทำให้ผู้โจมตีสามารถรันโค้ดอันตรายบนเครื่องเหยื่อได้ 📌 รายละเอียดช่องโหว่ 🪲 ช่องโหว่เกิดจาก “inappropriate implementation” ใน V8 ซึ่งอาจนำไปสู่ type confusion, memory corruption และการรันโค้ดโดยไม่ได้รับอนุญาต 🪲 แม้ Google ยังไม่เปิดเผยรายละเอียดเชิงเทคนิค แต่ช่องโหว่ลักษณะนี้เคยถูกใช้ในการโจมตีจริง เช่น sandbox escape และ watering hole attacks 🪲 ขณะนี้ยังไม่มีหลักฐานการโจมตีในวงกว้าง แต่ประวัติที่ผ่านมา ช่องโหว่ V8 มักเป็นเป้าหมายหลักของแฮกเกอร์ 🛠️ การแก้ไข 🔨 Google ได้ปล่อยแพตช์ในเวอร์ชัน 142.0.7444.162/.163 สำหรับ Windows, macOS และ Linux 🔨 ผู้ใช้สามารถตรวจสอบเวอร์ชันได้ที่ chrome://settings/help และควรรีบอัปเดตทันที 🌍 ความสำคัญต่อโลกไซเบอร์ 🔰 ช่องโหว่ใน V8 ถือเป็น high-value target เพราะสามารถใช้โจมตีแบบ zero-day ได้ 🔰 หากไม่อัปเดต อุปกรณ์อาจถูกใช้เป็นฐานโจมตีเครือข่ายองค์กร หรือแพร่มัลแวร์ต่อไป ✅ รายละเอียดช่องโหว่ CVE-2025-13042 ➡️ พบใน V8 JavaScript Engine ของ Chrome ➡️ เสี่ยงต่อการเกิด Remote Code Execution (RCE) ➡️ อาจนำไปสู่ memory corruption และ sandbox escape ✅ การแก้ไขจาก Google ➡️ ออกแพตช์ใน Chrome เวอร์ชัน 142.0.7444.162/.163 ➡️ รองรับ Windows, macOS และ Linux ✅ ความสำคัญของการอัปเดต ➡️ ช่องโหว่ V8 มักเป็นเป้าหมายของแฮกเกอร์ ➡️ การอัปเดตช่วยลดความเสี่ยงจาก zero-day exploit ‼️ คำเตือนสำหรับผู้ใช้ Chrome ⛔ หากไม่อัปเดต อาจถูกโจมตีจากระยะไกล ⛔ เสี่ยงต่อการถูกใช้เป็นฐานโจมตีเครือข่าย ⛔ อาจนำไปสู่การขโมยข้อมูลหรือแพร่มัลแวร์ https://securityonline.info/chrome-emergency-fix-high-severity-v8-flaw-cve-2025-13042-risks-remote-code-execution/

🛡️ ข่าวด่วน: ช่องโหว่ Zero-Day ร้ายแรงใน Synology BeeStation OS นักวิจัยด้านความปลอดภัยได้เปิดเผยช่องโหว่ CVE-2025-12686 ในระบบปฏิบัติการ Synology BeeStation OS ระหว่างงานแข่งขัน Pwn2Own Ireland 2025 โดยช่องโหว่นี้มีความร้ายแรงระดับ Critical (CVSS 9.8) สามารถถูกใช้เพื่อทำ Remote Code Execution (RCE) ซึ่งหมายความว่าแฮกเกอร์สามารถเข้าควบคุมอุปกรณ์ที่ยังไม่ได้อัปเดตได้ทันที Synology ได้ออกแพตช์แก้ไขแล้วในเวอร์ชัน BeeStation OS 1.3.2-65648 และแนะนำให้ผู้ใช้รีบอัปเดตโดยด่วน เนื่องจากทุกเวอร์ชันก่อนหน้านี้ตั้งแต่ 1.0–1.3 ล้วนมีความเสี่ยง น่าสนใจคือ การแข่งขัน Pwn2Own ถือเป็นเวทีที่นักวิจัยด้านความปลอดภัยจากทั่วโลกมาทดสอบและโชว์การเจาะระบบจริงต่อหน้าสาธารณะ ซึ่งช่วยให้บริษัทต่างๆ ได้รับข้อมูลช่องโหว่ก่อนที่แฮกเกอร์ตัวจริงจะนำไปใช้โจมตี นอกจากนี้ ช่องโหว่ประเภท RCE ถือเป็นหนึ่งในภัยคุกคามที่อันตรายที่สุดในโลกไซเบอร์ เพราะไม่เพียงแต่เปิดทางให้โจมตีระบบ แต่ยังสามารถใช้เป็นฐานในการแพร่มัลแวร์, ขโมยข้อมูล, หรือแม้กระทั่งโจมตีเครือข่ายองค์กรที่เชื่อมต่อกับอุปกรณ์ Synology ได้อีกด้วย ✅ รายละเอียดช่องโหว่ CVE-2025-12686 ➡️ พบใน Synology BeeStation OS ระหว่างงาน Pwn2Own Ireland 2025 ➡️ ระดับความร้ายแรง CVSS 9.8 (Critical) ➡️ ช่องโหว่เปิดทางให้ทำ Remote Code Execution (RCE) ✅ การแก้ไขจาก Synology ➡️ ออกแพตช์ในเวอร์ชัน BeeStation OS 1.3.2-65648 ➡️ ทุกเวอร์ชันก่อนหน้า (1.0–1.3) ได้รับผลกระทบ ✅ ความสำคัญของงาน Pwn2Own ➡️ เป็นเวทีที่นักวิจัยโชว์การเจาะระบบจริง ➡️ ช่วยให้บริษัทแก้ไขช่องโหว่ก่อนถูกโจมตีจริง ‼️ คำเตือนสำหรับผู้ใช้ Synology ⛔ หากไม่อัปเดต อุปกรณ์อาจถูกควบคุมจากระยะไกลทันที ⛔ เสี่ยงต่อการถูกใช้เป็นฐานโจมตีเครือข่ายองค์กร ⛔ อาจนำไปสู่การขโมยข้อมูลหรือแพร่มัลแวร์ https://securityonline.info/critical-synology-beestation-zero-day-cve-2025-12686-found-at-pwn2own-allows-remote-code-execution/

