🕵️‍♂️📎 เรื่องเล่าจากโลกไซเบอร์: เมื่อ Discord กลายเป็นประตูหลังให้แฮกเกอร์ผ่าน OneDrive ปลอม ในยุคที่ทุกคนคุ้นเคยกับการแชร์ไฟล์ผ่าน OneDrive และใช้ Discord เป็นช่องทางสื่อสารหลัก แฮกเกอร์ก็ใช้ความคุ้นเคยนี้เป็นเครื่องมือโจมตีแบบแนบเนียน ล่าสุด Sublime Security พบแคมเปญฟิชชิ่งที่ใช้ลิงก์จาก Discord CDN ปลอมตัวเป็นไฟล์จาก OneDrive เพื่อหลอกให้เหยื่อดาวน์โหลดมัลแวร์ แฮกเกอร์ส่งอีเมลจากบัญชีที่ถูกเจาะแล้ว โดยปลอมเป็นข้อความแจ้งเตือนจาก OneDrive พร้อมไอคอน Word และ footer ที่ดูเหมือนของจริง แต่ลิงก์ในอีเมลนั้นไม่ได้พาไปโหลดไฟล์ .docx อย่างที่อ้าง กลับเป็นไฟล์ .msi ที่ซ่อนมัลแวร์ไว้ เมื่อเหยื่อคลิกและติดตั้งไฟล์นั้น จะมีโปรแกรมควบคุมระยะไกล (RMM) สองตัวถูกติดตั้งพร้อมกัน ได้แก่ Atera ที่ติดตั้งแบบเห็นได้ชัด และ Splashtop Streamer ที่ทำงานเงียบ ๆ เบื้องหลัง พร้อมกับ .NET Runtime 8 ทั้งหมดนี้ถูกโหลดจากแหล่งที่ดูน่าเชื่อถือ ทำให้ยากต่อการตรวจจับ การใช้ RMM แบบหลายตัวช่วยให้แฮกเกอร์รักษาการควบคุมเครื่องแม้จะมีการตรวจพบบางส่วน และสามารถใช้เครื่องเหยื่อในการขโมยข้อมูล เรียกค่าไถ่ หรือเป็นฐานส่งมัลแวร์ต่อไป นอกจากนี้ยังมีแคมเปญอื่นที่ใช้ Discord CDN เพื่อส่งไฟล์ลัดที่เรียก PowerShell ดาวน์โหลดมัลแวร์จากลิงก์ที่ถูกดัดแปลงให้หลบการตรวจจับได้ ทำให้ Discord ซึ่งเป็นแพลตฟอร์มที่เชื่อถือได้ กลายเป็นช่องทางโจมตีที่อันตรายอย่างคาดไม่ถึง ✅ พบแคมเปญฟิชชิ่งปลอมเป็น OneDrive โดยใช้ Discord CDN เป็นที่เก็บไฟล์ ➡️ อีเมลปลอมมีไอคอน Word และ footer ที่ดูเหมือนของจริง ✅ ไฟล์ที่โหลดเป็น .msi แทนที่จะเป็น .docx ตามที่อ้าง ➡️ ใช้เทคนิค file extension manipulation เพื่อหลอกเหยื่อ ✅ ติดตั้ง RMM สองตัวคือ Atera และ Splashtop Streamer ➡️ Atera ติดตั้งแบบเห็นได้ชัด ส่วน Splashtop ทำงานเงียบ ๆ ✅ ใช้ .NET Runtime 8 เพื่อเสริมการทำงานของมัลแวร์ ➡️ ทั้งหมดโหลดจากแหล่งที่ดูปลอดภัย ทำให้ตรวจจับยาก ✅ Sublime Security ตรวจพบด้วยระบบ AI ที่วิเคราะห์พฤติกรรมอีเมล ➡️ เช่น การส่งถึงผู้รับไม่เปิดเผย และการใช้ลิงก์จาก Discord CDN ✅ Discord CDN ถูกใช้ในหลายแคมเปญมัลแวร์ช่วงปี 2024–2025 ➡️ เช่นการฝัง PowerShell shortcut ในไฟล์ zip เพื่อโหลดมัลแวร์ ✅ แฮกเกอร์ใช้เทคนิค URL obfuscation เพื่อหลบการตรวจจับ ➡️ เช่นการแทนที่บางส่วนของลิงก์เพื่อให้ระบบความปลอดภัยมองข้าม ✅ RMM เป็นเครื่องมือที่ถูกต้องตามกฎหมายแต่ถูกนำไปใช้ในทางร้าย ➡️ ใช้ควบคุมเครื่องเหยื่อจากระยะไกลโดยไม่ต้องใช้ backdoor ✅ การโจมตีแบบ multi-stage ช่วยให้แฮกเกอร์รักษาการควบคุมได้ยาวนาน ➡️ แม้จะมีการลบโปรแกรมบางตัว ก็ยังมีอีกตัวทำงานอยู่ https://hackread.com/discord-cdn-link-deliver-rat-disguised-onedrive-file/