🔥 “WatchGuard Firebox เจอช่องโหว่ CVE-2025-59396 แฮกเกอร์เข้าระบบได้ทันทีผ่าน SSH ด้วยรหัสเริ่มต้น!” นักวิจัยด้านความปลอดภัย Chanakya Neelarapu และ Mark Gibson ได้ค้นพบช่องโหว่ร้ายแรงในอุปกรณ์ WatchGuard Firebox ซึ่งเป็น firewall ที่นิยมใช้ในองค์กรขนาดกลางและขนาดใหญ่ ช่องโหว่นี้ได้รับรหัส CVE-2025-59396 และคะแนนความรุนแรง CVSS สูงถึง 9.8 ปัญหาเกิดจากการตั้งค่ามาตรฐานของอุปกรณ์ที่เปิดพอร์ต SSH (4118) พร้อมบัญชีผู้ดูแลระบบที่ใช้ชื่อผู้ใช้และรหัสผ่านเริ่มต้นคือ admin:readwrite ซึ่งเปิดโอกาสให้ผู้โจมตีจากระยะไกลสามารถเข้าถึงระบบได้ทันทีโดยไม่ต้องยืนยันตัวตน ✅ รายละเอียดช่องโหว่ CVE-2025-59396 ➡️ ส่งผลกระทบต่อ Firebox ที่ยังใช้ค่าตั้งต้นและเปิดพอร์ต SSH 4118 ➡️ ใช้บัญชี admin:readwrite ที่ติดตั้งมาโดยค่าเริ่มต้น ➡️ ผู้โจมตีสามารถใช้เครื่องมือทั่วไป เช่น PuTTY หรือ OpenSSH เพื่อเข้าถึงระบบ ✅ ความสามารถของผู้โจมตีเมื่อเข้าระบบได้ ➡️ เข้าถึงข้อมูลสำคัญ เช่น ARP table, network config, user accounts ➡️ ปรับเปลี่ยนหรือปิดใช้งาน firewall rules และ security policies ➡️ เคลื่อนที่ภายในเครือข่าย (lateral movement) และขโมยข้อมูล ✅ ความเสี่ยงต่อองค์กร ➡️ อุปกรณ์ Firebox เป็นจุดศูนย์กลางของการป้องกันเครือข่าย ➡️ หากถูกควบคุม ผู้โจมตีสามารถปิดระบบป้องกันทั้งหมด ➡️ ช่องโหว่นี้อาจถูกใช้ในแคมเปญสแกนช่องโหว่แบบกว้างขวาง ‼️ คำเตือนด้านความปลอดภัย ⛔ หากยังใช้ค่าตั้งต้นของ Firebox ถือว่าเสี่ยงต่อการถูกเจาะระบบทันที ⛔ การเปิดพอร์ต SSH โดยไม่จำกัด IP หรือไม่ใช้ MFA เป็นช่องทางโจมตี ⛔ องค์กรที่ไม่ตรวจสอบการตั้งค่าหลังติดตั้งมีความเสี่ยงสูง https://securityonline.info/critical-watchguard-firebox-flaw-cve-2025-59396-cvss-9-8-allows-unauthenticated-admin-ssh-takeover-via-default-credentials/

📱 “KONNI APT โจมตีไซเบอร์สุดล้ำ! ใช้ Google Find Hub ล้างข้อมูล-ติดตามเหยื่อในเกาหลีใต้” ในโลกที่เทคโนโลยีเชื่อมโยงทุกอย่างเข้าด้วยกัน กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐอย่าง KONNI APT จากเกาหลีเหนือ ได้ยกระดับการโจมตีไซเบอร์ไปอีกขั้น ด้วยการใช้ฟีเจอร์ของ Google เอง — Find Hub — เพื่อควบคุมอุปกรณ์ Android ของเหยื่อในเกาหลีใต้แบบระยะไกล แคมเปญนี้ถูกเปิดโปงโดย Genians Security Center ซึ่งพบว่าผู้โจมตีสามารถรีเซ็ตอุปกรณ์ Android ของเหยื่อ ลบข้อมูลส่วนตัว และติดตามตำแหน่งได้ โดยทั้งหมดเกิดขึ้นผ่านบัญชี Google ที่ถูกแฮก ✅ วิธีการโจมตีของ KONNI APT ➡️ เริ่มจากการหลอกล่อผ่าน KakaoTalk โดยปลอมตัวเป็นนักจิตวิทยาหรือเจ้าหน้าที่รัฐ ➡️ ส่งไฟล์ชื่อ “Stress Clear.msi” ที่ดูเหมือนโปรแกรมคลายเครียด แต่แฝงมัลแวร์ ➡️ เมื่อเหยื่อเปิดไฟล์ มัลแวร์จะติดตั้งสคริปต์ AutoIt เพื่อควบคุมระบบ ✅ การใช้ Google Find Hub เป็นอาวุธ ➡️ หลังแฮกบัญชี Google ของเหยื่อ ผู้โจมตีใช้ Find Hub เพื่อติดตามตำแหน่ง ➡️ เมื่อเหยื่อไม่อยู่ใกล้อุปกรณ์ จะสั่งรีเซ็ตโรงงาน (factory reset) เพื่อลบข้อมูล ➡️ ส่งคำสั่งรีเซ็ตซ้ำหลายครั้งเพื่อขัดขวางการกู้คืน ✅ ความสามารถของมัลแวร์ ➡️ ใช้ AutoIt script ที่ปลอมเป็นงานระบบ Windows ➡️ เชื่อมต่อกับเซิร์ฟเวอร์ควบคุมในเยอรมนีผ่าน WordPress C2 ➡️ ฝัง RAT หลายตัว เช่น RemcosRAT, QuasarRAT, RftRAT เพื่อควบคุมจากระยะไกล ✅ เทคนิคการหลบเลี่ยงการตรวจจับ ➡️ ใช้ไฟล์ MSI ที่มีลายเซ็นดิจิทัลจากบริษัทในจีนเพื่อหลอกระบบความปลอดภัย ➡️ ลบการแจ้งเตือนจาก Gmail และเคลียร์ log เพื่อไม่ให้เหยื่อรู้ตัว ➡️ ใช้ KakaoTalk ของเหยื่อส่งมัลแวร์ต่อไปยังคนรู้จัก ‼️ คำเตือนด้านความปลอดภัย ⛔ บัญชี Google ที่ไม่มีการป้องกันแบบหลายขั้น (MFA) เสี่ยงต่อการถูกแฮก ⛔ การใช้บริการที่ดูปลอดภัยอย่าง Find Hub อาจถูกนำไปใช้ในทางร้าย ⛔ การส่งไฟล์ผ่านแอปแชทจากคนรู้จักอาจเป็นช่องทางโจมตีที่แนบเนียน https://securityonline.info/north-koreas-konni-apt-hijacks-google-find-hub-to-remotely-wipe-and-track-south-korean-android-devices/

🚀 “Lazarus ปล่อย Comebacker Backdoor เวอร์ชันใหม่ เจาะอุตสาหกรรมการบิน-กลาโหมด้วย ChaCha20” นักวิจัยด้านความปลอดภัยไซเบอร์ตรวจพบการโจมตีล่าสุดจากกลุ่ม Lazarus ซึ่งมุ่งเป้าไปยังองค์กรด้านอวกาศและกลาโหม โดยใช้มัลแวร์ backdoor ที่เรียกว่า “Comebacker” เวอร์ชันใหม่ ซึ่งมีการเข้ารหัสข้อมูลด้วยอัลกอริธึม ChaCha20 เพื่อหลีกเลี่ยงการตรวจจับและเพิ่มความปลอดภัยในการสื่อสารกับเซิร์ฟเวอร์ควบคุม (C2) มัลแวร์ Comebacker ถูกออกแบบมาให้สามารถสื่อสารแบบเข้ารหัสกับ C2, ดาวน์โหลดคำสั่งเพิ่มเติม และขโมยข้อมูลจากระบบเป้าหมาย โดยใช้เทคนิคการพรางตัว เช่น การฝังโค้ดในไฟล์ DLL และการใช้ชื่อไฟล์ที่ดูเหมือนไฟล์ระบบปกติ ✅ กลุ่ม Lazarus และเป้าหมายการโจมตี ➡️ กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ➡️ มุ่งเป้าไปยังองค์กรด้านอวกาศและกลาโหมในหลายประเทศ ➡️ มีประวัติการโจมตีที่เกี่ยวข้องกับการขโมยทรัพย์สินทางปัญญาและข้อมูลลับ ✅ คุณสมบัติของ Comebacker Backdoor เวอร์ชันใหม่ ➡️ ใช้การเข้ารหัส ChaCha20 เพื่อปกปิดการสื่อสารกับ C2 ➡️ รองรับการดาวน์โหลด payload เพิ่มเติมและการสั่งงานจากระยะไกล ➡️ ฝังตัวใน DLL และใช้ชื่อไฟล์ที่ดูเหมือนไม่เป็นอันตราย ✅ เทคนิคการหลบเลี่ยงการตรวจจับ ➡️ ใช้การโหลดแบบ dynamic และ reflective DLL injection ➡️ ใช้ชื่อฟังก์ชันและพารามิเตอร์ที่คลุมเครือ ➡️ ซ่อนการทำงานผ่านการตรวจสอบสิทธิ์และการตรวจสภาพแวดล้อม ‼️ คำเตือนด้านความปลอดภัย ⛔ องค์กรที่เกี่ยวข้องกับเทคโนโลยีขั้นสูง เช่น การบินและกลาโหม เป็นเป้าหมายหลัก ⛔ การเข้ารหัสแบบ ChaCha20 ทำให้การวิเคราะห์ traffic ยากขึ้น ⛔ การฝังตัวใน DLL และใช้ชื่อไฟล์ปลอมทำให้ยากต่อการตรวจจับด้วย antivirus ทั่วไป https://securityonline.info/lazarus-group-attacks-aerospace-defense-with-new-chacha20-encrypted-comebacker-backdoor/

🧨 ภัยเงียบจากกล้องสู่ระบบ: ช่องโหว่ CVE-2025-21042 บน Samsung เปิดทางให้สปายแวร์ Landfall เจาะเครื่องแบบ Zero-Click นักวิจัยด้านความปลอดภัยจาก GraphSense Labs ได้เปิดเผยช่องโหว่ร้ายแรงในอุปกรณ์ Samsung ที่ใช้ Android ซึ่งถูกระบุด้วยรหัส CVE-2025-21042 โดยช่องโหว่นี้อยู่ในโมดูล DNG image parser ที่ใช้ประมวลผลไฟล์ภาพแบบ RAW (Digital Negative) สิ่งที่ทำให้ช่องโหว่นี้น่ากลัวคือมันเป็น Zero-Click Exploit—ผู้ใช้ไม่จำเป็นต้องคลิกหรือเปิดไฟล์ใดๆ เพียงแค่ได้รับไฟล์ DNG ที่ถูกออกแบบมาเป็นพิเศษผ่านแอปที่มีสิทธิ์เข้าถึงภาพ เช่น WhatsApp, Signal หรือแม้แต่ Samsung Messages ก็สามารถถูกโจมตีได้ทันที มัลแวร์ที่ใช้ช่องโหว่นี้มีชื่อว่า Landfall ซึ่งเป็นสปายแวร์ที่สามารถ: 🎗️ เข้าถึงกล้อง, ไมโครโฟน, และตำแหน่ง GPS 🎗️ ขโมยข้อความ, รายชื่อ, และไฟล์ในเครื่อง 🎗️ ควบคุมอุปกรณ์จากระยะไกลแบบเงียบๆ Zero-Click คือการโจมตีที่ไม่ต้องการให้ผู้ใช้ดำเนินการใดๆ เช่น คลิกลิงก์หรือเปิดไฟล์ โดยอาศัยช่องโหว่ในระบบที่ทำงานอัตโนมัติ เช่น การแสดงตัวอย่างภาพหรือข้อความ ซึ่งทำให้ผู้ใช้ตกเป็นเหยื่อได้ง่ายและไม่รู้ตัว ✅ ช่องโหว่ CVE-2025-21042 ➡️ อยู่ใน DNG image parser ของ Samsung ➡️ เปิดช่องให้โจมตีแบบ Zero-Click ผ่านไฟล์ภาพ ✅ มัลแวร์ Landfall ➡️ เป็นสปายแวร์ที่สามารถควบคุมอุปกรณ์ Android ได้แบบเต็มรูปแบบ ➡️ ใช้ช่องโหว่นี้เพื่อฝังตัวโดยไม่ต้องอาศัยการคลิก ✅ วิธีการแพร่กระจาย ➡️ ส่งไฟล์ DNG ผ่านแอปที่เข้าถึงภาพ เช่น WhatsApp, Signal ➡️ ใช้ social engineering เพื่อหลอกให้เหยื่อเปิดแอปที่มีการโหลดภาพอัตโนมัติ ‼️ ความเสี่ยงต่อผู้ใช้ Samsung ⛔ อุปกรณ์ที่ไม่ได้อัปเดตแพตช์ล่าสุดอาจถูกเจาะได้ทันที ⛔ การโจมตีแบบ Zero-Click ทำให้ไม่มีสัญญาณเตือนใดๆ ‼️ คำแนะนำด้านความปลอดภัย ⛔ อัปเดตระบบปฏิบัติการและแอปให้เป็นเวอร์ชันล่าสุด ⛔ ปิดการแสดงตัวอย่างภาพอัตโนมัติในแอปแชท (ถ้ามี) ⛔ หลีกเลี่ยงการเปิดไฟล์ภาพจากแหล่งที่ไม่รู้จัก https://securityonline.info/zero-click-samsung-zero-day-cve-2025-21042-delivered-landfall-spyware-via-malicious-dng-images/

🧨 ปฏิบัติการเงียบจากแดนมังกร: แฮกเกอร์จีนแฝงตัวในองค์กรนโยบายสหรัฐฯ นานนับเดือน การสืบสวนล่าสุดโดยทีม Broadcom Threat Hunter เผยให้เห็นการโจมตีไซเบอร์ที่ซับซ้อนจากกลุ่ม APT (Advanced Persistent Threat) ที่เชื่อมโยงกับรัฐบาลจีน โดยเจาะเข้าองค์กรไม่แสวงกำไรในสหรัฐฯ ที่มีบทบาทด้านนโยบายระหว่างประเทศ การโจมตีเริ่มต้นในเดือนเมษายน 2025 ด้วยการสแกนช่องโหว่ที่รู้จักกันดี เช่น Log4j, Apache Struts และ Atlassian OGNL Injection ก่อนจะเข้าสู่ขั้นตอนการแฝงตัวอย่างแนบเนียนผ่าน Scheduled Task และการใช้โปรแกรมระบบ Windows เช่น msbuild.exe และ csc.exe เพื่อรันโค้ดอันตรายโดยไม่ถูกตรวจจับ หนึ่งในเทคนิคที่โดดเด่นคือ DLL Sideloading โดยใช้ไฟล์ vetysafe.exe จาก Vipre Antivirus เพื่อโหลด DLL ปลอมชื่อ sbamres.dll ซึ่งเคยถูกใช้ในแคมเปญของกลุ่มแฮกเกอร์จีนหลายกลุ่ม เช่น Space Pirates, Kelp (Salt Typhoon) และ Earth Longzhi (กลุ่มย่อยของ APT41) 🧠 เสริมความรู้: DLL Sideloading และ Living-off-the-Land คืออะไร? 🎗️ DLL Sideloading คือการใช้โปรแกรมที่ถูกต้องตามกฎหมายเพื่อโหลด DLL ปลอมที่แฮกเกอร์สร้างขึ้น ทำให้ระบบเข้าใจผิดว่าเป็นส่วนหนึ่งของโปรแกรมจริง 🎗️ Living-off-the-Land (LOTL) คือการใช้เครื่องมือหรือโปรแกรมที่มีอยู่ในระบบอยู่แล้ว เช่น msbuild.exe, certutil.exe เพื่อหลีกเลี่ยงการตรวจจับจากโปรแกรมป้องกันไวรัส ✅ กลุ่มผู้โจมตี ➡️ เป็นกลุ่ม APT ที่เชื่อมโยงกับรัฐบาลจีน เช่น APT41, Space Pirates, Kelp ➡️ มีเป้าหมายเพื่อสอดแนมนโยบายต่างประเทศของสหรัฐฯ ✅ เทคนิคที่ใช้ ➡️ สแกนช่องโหว่ที่รู้จักกันดี เช่น Log4j, Apache Struts ➡️ ใช้ msbuild.exe และ csc.exe เพื่อรันโค้ดอันตรายแบบ LOTL ➡️ สร้าง Scheduled Task ที่รันทุกชั่วโมงในระดับ SYSTEM ➡️ ใช้ DLL Sideloading ผ่าน vetysafe.exe เพื่อโหลด sbamres.dll ✅ ความสามารถของมัลแวร์ ➡️ สร้าง C2 connection เพื่อควบคุมเครื่องจากระยะไกล ➡️ ใช้ msascui.exe ปลอมตัวเป็น MicrosoftRuntime เพื่อรัน payload ➡️ ใช้ DCSync เพื่อขโมยข้อมูลจาก Active Directory ➡️ ใช้ Imjpuexc.exe เพื่อหลบซ่อนในระบบ ‼️ ความเสี่ยงต่อองค์กร ⛔ องค์กรที่เกี่ยวข้องกับนโยบายหรือการทูตมีความเสี่ยงสูง ⛔ การใช้โปรแกรมระบบทำให้การตรวจจับยากขึ้น ⛔ การโจมตีแบบยาวนานอาจทำให้ข้อมูลสำคัญรั่วไหลโดยไม่รู้ตัว ‼️ คำแนะนำด้านความปลอดภัย ⛔ ตรวจสอบ Scheduled Task ที่รันในระดับ SYSTEM ⛔ ตรวจสอบการใช้โปรแกรมระบบที่ผิดปกติ เช่น msbuild.exe ⛔ ใช้ระบบ EDR ที่สามารถตรวจจับ DLL Sideloading และ LOTL ได้ https://securityonline.info/china-apt-infiltrates-us-policy-nonprofit-in-months-long-espionage-campaign-using-dll-sideloading/