🎙️ เรื่องเล่าจากข่าว: กล้องวงจรปิด Dahua เสี่ยงถูกแฮก—Bitdefender เตือนให้อัปเดตด่วน! Bitdefender บริษัทด้านความปลอดภัยไซเบอร์ชื่อดัง ได้เปิดเผยช่องโหว่ร้ายแรง 2 รายการในกล้อง Dahua รุ่น Hero C1 และอีกหลายรุ่นที่ใช้โปรโตคอล ONVIF และระบบจัดการไฟล์แบบ RPC ช่องโหว่เหล่านี้เปิดทางให้ผู้ไม่ประสงค์ดีสามารถควบคุมกล้องได้จากระยะไกล โดยไม่ต้องมีสิทธิ์เข้าระบบ ช่องโหว่แรก (CVE-2025-31700) เป็นการล้นบัฟเฟอร์บน stack จากการจัดการ HTTP header ที่ผิดพลาดใน ONVIF protocol ส่วนช่องโหว่ที่สอง (CVE-2025-31701) เป็นการล้นหน่วยความจำ .bss จากการจัดการข้อมูลไฟล์อัปโหลดที่ไม่ปลอดภัย Bitdefender รายงานช่องโหว่ต่อ Dahua ตั้งแต่เดือนมีนาคม 2025 และ Dahua ได้ออกแพตช์แก้ไขเมื่อวันที่ 7 กรกฎาคม 2025 พร้อมเผยแพร่คำแนะนำสาธารณะในวันที่ 23 กรกฎาคม 2025 ✅ พบช่องโหว่ร้ายแรง 2 รายการในกล้อง Dahua รุ่น Hero C1 และรุ่นอื่น ๆ ➡️ CVE-2025-31700: Stack-based buffer overflow ใน ONVIF protocol ➡️ CVE-2025-31701: .bss segment overflow ใน file upload handler ✅ ช่องโหว่เปิดทางให้แฮกเกอร์ควบคุมกล้องจากระยะไกลโดยไม่ต้องล็อกอิน ➡️ สามารถรันคำสั่ง, ติดตั้งมัลแวร์, และเข้าถึง root-level ได้ ➡️ เสี่ยงต่อการถูกใช้เป็นฐานโจมตีหรือสอดแนม ✅ กล้องที่ได้รับผลกระทบรวมถึง IPC-1XXX, IPC-2XXX, IPC-WX, SD-series และอื่น ๆ ➡️ เฟิร์มแวร์ที่เก่ากว่า 16 เมษายน 2025 ถือว่าเสี่ยง ➡️ ผู้ใช้สามารถตรวจสอบเวอร์ชันได้จากหน้า Settings → System Information ✅ Bitdefender และ Dahua ร่วมมือกันในการเปิดเผยช่องโหว่แบบมีความรับผิดชอบ ➡️ รายงานครั้งแรกเมื่อ 28 มีนาคม 2025 ➡️ Dahua ออกแพตช์เมื่อ 7 กรกฎาคม และเผยแพร่คำแนะนำเมื่อ 23 กรกฎาคม ✅ ช่องโหว่สามารถถูกโจมตีผ่านเครือข่ายภายในหรืออินเทอร์เน็ต หากเปิดพอร์ตหรือใช้ UPnP ➡️ การเปิด web interface สู่ภายนอกเพิ่มความเสี่ยง ➡️ UPnP และ port forwarding ควรถูกปิดทันที https://hackread.com/bitdefender-update-dahua-cameras-critical-flaws/

🎙️ เรื่องเล่าจากข่าว: เมื่อไฟล์ลัดกลายเป็นประตูหลัง—REMCOS RAT แฝงตัวผ่าน LNK และ PowerShell โดยไม่ทิ้งร่องรอย ทีมวิจัย Lat61 จากบริษัท Point Wild ได้เปิดเผยแคมเปญมัลแวร์หลายขั้นตอนที่ใช้ไฟล์ลัด Windows (.lnk) เป็นตัวเปิดทางให้ REMCOS RAT เข้าสู่ระบบของเหยื่อ โดยเริ่มจากไฟล์ที่ดูเหมือนไม่มีพิษภัย เช่น “ORDINE-DI-ACQUIST-7263535.lnk” ซึ่งเมื่อคลิกแล้วจะรันคำสั่ง