🌡️ “No Longer Evil Thermostat – ปลุกชีพ Nest รุ่นเก่าให้กลับมาฉลาดอีกครั้ง ด้วยพลังโอเพ่นซอร์ส” เมื่อ Google ประกาศหยุดสนับสนุน Nest Thermostat รุ่น Gen 1 และ Gen 2 ในเดือนตุลาคมที่ผ่านมา อุปกรณ์อัจฉริยะที่เคยควบคุมอุณหภูมิบ้านได้อย่างแม่นยำ กลับกลายเป็นแค่ “เทอร์โมสแตตธรรมดา” ที่ปรับอุณหภูมิได้เฉพาะหน้าจอเท่านั้น แต่ Cody Kociemba นักวิจัยด้านความปลอดภัยจากแอริโซนา ไม่ยอมให้มันจบแบบนั้น! เขาสร้างโปรเจกต์โอเพ่นซอร์สชื่อว่า “No Longer Evil Thermostat” ที่ช่วยคืนชีพ Nest รุ่นเก่าให้กลับมาทำงานได้อีกครั้ง พร้อมอินเทอร์เฟซใหม่ที่ใช้งานง่าย และสามารถควบคุมผ่านเว็บได้เหมือนเดิม โดยไม่ต้องพึ่ง Google อีกต่อไป Nest Thermostat รุ่นแรก ๆ เปิดตัวระหว่างปี 2011–2014 และได้รับความนิยมอย่างมากในกลุ่มบ้านอัจฉริยะ แต่เมื่อถึงวันที่ 25 ตุลาคม 2025 Google ประกาศหยุดการสนับสนุนอย่างเป็นทางการ ทั้งการอัปเดตเฟิร์มแวร์และการเชื่อมต่อกับแอป Nest และ Google Home ทำให้ฟีเจอร์ควบคุมระยะไกลและการตั้งเวลาใช้งานหายไปทันที Cody Kociemba ซึ่งเป็นสมาชิกกลุ่ม Hack House ไม่พอใจกับการตัดสินใจนี้ เขาจึงเริ่มพัฒนาเฟิร์มแวร์ใหม่ที่สามารถติดตั้งลงบน Nest รุ่นเก่าได้ โดยไม่ต้องพึ่ง Google เลยแม้แต่นิดเดียว พร้อมอินเทอร์เฟซที่คล้ายของเดิม และสามารถเชื่อมต่อกับ Home Assistant ผ่าน MQTT หรือ REST API ได้อีกด้วย แรงจูงใจของเขาไม่ใช่แค่ความหลงใหลในฮาร์ดแวร์ แต่ยังรวมถึงเงินรางวัลจาก FULU Foundation ที่เสนอค่าตอบแทนราว 15,000 ดอลลาร์สำหรับนักพัฒนาที่ช่วยปลดล็อกอุปกรณ์จากข้อจำกัดของบริษัทใหญ่ ผลลัพธ์คือ Nest Thermostat ที่แสดงข้อความต้อนรับว่า “now made with 100% less evil!” และกลับมาควบคุมอุณหภูมิบ้านได้อย่างแม่นยำอีกครั้ง ✅ การหยุดสนับสนุน Nest Gen 1 และ Gen 2 ➡️ เปิดตัวระหว่างปี 2011–2014 ➡️ ถูกยกเลิกการสนับสนุนเมื่อ 25 ตุลาคม 2025 ➡️ ไม่สามารถเชื่อมต่อกับแอป Nest และ Google Home ได้อีก ➡️ เหลือแค่การปรับอุณหภูมิแบบแมนนวล ✅ โปรเจกต์ No Longer Evil Thermostat ➡️ พัฒนาโดย Cody Kociemba จาก Hack House ➡️ เป็นโอเพ่นซอร์ส ใช้งานฟรี ➡️ มีอินเทอร์เฟซใหม่ที่คล้ายของเดิม ➡️ รองรับการเชื่อมต่อกับ Home Assistant ผ่าน MQTT และ REST API ➡️ มี GitHub พร้อมคู่มือการติดตั้งแบบละเอียด ✅ แรงจูงใจและผลตอบแทน ➡️ ได้รับแรงสนับสนุนจาก FULU Foundation ➡️ เสนอเงินรางวัล ~15,000 ดอลลาร์สำหรับการปลดล็อกอุปกรณ์ ➡️ เป็นการต่อสู้กับการควบคุมของบริษัทยักษ์ใหญ่ https://www.tomshardware.com/software/no-longer-evil-thermostat-heats-your-home-better-by-removing-google-revive-sunsetted-hardware-gain-more-precise-control-open-source

🔥🛡️ “Cisco Firewall ถูกโจมตีระลอกใหม่ – แฮกเกอร์ใช้ช่องโหว่ Zero-Day ฝังตัวแบบล่องหน” Cisco ออกคำเตือนด่วนถึงผู้ใช้งานอุปกรณ์ ASA 5500-X Series และ Secure Firewall หลังพบการโจมตีระลอกใหม่ที่ใช้ช่องโหว่ Zero-Day สองรายการ ได้แก่ CVE-2025-20333 และ CVE-2025-20362 ซึ่งเปิดทางให้แฮกเกอร์เข้าถึงระบบจากระยะไกล ติดตั้งมัลแวร์ และแม้แต่ทำให้เครื่องรีบูตโดยไม่ตั้งใจ การโจมตีครั้งนี้ไม่ใช่มัลแวร์ใหม่ แต่เป็นการพัฒนาเทคนิคจากกลุ่ม ArcaneDoor ที่เคยโจมตีในปี 2024 โดยใช้วิธีล่องหน เช่น ปิดระบบบันทึก log, ดัดแปลง firmware ROMMON และแทรกคำสั่ง CLI เพื่อหลบเลี่ยงการตรวจสอบ 🧠 เทคนิคการโจมตีที่ซับซ้อน 🎗️ ใช้ช่องโหว่ใน VPN web services บนอุปกรณ์รุ่นเก่า 🎗️ ปิดระบบบันทึก log เพื่อไม่ให้มีหลักฐาน 🎗️ ดัดแปลง ROMMON firmware เพื่อฝังตัวแม้หลังรีบูต 🎗️ แทรกคำสั่ง CLI และทำให้เครื่อง crash เพื่อขัดขวางการวิเคราะห์ ✅ รายละเอียดการโจมตี ➡️ ใช้ช่องโหว่ CVE-2025-20333 และ CVE-2025-20362 ➡️ ส่งผลให้สามารถเข้าถึงระบบจากระยะไกลและฝังมัลแวร์ ➡️ อุปกรณ์ที่ไม่มี Secure Boot และ Trust Anchor เสี่ยงสูง ✅ เทคนิคการล่องหนของแฮกเกอร์ ➡️ ปิดระบบบันทึก log เพื่อไม่ให้มีหลักฐาน ➡️ ดัดแปลง ROMMON firmware เพื่อคงการเข้าถึง ➡️ แทรกคำสั่ง CLI และทำให้เครื่อง crash เพื่อขัดขวางการวิเคราะห์ ✅ คำแนะนำจาก Cisco ➡️ ตรวจสอบรุ่นและ firmware ที่ใช้งานอยู่ ➡️ ปิด VPN web services ชั่วคราวหากยังไม่ได้อัปเดต ➡️ รีเซ็ตอุปกรณ์เป็นค่าโรงงาน และเปลี่ยนรหัสผ่าน, ใบรับรอง, คีย์ ➡️ อัปเกรดเป็นรุ่นที่รองรับ Secure Boot เพื่อความปลอดภัย ‼️ คำเตือนสำหรับผู้ใช้งาน Cisco Firewall ⛔ ASA 5500-X รุ่นเก่าไม่มี Secure Boot เสี่ยงต่อการถูกโจมตี ⛔ หากไม่รีเซ็ตอุปกรณ์ อาจมีมัลแวร์ฝังตัวอยู่แม้หลังรีบูต ⛔ การไม่อัปเดต firmware อาจเปิดช่องให้แฮกเกอร์เข้าถึงระบบได้ง่าย https://www.techradar.com/pro/security/cisco-firewalls-are-facing-another-huge-surge-of-attacks

🛡️ QNAP เร่งอุดช่องโหว่ 7 จุด หลังถูกเจาะในงาน Pwn2Own 2025 สวัสดีครับทุกคน วันนี้มีข่าวใหญ่ในวงการไซเบอร์ที่ต้องจับตามอง! บริษัท QNAP ซึ่งเป็นผู้ผลิตอุปกรณ์ NAS (Network-Attached Storage) ได้ออกประกาศเตือนภัยและปล่อยแพตช์อัปเดตด่วน หลังจากมีการเจาะระบบสำเร็จถึง 7 ช่องโหว่ในงานแข่งขันแฮกเกอร์ระดับโลก Pwn2Own Ireland 2025 เรื่องนี้ไม่ใช่แค่การโชว์ฝีมือของแฮกเกอร์ แต่เป็นการเปิดเผยช่องโหว่ที่อาจถูกนำไปใช้โจมตีจริงในโลกไซเบอร์ โดยช่องโหว่เหล่านี้กระทบทั้งระบบปฏิบัติการหลักของ QNAP และแอปสำคัญอย่างเครื่องมือสำรองข้อมูลและตัวกำจัดมัลแวร์ ซึ่งเป็นหัวใจของการปกป้องข้อมูลผู้ใช้ ทีมที่สามารถเจาะระบบได้มีทั้ง Summoning Team, DEVCORE, Team DDOS และแม้แต่เด็กฝึกงานจาก CyCraft! นี่แสดงให้เห็นว่าช่องโหว่เหล่านี้มีความร้ายแรงและเข้าถึงได้ง่ายเพียงใด นอกจากการรายงานข่าว ผมขอเสริมข้อมูลจากภายนอกว่า Pwn2Own เป็นงานแข่งขันที่มีชื่อเสียงมากในวงการความปลอดภัยไซเบอร์ โดยผู้เข้าแข่งขันจะได้รับเงินรางวัลและชื่อเสียงจากการค้นพบช่องโหว่ใหม่ ซึ่งหลายครั้งนำไปสู่การปรับปรุงระบบทั่วโลก ✅ ช่องโหว่ในระบบปฏิบัติการ QNAP ➡️ พบใน QTS และ QuTS hero หลายเวอร์ชัน ➡️ ช่องโหว่ CVE-2025-62847 ถึง CVE-2025-62849 ➡️ เสี่ยงต่อการถูกเจาะระบบจากระยะไกลและข้อมูลรั่วไหล ✅ ช่องโหว่ในแอปสำรองข้อมูล ➡️ HBS 3 Hybrid Backup Sync มีช่องโหว่ CVE-2025-62840 และ CVE-2025-62842 ➡️ ต้องอัปเดตเป็นเวอร์ชัน 26.2.0.938 ขึ้นไป ✅ ช่องโหว่ในแอปป้องกันมัลแวร์ ➡️ Malware Remover มีช่องโหว่ CVE-2025-11837 ➡️ ต้องอัปเดตเป็นเวอร์ชัน 6.6.8.20251023 ขึ้นไป ✅ ทีมที่เจาะระบบสำเร็จในงาน Pwn2Own ➡️ Summoning Team, DEVCORE, Team DDOS และ CyCraft intern ✅ ความสำคัญของงาน Pwn2Own ➡️ เป็นเวทีแข่งขันระดับโลกด้านความปลอดภัยไซเบอร์ ➡️ ส่งผลให้บริษัทต่างๆ เร่งอุดช่องโหว่เพื่อป้องกันการโจมตีจริง ‼️ คำเตือนสำหรับผู้ใช้ QNAP ⛔ หากยังไม่ได้อัปเดต อุปกรณ์ NAS อาจถูกเจาะและข้อมูลรั่วไหล ⛔ ช่องโหว่เหล่านี้ถูกพิสูจน์แล้วว่าใช้งานได้จริง ⛔ ควรอัปเดตเฟิร์มแวร์และแอปทันทีเพื่อความปลอดภัย ‼️ ความเสี่ยงจากการละเลยการอัปเดต ⛔ อาจถูกโจมตีจากแฮกเกอร์ที่นำเทคนิคจากงาน Pwn2Own ไปใช้ ⛔ ข้อมูลสำคัญใน NAS เช่นไฟล์งานหรือภาพถ่ายส่วนตัวอาจถูกขโมย หากคุณใช้ QNAP อย่ารอช้า รีบตรวจสอบเวอร์ชันและอัปเดตทันทีนะครับ เพื่อความปลอดภัยของข้อมูลและระบบของคุณเอง 💻🔐 https://securityonline.info/critical-warning-qnap-patches-seven-zero-days-exploited-at-pwn2own-2025/

🎯 กลุ่มแฮกเกอร์ Cavalry Werewolf โจมตีรัฐบาลรัสเซียด้วยมัลแวร์ ShellNET – ใช้ Telegram ควบคุมระบบจากระยะไกล กลุ่มแฮกเกอร์ชื่อว่า Cavalry Werewolf ได้เปิดปฏิบัติการโจมตีแบบเจาะจงต่อหน่วยงานรัฐบาลรัสเซีย โดยใช้มัลแวร์ตัวใหม่ชื่อ BackDoor.ShellNET.1 ที่สามารถควบคุมเครื่องเป้าหมายผ่าน Telegram และเปิดช่องให้แฮกเกอร์เข้าถึงข้อมูลลับและโครงสร้างเครือข่ายภายใน การโจมตีเริ่มต้นในเดือนกรกฎาคม 2025 เมื่อองค์กรเป้าหมายพบว่าอีเมลสแปมถูกส่งออกจากระบบของตนเอง ซึ่งนำไปสู่การสืบสวนภายในและพบว่าเป็นการโจมตีแบบฟิชชิ่ง โดยใช้ไฟล์เอกสารปลอมที่ถูกเข้ารหัสด้วยรหัสผ่านเพื่อหลอกให้เปิดใช้งานมัลแวร์ มัลแวร์ ShellNET ใช้โค้ดจากโปรเจกต์โอเพ่นซอร์ส Reverse-Shell-CS เมื่อถูกเปิดใช้งานจะสร้าง reverse shell เพื่อให้แฮกเกอร์สามารถสั่งงานจากระยะไกล และดาวน์โหลดเครื่องมือเพิ่มเติม เช่น Trojan.FileSpyNET.5 สำหรับขโมยไฟล์ และ BackDoor.Tunnel.41 สำหรับสร้าง SOCKS5 tunnel เพื่อสื่อสารแบบลับ กลุ่มนี้ยังใช้ Telegram bots เป็นเครื่องมือควบคุมมัลแวร์ ซึ่งช่วยซ่อนโครงสร้างพื้นฐานของผู้โจมตีได้อย่างแนบเนียน นอกจากนี้ยังมีการใช้โปรแกรมยอดนิยมที่ถูกดัดแปลง เช่น WinRAR, 7-Zip และ Visual Studio Code เพื่อเปิดช่องให้มัลแวร์ตัวอื่นทำงานเมื่อผู้ใช้เปิดโปรแกรมเหล่านี้ ✅ ลักษณะการโจมตี ➡️ เริ่มจากอีเมลฟิชชิ่งที่แนบไฟล์ปลอม ➡️ ใช้มัลแวร์ ShellNET สร้าง reverse shell ➡️ ดาวน์โหลดเครื่องมือขโมยข้อมูลและควบคุมระบบเพิ่มเติม ✅ เครื่องมือที่ใช้ในการโจมตี ➡️ Trojan.FileSpyNET.5 สำหรับขโมยไฟล์ ➡️ BackDoor.Tunnel.41 สำหรับสร้างช่องทางสื่อสารลับ ➡️ Telegram bots สำหรับควบคุมมัลแวร์จากระยะไกล ✅ การใช้โปรแกรมปลอม ➡️ ดัดแปลงโปรแกรมยอดนิยมให้เปิดมัลแวร์ ➡️ เช่น WinRAR, 7-Zip, Visual Studio Code ✅ เป้าหมายของการโจมตี ➡️ ข้อมูลลับขององค์กรรัฐบาล ➡️ โครงสร้างเครือข่ายภายใน ➡️ ข้อมูลผู้ใช้และระบบที่เชื่อมต่อ ✅ ประวัติของกลุ่ม Cavalry Werewolf ➡️ เคยโจมตีหน่วยงานรัฐและอุตสาหกรรมในรัสเซีย ➡️ ใช้ชื่อปลอมเป็นเจ้าหน้าที่รัฐบาลคีร์กีซ ➡️ มีความเชื่อมโยงกับกลุ่ม Silent Lynx และ YoroTrooper https://hackread.com/cavalry-werewolf-russia-government-shellnet-backdoor/

🛡️ “ช่องโหว่ CVE-2025-12779 ใน Amazon WorkSpaces Client for Linux เปิดทางผู้ใช้เข้าถึง WorkSpace ของกันและกัน” ลองจินตนาการว่าคุณใช้เครื่อง Linux ร่วมกับเพื่อนร่วมงาน แล้วจู่ ๆ เขาสามารถล็อกอินเข้า WorkSpace ของคุณได้โดยไม่ต้องมีรหัสผ่าน! นี่คือช่องโหว่ร้ายแรงที่ Amazon เพิ่งแก้ไขใน WorkSpaces Client for Linux ซึ่งอาจเปิดทางให้ผู้ใช้ในเครื่องเดียวกันเข้าถึง session ของกันและกันได้โดยไม่ตั้งใจ ช่องโหว่นี้มีรหัส CVE-2025-12779 และได้รับคะแนนความรุนแรง CVSS 8.8 ซึ่งถือว่าสูงมาก โดยเกิดจากการจัดการ authentication token ที่ไม่ปลอดภัยในเวอร์ชัน 2023.0 ถึง 2024.8 ของ WorkSpaces Client บน Linux ทำให้ token สำหรับการเชื่อมต่อแบบ DCV สามารถถูกอ่านโดยผู้ใช้คนอื่นในเครื่องเดียวกัน แม้ช่องโหว่นี้จะไม่สามารถถูกโจมตีจากระยะไกลได้ แต่ก็มีผลกระทบอย่างมากในสภาพแวดล้อมที่ใช้เครื่องร่วมกัน เช่น terminal สาธารณะ, thin-client, หรือ VM ที่มีผู้ใช้หลายคน Amazon ได้แก้ไขปัญหานี้ในเวอร์ชัน 2025.0 โดยปรับปรุงการจัดการ token และแยก session อย่างปลอดภัย ✅ ช่องโหว่ CVE-2025-12779 ใน WorkSpaces Client for Linux ➡️ เกิดจากการจัดการ authentication token ที่ไม่ปลอดภัย ➡️ ผู้ใช้ในเครื่องเดียวกันสามารถเข้าถึง WorkSpace ของกันและกันได้ ✅ ช่องโหว่มีผลในเวอร์ชัน 2023.0 ถึง 2024.8 ➡️ ได้รับคะแนน CVSS 8.8 ถือว่ารุนแรง ➡️ แก้ไขแล้วในเวอร์ชัน 2025.0 ด้วยการปรับปรุง session isolation ✅ ช่องโหว่มีผลเฉพาะในสภาพแวดล้อมแบบ multi-user ➡️ เช่น terminal สาธารณะ, thin-client, หรือ VM ที่แชร์กัน ➡️ ไม่สามารถถูกโจมตีจากระยะไกลโดยตรง ✅ ข้อมูลเสริมจากภายนอก ➡️ DCV (Desktop Cloud Visualization) เป็นโปรโตคอลที่ใช้ใน WorkSpaces เพื่อส่งภาพ desktop จาก cloud มายัง client ➡️ Token ที่ใช้ในระบบ DCV ควรถูกจัดเก็บในพื้นที่ที่จำกัดสิทธิ์การเข้าถึง ➡️ การใช้ Linux ในองค์กรแบบ multi-user ยังต้องการมาตรการแยก session ที่เข้มงวด https://securityonline.info/amazon-fixes-high-severity-authentication-token-exposure-in-workspaces-client-for-linux-cve-2025-12779/