PowerShell แบบลับ ๆ เพื่อดาวน์โหลด payload ที่ถูกเข้ารหัสแบบ Base64 จากเซิร์ฟเวอร์ภายนอก หลังจากถอดรหัสแล้ว payload จะถูกเปิดใช้งานในรูปแบบไฟล์ .PIF ที่ปลอมเป็น CHROME.PIF เพื่อหลอกว่าเป็นโปรแกรมจริง ก่อนจะติดตั้ง REMCOS RAT ซึ่งสามารถควบคุมคอมพิวเตอร์ได้เต็มรูปแบบ—ตั้งแต่ keylogging, เปิดกล้อง, ไปจนถึงการสร้าง shell ระยะไกล แคมเปญนี้ยังใช้เทคนิคหลบเลี่ยงการตรวจจับ เช่น ไม่ใช้ไฟล์บนดิสก์, ไม่ใช้ macro, และไม่แสดงคำเตือนใด ๆ ทำให้ผู้ใช้ทั่วไปแทบไม่รู้ตัวว่าโดนโจมตี ✅ แคมเปญมัลแวร์ใหม่ใช้ไฟล์ลัด Windows (.lnk) เป็นช่องทางติดตั้ง REMCOS RAT ➡️ ไฟล์ลัดปลอมเป็นเอกสารหรือโปรแกรม เช่น “ORDINE-DI-ACQUIST…” ➡️ เมื่อคลิกจะรัน PowerShell แบบลับ ๆ ✅ PowerShell ถูกใช้เพื่อดาวน์โหลด payload ที่ถูกเข้ารหัสแบบ Base64 จากเซิร์ฟเวอร์ภายนอก ➡️ ไม่ใช้ไฟล์บนดิสก์หรือ macro ทำให้หลบการตรวจจับได้ ➡️ payload ถูกเปิดใช้งานในรูปแบบไฟล์ .PIF ปลอมชื่อเป็น CHROME.PIF ✅ REMCOS RAT ให้ผู้โจมตีควบคุมระบบได้เต็มรูปแบบ ➡️ keylogging, เปิดกล้อง, สร้าง shell ระยะไกล, เข้าถึงไฟล์ ➡️ สร้าง log file ใน %ProgramData% เพื่อเก็บข้อมูลการกดแป้นพิมพ์ ✅ เซิร์ฟเวอร์ควบคุม (C2) ของแคมเปญนี้อยู่ในสหรัฐฯ และโรมาเนีย ➡️ แสดงให้เห็นว่าการโจมตีสามารถมาจากหลายประเทศ ➡️ ใช้โครงสร้างแบบกระจายเพื่อหลบการติดตาม ✅ ไฟล์ลัดไม่แสดงคำเตือน macro และสามารถหลอกผู้ใช้ได้ง่าย ➡️ Windows ซ่อนนามสกุลไฟล์โดยค่าเริ่มต้น ➡️ ไฟล์ .lnk อาจดูเหมือน .pdf หรือ .docx. ‼️ ไฟล์ลัด (.lnk) สามารถรันคำสั่งอันตรายได้โดยไม่ต้องใช้ macro หรือไฟล์ .exe ⛔ ผู้ใช้มักเข้าใจผิดว่าเป็นไฟล์เอกสาร ⛔ ไม่มีการแจ้งเตือนจากระบบความปลอดภัยของ Office ‼️ REMCOS RAT สามารถทำงานแบบ fileless โดยไม่ทิ้งร่องรอยบนดิสก์ ⛔ ยากต่อการตรวจจับด้วย antivirus แบบดั้งเดิม ⛔ ต้องใช้ระบบป้องกันแบบ real-time และ behavioral analysis ‼️ การปลอมชื่อไฟล์และไอคอนทำให้ผู้ใช้หลงเชื่อว่าเป็นไฟล์จริง ⛔ Windows ซ่อนนามสกุลไฟล์โดยค่าเริ่มต้น ⛔ ไฟล์ .lnk อาจดูเหมือน “Invoice.pdf” ทั้งที่เป็น shortcut ‼️ การเปิดไฟล์จากอีเมลหรือเครือข่ายที่ไม่ปลอดภัยอาจนำไปสู่การติดมัลแวร์ทันที ⛔ ไม่ควรเปิดไฟล์แนบจากผู้ส่งที่ไม่รู้จัก ⛔ ควรใช้ sandbox หรือระบบแยกเพื่อทดสอบไฟล์ก่อนเปิด https://hackread.com/attack-windows-shortcut-files-install-remcos-backdoor/