🎣 “ClickFix หลอกลวง! แฮกเกอร์ยึดบัญชีโรงแรมบน Booking.com กระจายมัลแวร์ PureRAT” ลองจินตนาการว่าคุณได้รับอีเมลจาก Booking.com แจ้งว่ามีการจองใหม่เข้ามา พร้อมลิงก์ให้คลิกดูรายละเอียด…แต่พอคลิกไปกลับกลายเป็นกับดักของแฮกเกอร์! นี่คือแคมเปญฟิชชิ่งระดับโลกที่ถูกเปิดโปงโดยนักวิจัยจาก Sekoia.io ซึ่งพบว่าอาชญากรไซเบอร์กำลังใช้บัญชีโรงแรมที่ถูกแฮกบน Booking.com และ Expedia เพื่อหลอกล่อเหยื่อให้ติดตั้งมัลแวร์ PureRAT แคมเปญนี้เริ่มต้นจากการขโมยข้อมูลล็อกอินของโรงแรมหรือเอเจนซี่ท่องเที่ยว แล้วใช้บัญชีเหล่านั้นส่งอีเมลปลอมที่ดูเหมือนมาจาก Booking.com จริง ๆ โดยมีข้อมูลการจองจริงของลูกค้าเพื่อเพิ่มความน่าเชื่อถือ เมื่อเหยื่อคลิกลิงก์ จะถูกเปลี่ยนเส้นทางไปยังหน้าเว็บปลอมที่เลียนแบบระบบหลังบ้านของ Booking.com และถูกหลอกให้คัดลอกคำสั่ง PowerShell ไปวางในเครื่องตัวเอง ซึ่งเป็นจุดเริ่มต้นของการติดมัลแวร์ มัลแวร์ที่ใช้คือ PureRAT ซึ่งเป็น Remote Access Trojan (RAT) ที่สามารถขโมยไฟล์ บันทึกภาพหน้าจอ ดักพิมพ์คีย์บอร์ด และควบคุมเครื่องจากระยะไกลได้ โดยมัลแวร์นี้ถูกขายในรูปแบบ Malware-as-a-Service (MaaS) บนฟอรั่มใต้ดิน ✅ แคมเปญฟิชชิ่งใช้บัญชี Booking.com และ Expedia ที่ถูกแฮก ➡️ แฮกเกอร์ใช้ข้อมูลจองจริงของลูกค้าเพื่อเพิ่มความน่าเชื่อถือ ➡️ อีเมลปลอมมีหัวข้อเช่น “New guest message” หรือ “New last-minute booking” ✅ การโจมตีใช้เทคนิค ClickFix Infection Chain ➡️ เหยื่อถูกเปลี่ยนเส้นทางผ่านหลายโดเมนไปยังหน้าแอดมินปลอม ➡️ หน้าเว็บปลอมให้เหยื่อคัดลอกคำสั่ง PowerShell เพื่อรันมัลแวร์ ✅ มัลแวร์ PureRAT ถูกใช้ในการควบคุมเครื่องเหยื่อ ➡️ มีความสามารถในการขโมยข้อมูล ควบคุมกล้อง ไมโครโฟน และรันคำสั่ง ➡️ ใช้เทคนิค reflective DLL loading เพื่อหลบการตรวจจับ ✅ ตลาดใต้ดินมีการซื้อขายบัญชีโรงแรมพร้อมข้อมูลลูกค้า ➡️ ราคาขึ้นอยู่กับระดับสิทธิ์ของบัญชี บางบัญชีขายได้หลายพันดอลลาร์ ➡️ กลุ่ม “moderator_booking” ทำรายได้กว่า 20 ล้านดอลลาร์จากกิจกรรมนี้ ✅ ข้อมูลเสริมจากภายนอก ➡️ PureRAT เคยถูกใช้ในหลายแคมเปญโจมตีองค์กรทั่วโลก ➡️ การใช้ PowerShell เป็นเทคนิคยอดนิยมของแฮกเกอร์ เพราะสามารถรันคำสั่งได้โดยไม่ต้องติดตั้งโปรแกรม ➡️ Bulletproof hosting อย่างที่ใช้ในรัสเซียมักถูกใช้ซ่อนตัวตนของแฮกเกอร์ https://securityonline.info/booking-com-phishing-campaign-hijacks-hotel-accounts-to-deliver-purerat-via-clickfix-lure/

✈️ เตือนภัยไซเบอร์! ช่องโหว่ร้ายแรงในระบบ VizAir เสี่ยงต่อความปลอดภัยการบินทั่วโลก CISA (Cybersecurity and Infrastructure Security Agency) ออกประกาศเตือนด่วนเกี่ยวกับช่องโหว่ระดับ “วิกฤต” ในระบบตรวจอากาศ VizAir ที่ใช้ในสนามบินทั่วโลก โดยช่องโหว่เหล่านี้มีคะแนน CVSS สูงสุดที่ 10.0 ซึ่งหมายถึงความเสี่ยงระดับสูงสุดต่อการถูกโจมตีและส่งผลกระทบต่อความปลอดภัยของเที่ยวบิน Radiometrics VizAir เป็นระบบตรวจอากาศที่ใช้วิเคราะห์ข้อมูลสำคัญ เช่น ลมเฉือน (wind shear), การกลับด้านของอุณหภูมิ (temperature inversion), และ CAPE (Convective Available Potential Energy) เพื่อช่วยในการวางแผนการบินและการจัดการรันเวย์ CISA ระบุว่ามีช่องโหว่ 3 รายการที่เปิดโอกาสให้ผู้โจมตีสามารถ: 📍 เข้าถึงแผงควบคุมโดยไม่ต้องยืนยันตัวตน 📍 แก้ไขข้อมูลอากาศแบบเรียลไทม์ 📍 ปิดการแจ้งเตือนความเสี่ยง 📍 ดึงข้อมูลอากาศที่เป็นความลับ 📍 สร้างความสับสนให้กับระบบควบคุมการจราจรทางอากาศ Radiometrics ได้ออกแพตช์แก้ไขแล้วในเวอร์ชันเดือนสิงหาคม 2025 และแนะนำให้ผู้ใช้งานอัปเดตทันที พร้อมตั้งค่าการป้องกันเครือข่ายให้รัดกุม 📌 สรุปประเด็นสำคัญจากข่าว ✅ ช่องโหว่ CVE-2025-61945: เข้าถึงแผงควบคุม VizAir โดยไม่ต้องล็อกอิน ➡️ ผู้โจมตีสามารถแก้ไขข้อมูลลมเฉือน, inversion depth และ CAPE ได้ทันที ✅ ช่องโหว่ CVE-2025-54863: การเปิดเผย API key ผ่านไฟล์ config ➡️ ทำให้สามารถควบคุมระบบจากระยะไกลและดึงข้อมูลอากาศได้ ✅ ช่องโหว่ CVE-2025-61956: ไม่มีการตรวจสอบสิทธิ์ในการเรียก API ➡️ ผู้โจมตีสามารถเปลี่ยนการตั้งค่ารันเวย์และข้อมูลที่ส่งไปยัง ATC ได้ ✅ VizAir ใช้ในสนามบินทั่วโลกเพื่อวิเคราะห์สภาพอากาศ ➡️ มีบทบาทสำคัญในการตัดสินใจด้านความปลอดภัยการบิน ✅ Radiometrics ออกแพตช์แก้ไขในเวอร์ชัน 08/2025 ➡️ ผู้ใช้งานควรอัปเดตทันทีและตั้งค่าการป้องกันเครือข่ายให้ปลอดภัย ‼️ ช่องโหว่ทั้งหมดมีคะแนน CVSS 10.0 ⛔ หมายถึงความเสี่ยงระดับสูงสุดต่อการถูกโจมตี ‼️ หากระบบ VizAir ถูกโจมตี อาจทำให้เกิดอุบัติเหตุทางอากาศ ⛔ เช่น การจัดรันเวย์ผิดพลาด, การแจ้งเตือนลมเฉือนไม่ทำงาน ‼️ ระบบที่ยังไม่ได้อัปเดตมีความเสี่ยงสูง ⛔ โดยเฉพาะหากเชื่อมต่อกับเครือข่ายสาธารณะหรือไม่มีการยืนยันตัวตน 📚 เกร็ดความรู้เพิ่มเติม 🎗️ CAPE เป็นค่าที่ใช้วัดพลังงานในบรรยากาศที่อาจทำให้เกิดพายุฝนฟ้าคะนอง ซึ่งมีผลต่อการวางแผนการบิน 🎗️ การโจมตีระบบตรวจอากาศอาจไม่ใช่แค่เรื่องข้อมูลผิดพลาด แต่ส่งผลต่อการตัดสินใจของนักบินและเจ้าหน้าที่ควบคุมการบินโดยตรง 🎗️ การแยกระบบออกจากเครือข่ายสาธารณะและใช้การยืนยันตัวตนหลายชั้นเป็นแนวทางที่ดีที่สุดในการป้องกันการโจมตีลักษณะนี้ นี่คือการเตือนภัยที่ไม่ควรมองข้าม—เพราะความปลอดภัยของผู้โดยสารหลายพันคนอาจขึ้นอยู่กับการอัปเดตระบบเพียงครั้งเดียว 🛫🔐 https://securityonline.info/cisa-warns-critical-vizair-flaws-cvss-10-0-expose-airport-weather-systems-to-unauthenticated-manipulation/

🛡️ Chrome ปล่อยอัปเดตฉุกเฉิน! แก้ 3 ช่องโหว่ร้ายแรงใน WebGPU และ V8 เสี่ยงถูกโจมตีจากระยะไกล Google ออกอัปเดตฉุกเฉินสำหรับ Chrome Desktop เวอร์ชัน 142.0.7444.134/.135 เพื่อแก้ไขช่องโหว่ความปลอดภัย 5 รายการ โดยมี 3 รายการที่จัดอยู่ในระดับ “ร้ายแรง” ซึ่งอาจนำไปสู่การเจาะระบบหรือรันโค้ดอันตรายจากระยะไกลได้ Google ได้รับรายงานช่องโหว่จากนักวิจัยด้านความปลอดภัยหลายราย และรีบออกแพตช์เพื่อป้องกันการโจมตีที่อาจเกิดขึ้น โดยช่องโหว่ที่น่ากังวลที่สุดคือ: 1️⃣ CVE-2025-12725 – ช่องโหว่ใน WebGPU ที่เกิดจากการตรวจสอบขอบเขตหน่วยความจำไม่เหมาะสม อาจทำให้แฮกเกอร์สามารถเขียนข้อมูลเกินขอบเขตที่กำหนดได้ 2️⃣ CVE-2025-12726 – ช่องโหว่ใน Views component ซึ่งเกี่ยวข้องกับการจัดการ UI ของ Chrome อาจเปิดช่องให้เกิดการเข้าถึงวัตถุที่ไม่ควรเข้าถึง 3️⃣ CVE-2025-12727 – ช่องโหว่ใน V8 engine ซึ่งเป็นกลไกจัดการ JavaScript และ WebAssembly อาจถูกใช้สร้าง payload ที่รันโค้ดอันตรายผ่าน JIT compilation นอกจากนี้ยังมีช่องโหว่ระดับกลางอีก 2 รายการใน Omnibox ซึ่งอาจนำไปสู่การหลอกลวงผู้ใช้ผ่านการแสดงผลคำแนะนำ URL ที่ไม่ถูกต้อง ✅ Chrome ออกอัปเดตเวอร์ชัน 142.0.7444.134/.135 ➡️ รองรับ Windows, macOS และ Linux ✅ ช่องโหว่ CVE-2025-12725 ใน WebGPU ➡️ เกิดจากการเขียนข้อมูลเกินขอบเขตหน่วยความจำ ✅ ช่องโหว่ CVE-2025-12726 ใน Views component ➡️ เกี่ยวข้องกับการจัดการ UI ที่ไม่ปลอดภัย ✅ ช่องโหว่ CVE-2025-12727 ใน V8 engine ➡️ อาจถูกใช้สร้าง payload ที่รันโค้ดอันตรายผ่าน JIT ✅ ช่องโหว่ระดับกลางใน Omnibox (CVE-2025-12728 และ CVE-2025-12729) ➡️ เสี่ยงต่อการหลอกลวงหรือแสดงผลคำแนะนำ URL ที่ผิด ✅ Google แนะนำให้อัปเดต Chrome ทันที ➡️ ไปที่ Settings → Help → About Google Chrome เพื่อเริ่มการอัปเดต ‼️ ช่องโหว่ WebGPU มีความเสี่ยงสูง ⛔ อาจถูกใช้ร่วมกับช่องโหว่อื่นเพื่อหลบหนี sandbox และเข้าถึงระบบ ‼️ ช่องโหว่ใน V8 engine เป็นเป้าหมายหลักของแฮกเกอร์ ⛔ มักถูกใช้ใน zero-day exploit ก่อนที่แพตช์จะถูกปล่อย 📚 สาระเพิ่มเติมจากภายนอก 🎗️ WebGPU เป็น API ใหม่ที่ให้การเข้าถึง GPU โดยตรงในเบราว์เซอร์ ซึ่งช่วยให้การประมวลผลกราฟิกและ machine learning เร็วขึ้น แต่ก็เปิดช่องให้เกิดช่องโหว่ได้ง่ายขึ้น 🎗️ V8 engine เป็นหัวใจของ Chrome ที่จัดการการทำงานของ JavaScript และ WebAssembly ซึ่งหากถูกโจมตีสำเร็จ อาจทำให้แฮกเกอร์ควบคุมระบบได้ทันที 🎗️ ช่องโหว่ใน Omnibox แม้จะไม่ร้ายแรงเท่า แต่ก็สามารถใช้ในการหลอกลวงผู้ใช้ผ่านการแสดงผล URL ปลอมได้ การอัปเดต Chrome ครั้งนี้จึงไม่ใช่แค่เรื่องของฟีเจอร์ใหม่ แต่เป็นการป้องกันภัยไซเบอร์ที่อาจเกิดขึ้นได้ทุกเมื่อ หากคุณยังไม่ได้อัปเดต—ถึงเวลายกข้อมือแล้วคลิกอัปเดตทันที! 🔧💻 https://securityonline.info/chrome-emergency-fix-three-high-severity-flaws-in-webgpu-and-v8-engine-risk-rce/

📱 หัวข้อข่าว: พบช่องโหว่ Zero-Click RCE ร้ายแรงใน Android 13–16—แนะผู้ใช้รีบอัปเดตทันที! Google ได้ออกประกาศเตือนภัยผ่าน Android Security Bulletin ประจำเดือนพฤศจิกายน 2025 ถึงช่องโหว่ร้ายแรงระดับ “critical” ที่พบใน System Component ของ Android เวอร์ชัน 13 ถึง 16 โดยช่องโหว่นี้สามารถถูกโจมตีจากระยะไกลโดยไม่ต้องมีการโต้ตอบจากผู้ใช้เลย—หรือที่เรียกว่า “Zero-Click Remote Code Execution (RCE)” ซึ่งอาจเปิดทางให้แฮกเกอร์เข้าควบคุมอุปกรณ์ได้ทันที ✅ ช่องโหว่ CVE-2025-48593 ถูกจัดอยู่ในระดับ “critical” ➡️ ไม่ต้องใช้สิทธิ์เพิ่มเติมในการโจมตี ➡️ ไม่ต้องมีการโต้ตอบจากผู้ใช้ เช่น การคลิกลิงก์หรือเปิดไฟล์ ✅ ส่งผลกระทบต่อ Android เวอร์ชัน 13 ถึง 16 ➡️ ครอบคลุมอุปกรณ์จำนวนมากในตลาด ➡️ ผู้ใช้ควรตรวจสอบว่าได้รับแพตช์เดือนพฤศจิกายน 2025 แล้วหรือยัง ✅ Google ยังไม่เปิดเผยรายละเอียดทางเทคนิค ➡️ เพื่อป้องกันการนำไปใช้โจมตีในวงกว้าง ➡️ แต่ยืนยันว่าความรุนแรงขึ้นอยู่กับการหลบหลีกมาตรการป้องกันของระบบ ✅ แพตช์ความปลอดภัย 2025-11-01 ได้แก้ไขช่องโหว่นี้แล้ว ➡️ ผู้ผลิตเช่น Samsung, Pixel, OnePlus จะรวมแพตช์ใน OTA ประจำเดือน ➡️ การอัปเดตทันทีเป็นสิ่งจำเป็นเพื่อความปลอดภัย ✅ ช่องโหว่อื่นที่ถูกแก้ไขร่วมด้วย ➡️ CVE-2025-48581: Elevation of Privilege (EoP) ใน System Component ➡️ อาจทำให้ผู้โจมตีเข้าถึงสิทธิ์ระดับสูงในอุปกรณ์ https://securityonline.info/android-zero-click-rce-cve-2025-48593-in-system-component-requires-immediate-patch-for-versions-13-16/