#กฎอัยการศึกทั่วไทยเพื่อปกป้องชาติ. #ฑูตอเมริกาเชิญออกไปชั่วคราวจากประเทศไทย. ..ทหารไทยเรานำโดรนไทยชนิดปล่อยระเบิด,บรรทุกใบปลิวข่าวทหารทหารศพไร้ญาติเน่าเปื่อยตามพรมแดนแนวรบกว่า5,000นายกว่า10,000นายตายโดยรัฐบาลฮุนเซนไม่เก็บศพส่งญาติทหารเขมร.,เอาใบปลิวข่าวจริงนี้ไปทิ้งในชุมชนเมือง ชุมชนหมู่บ้านทั่วประเทศเขมรโดยโดรนไทยเรา ปฏิบัติทางด้านประชาชนจะสามารถทำลายฮุนเซนจากภายในได้อีกทาง,โดรนไทยโรยใบปลิวทั่วป่าทั่วเมืองทั่วชุมชนหมู่บ้านมันเลยหรือทั่วเขมรยิ่งดี,ฮุนเซนจะบอกความจริงกับชาวบ้านมันอย่างไร,จะปกปิดผ่านมือถือแทบไม่ได้เลยด้วย,บอกเพจบอกเว็บเป็นภาษเขมรในใบปลิวด้วยว่าถ้าอยากรู้ความจริงที่ฮุนเซนหลอกลวงชาวบ้านประชาชนไปตายแบบทหารเขมรให้ติดตามเพจติดตามเว็บนี้ได้เลยเพิ่มในใบปลิวที่จะไปโปรยทิ้งลงด้วยโดรนทิ้งระเบิดเราด้วย,ปฏิบัติการนี้คือทิ้งความจริงใส่ประชาชนคนเขมรเพื่อจัดการฮุนเซนคนพามรึงไปตายเองทั้งประเทศ, ..ใช้บินโปรยตอนกลางคืนได้,ล็อกพิกัดGPSเลยล่วงหน้าจะไปโปรยทิ้งที่ไหน,หรือใช้โดรนที่บินระยะไกลได้150-300กม.ไปกลับได้ปล่อยภัย,ใบปลิวมีรูปถ่ายทางอากาศที่ทหารเขมรตายอยู่ที่ไหนบ้างคร่าวๆก็ได้. https://youtube.com/watch?v=pR3g4A9LTa8&si=2GlhijKqBtGcnGNg https://youtube.com/watch?v=pR3g4A9LTa8&si=2GlhijKqBtGcnGNg

คณะทูตเห็นกับตา จุดเขมรถล่มคนไทย : [NEWS UPDATE] พลตรี วินธัย สุวารี โฆษกกองทัพบก นำคณะเอกอัครราชทูต ผู้ช่วยทูตทหารและสื่อมวลชน ดูความเสียหายจากการที่ทหารกัมพูชายิงจรวด BM-21 ใส่ร้านสะดวกซื้อ และปั๊มน้ำมัน ที่ อ.กันทรลักษ์ จ.ศรีสะเกษ ซึ่งเป็นจุดที่ถูกโจมตีวันแรก มีผู้เสียชีวิตจำนวนมากหนึ่งในนั้นเป็นเด็ก เพื่อให้เห็นผลกระทบที่เกิดกับประชาชน จากการใช้อาวุธระยะไกล ซึ่งพื้นที่ส่วนใหญ่อยู่ห่างจากพื้นที่ปฏิบัติการทางทหารแนวชายแดนถึง 30 กม. ผิดหลักกฎหมาย หลักมนุษยธรรม และยังมีบ้านพลเรือน โรงพยาบาล โรงเรียน ที่ถูกโจมตี ซึ่งเข้าเงื่อนไขสิทธิมนุษยชน โดยมี ครอบครัวผู้เสียชีวิต จากการถูกกัมพูชา ยิงจรวด BM-21 ถล่มปั๊มน้ำมัน มาร้องขอความเป็นธรรมจากคณะทูตต่างชาติด้วย โลกต้องรู้ทุกรายละเอียด หลักฐานคลิปเสียงไร้น้ำหนัก ฟัน"พิเชษฐ์"ใช้อำนาจแปรงบ ภาษี 19% ไทยแข่งได้

🎙️ เรื่องเล่าจากข่าว: ธีม WordPress “Alone” ถูกเจาะทะลุ—เปิดทางให้แฮกเกอร์ยึดเว็บแบบเงียบ ๆ ธีม Alone – Charity Multipurpose Non-profit ซึ่งถูกใช้ในเว็บไซต์องค์กรการกุศลกว่า 200 แห่งทั่วโลก ถูกพบช่องโหว่ร้ายแรง CVE-2025-4394 ที่เปิดให้ผู้ไม่ประสงค์ดีสามารถอัปโหลดไฟล์ ZIP ที่มี backdoor PHP เพื่อรันคำสั่งจากระยะไกล และสร้างบัญชีผู้ดูแลระบบปลอมได้ทันที ช่องโหว่นี้มีอยู่ในทุกเวอร์ชันก่อน 7.8.5 ซึ่งเพิ่งได้รับการแก้ไขเมื่อวันที่ 16 มิถุนายน 2025 แต่การโจมตีเริ่มขึ้นตั้งแต่วันที่ 12 กรกฎาคม ก่อนที่ช่องโหว่จะถูกเปิดเผยต่อสาธารณะเพียง 2 วัน โดย Wordfence รายงานว่ามีความพยายามโจมตีมากกว่า 120,000 ครั้งแล้วจากหลาย IP ทั่วโลก แฮกเกอร์ใช้ช่องโหว่นี้เพื่อ: - สร้างบัญชีแอดมินปลอม - อัปโหลดมัลแวร์ - เปลี่ยนเส้นทางผู้เยี่ยมชมไปยังเว็บฟิชชิ่ง - ใช้เว็บไซต์เป็นฐานปล่อยมัลแวร์อื่น ✅ ธีม Alone – Charity Multipurpose ถูกพบช่องโหว่ร้ายแรง CVE-2025-4394 ➡️ คะแนนความรุนแรง 9.8/10 ➡️ เปิดทางให้แฮกเกอร์อัปโหลดไฟล์และรันคำสั่งจากระยะไกล ✅ ช่องโหว่นี้มีอยู่ในทุกเวอร์ชันก่อน 7.8.5 ➡️ เวอร์ชันที่ปลอดภัยคือ 7.8.5 ขึ้นไป ➡️ ผู้ใช้ควรอัปเดตทันทีเพื่อป้องกันการโจมตี ✅ Wordfence รายงานว่ามีการโจมตีมากกว่า 120,000 ครั้งแล้ว ➡️ เริ่มโจมตีตั้งแต่วันที่ 12 กรกฎาคม 2025 ➡️ ใช้ไฟล์ ZIP ที่มี backdoor เช่น wp-classic-editor.zip ✅ แฮกเกอร์สามารถสร้างบัญชีแอดมินปลอมและควบคุมเว็บไซต์ได้เต็มรูปแบบ ➡️ ใช้เว็บไซต์เป็นฐานปล่อยมัลแวร์หรือ redirect ไปยังเว็บอันตราย ➡️ อาจส่งผลต่อชื่อเสียงและข้อมูลผู้ใช้งาน ✅ ธีมนี้ถูกใช้ในเว็บไซต์องค์กรการกุศลและ NGO กว่า 200 แห่งทั่วโลก ➡️ มีฟีเจอร์ donation integration และรองรับ Elementor/WPBakery ➡️ เป็นธีมเชิงพาณิชย์ที่ได้รับความนิยมในกลุ่มไม่แสวงหากำไร ‼️ หากยังใช้เวอร์ชันก่อน 7.8.5 เว็บไซต์ของคุณเสี่ยงต่อการถูกยึดครองทันที ⛔ ช่องโหว่เปิดให้ผู้ไม่ประสงค์ดีเข้าถึงระบบโดยไม่ต้องล็อกอิน ⛔ อาจถูกใช้เป็นฐานปล่อยมัลแวร์หรือขโมยข้อมูลผู้ใช้ ‼️ การโจมตีเกิดขึ้นก่อนการเปิดเผยช่องโหว่ต่อสาธารณะ ⛔ แสดงว่าแฮกเกอร์ติดตามการเปลี่ยนแปลงโค้ดอย่างใกล้ชิด ⛔ อาจมีการโจมตีแบบ zero-day ในธีมอื่น ๆ อีก ‼️ ผู้ดูแลเว็บไซต์อาจไม่รู้ว่าถูกเจาะ เพราะมัลแวร์ถูกซ่อนไว้อย่างแนบเนียน ⛔ เช่น การสร้างผู้ใช้ชื่อ “officialwp” หรือการซ่อนไฟล์ใน mu-plugins ⛔ ต้องตรวจสอบ log และผู้ใช้แอดมินอย่างละเอียด ‼️ การใช้ธีมและปลั๊กอินจากแหล่งที่ไม่ปลอดภัยเพิ่มความเสี่ยงอย่างมาก ⛔ ธีมเชิงพาณิชย์ที่ไม่มีการอัปเดตสม่ำเสมออาจมีช่องโหว่ ⛔ ควรใช้ธีมที่ได้รับการตรวจสอบจากผู้เชี่ยวชาญด้านความปลอดภัย https://www.techradar.com/pro/security/hackers-target-critical-wordpress-theme-flaw-thousands-of-sites-at-risk-from-potential-takeover-find-out-if-youre-affected

🧠 เรื่องเล่าจากข่าว: “H20 ของ Nvidia” กลายเป็นจุดชนวนใหม่ในสงครามเทคโนโลยีระหว่างจีนกับสหรัฐ หลังจากสหรัฐฯ ยกเลิกคำสั่งห้ามส่งออกชิป H20 ของ Nvidia ไปยังจีนเมื่อเดือนกรกฎาคม 2025 ซึ่งก่อนหน้านั้นเคยถูกแบนในเดือนเมษายนเนื่องจากข้อกังวลด้านความมั่นคง ล่าสุด Cyberspace Administration of China (CAC) ได้เรียกตัว Nvidia เข้าพบเพื่อขอคำชี้แจงเกี่ยวกับ “ความเสี่ยงด้านความปลอดภัย” ของชิป H20 ที่กำลังจะกลับมาวางขายในจีน CAC อ้างว่าได้รับข้อมูลจากผู้เชี่ยวชาญด้าน AI ของสหรัฐฯ ว่าชิป H20 อาจมีฟีเจอร์ “ติดตามตำแหน่ง” และ “ปิดการทำงานจากระยะไกล” ซึ่งอาจกระทบต่อความเป็นส่วนตัวของผู้ใช้ชาวจีน และละเมิดกฎหมายความปลอดภัยไซเบอร์ของประเทศ ด้าน Nvidia ยืนยันว่า “ไม่มี backdoor” ในชิปของตน และให้ความสำคัญกับความปลอดภัยไซเบอร์อย่างสูงสุด พร้อมเตรียมส่งเอกสารชี้แจงตามคำขอของ CAC ขณะเดียวกัน นักการเมืองสหรัฐฯ ก็เคยเสนอให้มีการติดตั้งระบบติดตามในชิปที่ส่งออกไปต่างประเทศ เพื่อป้องกันการลักลอบนำไปใช้ในทางที่ผิด โดยเฉพาะในจีน ซึ่งอาจนำไปใช้พัฒนา AI ทางทหารหรือระบบเซ็นเซอร์ตรวจสอบประชาชน ✅ จีนเรียกตัว Nvidia เข้าพบเพื่อขอคำชี้แจงเกี่ยวกับความเสี่ยงด้านความปลอดภัยของชิป H20 ➡️ CAC ต้องการเอกสารสนับสนุนเกี่ยวกับความเสี่ยงด้าน backdoor และการติดตาม ➡️ อ้างอิงจากรายงานของผู้เชี่ยวชาญ AI สหรัฐฯ ✅ ชิป H20 ถูกพัฒนาขึ้นเพื่อให้ผ่านข้อจำกัดการส่งออกของสหรัฐฯ โดยมีประสิทธิภาพต่ำกว่าชิป H100 ➡️ ถูกแบนในเดือนเมษายน 2025 และกลับมาขายได้ในเดือนกรกฎาคม ➡️ Nvidia สั่งผลิตเพิ่มอีก 300,000 ตัวจาก TSMC เพื่อรองรับความต้องการในจีน ✅ Nvidia ยืนยันว่าไม่มี backdoor ในชิปของตน และให้ความสำคัญกับความปลอดภัยไซเบอร์ ➡️ “ไม่มีช่องทางลับในการควบคุมหรือเข้าถึงจากระยะไกล” ➡️ พร้อมส่งเอกสารชี้แจงตามคำขอของ CAC ✅ นักการเมืองสหรัฐฯ เสนอให้มีการติดตั้งระบบติดตามในชิปที่ส่งออกไปต่างประเทศ ➡️ เช่น Chip Security Act ที่เสนอให้มีระบบตรวจสอบตำแหน่งและการใช้งาน ➡️ ยังไม่มีการผ่านเป็นกฎหมายอย่างเป็นทางการ ✅ จีนยังคงต้องพึ่งพาชิปของ Nvidia สำหรับงานวิจัยและการพัฒนา AI ภายในประเทศ ➡️ แม้จะมีการผลักดันชิปภายในประเทศ เช่น Huawei 910C ➡️ แต่ยังไม่สามารถทดแทน Nvidia ได้ในหลายด้าน https://www.techspot.com/news/108886-china-summons-nvidia-over-potential-security-concerns-h20.html

🎙️ เรื่องเล่าจากโลกไซเบอร์: เมื่อ FBI ปิดบัญชี Chaos ด้วย Bitcoin ในเดือนเมษายน 2025 FBI Dallas ได้ยึด Bitcoin จำนวน 20.2891382 BTC จากกระเป๋าเงินดิจิทัลของสมาชิกกลุ่ม Chaos ransomware ที่ใช้ชื่อว่า “Hors” ซึ่งเชื่อมโยงกับการโจมตีไซเบอร์และเรียกค่าไถ่จากเหยื่อในรัฐเท็กซัสและพื้นที่อื่น ๆ Chaos เป็นกลุ่มแรนซัมแวร์แบบ RaaS (Ransomware-as-a-Service) ที่เพิ่งเกิดขึ้นในเดือนกุมภาพันธ์ 2025 โดยเชื่อว่าเป็นการรวมตัวของอดีตสมาชิกกลุ่ม BlackSuit ซึ่งถูกปราบปรามโดยปฏิบัติการระหว่างประเทศชื่อ “Operation Checkmate” กลุ่ม Chaos ใช้เทคนิคการโจมตีแบบ double extortion คือการเข้ารหัสไฟล์ของเหยื่อและขโมยข้อมูลเพื่อข่มขู่เปิดเผยหากไม่จ่ายค่าไถ่ โดยเรียกเงินสูงถึง $300,000 ต่อราย และใช้วิธีหลอกลวงผ่านโทรศัพท์ให้เหยื่อเปิด Microsoft Quick Assist เพื่อให้แฮกเกอร์เข้าถึงระบบ ✅ FBI Dallas ยึด Bitcoin มูลค่ากว่า $2.4 ล้านจากสมาชิกกลุ่ม Chaos ➡️ ยึดจากกระเป๋าเงินดิจิทัลของ “Hors” ผู้ต้องสงสัยโจมตีไซเบอร์ในเท็กซัส ➡️ ยื่นคำร้องขอยึดทรัพย์แบบพลเรือนเพื่อโอนเข้ารัฐบาลสหรัฐฯ ✅ Chaos ransomware เป็นกลุ่มใหม่ที่เกิดขึ้นหลัง BlackSuit ถูกปราบปราม ➡️ มีลักษณะการโจมตีคล้าย BlackSuit เช่น การเข้ารหัสไฟล์และข่มขู่เปิดเผยข้อมูล ➡️ ใช้ชื่อ “.chaos” เป็นนามสกุลไฟล์ที่ถูกเข้ารหัส และ “readme.chaos.txt” เป็นโน้ตเรียกค่าไถ่ ✅ ใช้เทคนิคหลอกลวงผ่านโทรศัพท์และซอฟต์แวร์ช่วยเหลือระยะไกล ➡️ หลอกเหยื่อให้เปิด Microsoft Quick Assist เพื่อให้แฮกเกอร์เข้าถึงระบบ ➡️ ใช้เครื่องมือ RMM เช่น AnyDesk และ ScreenConnect เพื่อคงการเข้าถึง ✅ หากเหยื่อจ่ายเงิน จะได้รับ decryptor และรายงานช่องโหว่ของระบบ ➡️ สัญญาว่าจะลบข้อมูลที่ขโมยไปและไม่โจมตีซ้ำ ➡️ หากไม่จ่าย จะถูกข่มขู่ด้วยการเปิดเผยข้อมูลและโจมตี DDoS ✅ Chaos สามารถโจมตีระบบ Windows, Linux, ESXi และ NAS ได้ ➡️ ใช้การเข้ารหัสแบบ selective encryption เพื่อเพิ่มความเร็ว ➡️ มีระบบป้องกันการวิเคราะห์และหลบเลี่ยง sandbox/debugger ‼️ การใช้เครื่องมือช่วยเหลือระยะไกลอาจเปิดช่องให้แฮกเกอร์เข้าถึงระบบ ⛔ Microsoft Quick Assist ถูกใช้เป็นช่องทางหลักในการหลอกเหยื่อ ⛔ ผู้ใช้ควรตรวจสอบตัวตนผู้ขอความช่วยเหลือก่อนให้สิทธิ์เข้าถึง ‼️ การไม่จ่ายค่าไถ่อาจนำไปสู่การเปิดเผยข้อมูลและโจมตีเพิ่มเติม ⛔ Chaos ข่มขู่จะเปิดเผยข้อมูลต่อสาธารณะและโจมตี DDoS ⛔ ส่งผลต่อชื่อเสียงและความเชื่อมั่นขององค์กร ‼️ การใช้สกุลเงินดิจิทัลไม่สามารถปกปิดตัวตนได้เสมอไป ⛔ FBI สามารถติดตามและยึด Bitcoin ผ่านการวิเคราะห์บล็อกเชน ⛔ การใช้ crypto ไม่ได้หมายถึงความปลอดภัยจากการถูกจับกุม ‼️ กลุ่มแรนซัมแวร์มีแนวโน้มเปลี่ยนชื่อและกลับมาใหม่หลังถูกปราบปราม ⛔ Chaos อาจเป็นการรีแบรนด์จาก BlackSuit ซึ่งเดิมคือ Royal และ Conti ⛔ การปราบปรามต้องต่อเนื่องและครอบคลุมทั้งโครงสร้างพื้นฐานและการเงิน https://www.tomshardware.com/tech-industry/cryptocurrency/fbi-seizes-usd2-4-million-in-bitcoin-from-member-of-recently-ascendant-chaos-ransomware-group

🕵️‍♂️ เรื่องเล่าจากแนวรบไซเบอร์: เมื่อ SAP NetWeaver กลายเป็นประตูหลังให้มัลแวร์ Auto-Color ในเดือนเมษายน 2025 บริษัท Darktrace ตรวจพบการโจมตีแบบหลายขั้นตอนที่ใช้ช่องโหว่ CVE-2025-31324 ใน SAP NetWeaver เพื่อส่งมัลแวร์ Auto-Color เข้าสู่ระบบของบริษัทเคมีในสหรัฐฯ โดยช่องโหว่นี้เปิดให้ผู้ไม่ผ่านการยืนยันตัวตนสามารถอัปโหลดไฟล์อันตรายเข้าสู่เซิร์ฟเวอร์ SAP ได้ ซึ่งนำไปสู่การควบคุมระบบจากระยะไกล (Remote Code Execution) Auto-Color เป็นมัลแวร์ที่ออกแบบมาให้ปรับตัวตามสิทธิ์ของผู้ใช้งาน หากรันด้วยสิทธิ์ root จะฝังไลบรารีปลอมชื่อ libcext.so.2 และใช้เทคนิค ld.so.preload เพื่อให้มัลแวร์ถูกโหลดก่อนทุกโปรแกรมในระบบ Linux ทำให้สามารถแทรกแซงการทำงานของระบบได้อย่างลึกซึ้ง Darktrace ใช้ระบบ AI “Autonomous Response” เข้าควบคุมอุปกรณ์ที่ถูกโจมตีภายในไม่กี่นาที โดยจำกัดพฤติกรรมให้อยู่ในขอบเขตปกติ พร้อมขยายเวลาการควบคุมอีก 24 ชั่วโมงเพื่อให้ทีมรักษาความปลอดภัยมีเวลาตรวจสอบและแก้ไข ✅ ช่องโหว่ CVE-2025-31324 ใน SAP NetWeaver ถูกเปิดเผยเมื่อ 24 เมษายน 2025 ➡️ เป็นช่องโหว่ระดับวิกฤต (CVSS 10.0) ที่เปิดให้ผู้โจมตีอัปโหลดไฟล์อันตรายโดยไม่ต้องยืนยันตัวตน ➡️ ส่งผลให้สามารถควบคุมระบบได้เต็มรูปแบบผ่าน Remote Code Execution ✅ Darktrace ตรวจพบการโจมตีในบริษัทเคมีสหรัฐฯ เมื่อปลายเดือนเมษายน 2025 ➡️ เริ่มจากการสแกนช่องโหว่ในวันที่ 25 เมษายน และเริ่มโจมตีจริงในวันที่ 27 เมษายน ➡️ ใช้ ZIP file และ DNS tunneling เพื่อส่งมัลแวร์เข้าสู่ระบบ ✅ มัลแวร์ Auto-Color ถูกส่งเข้าระบบในรูปแบบไฟล์ ELF สำหรับ Linux ➡️ เปลี่ยนชื่อไฟล์เป็น “/var/log/cross/auto-color” เพื่อหลบซ่อน ➡️ ใช้เทคนิค ld.so.preload เพื่อให้มัลแวร์ถูกโหลดก่อนโปรแกรมอื่นในระบบ ✅ Darktrace ใช้ AI Autonomous Response เข้าควบคุมอุปกรณ์ที่ถูกโจมตีทันที ➡️ จำกัดพฤติกรรมของอุปกรณ์ให้อยู่ใน “pattern of life” ปกติ ➡️ ขยายเวลาการควบคุมอีก 24 ชั่วโมงเพื่อให้ทีมรักษาความปลอดภัยตรวจสอบ ✅ ผู้เชี่ยวชาญแนะนำให้ใช้สถาปัตยกรรม Zero Trust และปิด endpoint ที่เสี่ยงทันที ➡️ หากไม่สามารถติดตั้งแพตช์ได้ ให้ปิดการเข้าถึง /developmentserver/metadatauploader ➡️ แยกระบบ SAP ออกจากอินเทอร์เน็ตและตรวจสอบทุกการเชื่อมต่อ ‼️ ช่องโหว่ CVE-2025-31324 ยังคงถูกโจมตีอย่างต่อเนื่องแม้จะมีการเปิดเผยแล้ว ⛔ ผู้โจมตีสามารถใช้ข้อมูลสาธารณะในการสร้าง payload ใหม่ได้ ⛔ การไม่ติดตั้งแพตช์ทันทีอาจนำไปสู่การควบคุมระบบเต็มรูปแบบ ‼️ Auto-Color มีความสามารถในการหลบซ่อนเมื่อไม่สามารถเชื่อมต่อกับ C2 ได้ ⛔ ทำให้การวิเคราะห์ใน sandbox หรือระบบออฟไลน์ไม่สามารถตรวจพบพฤติกรรมจริง ⛔ ส่งผลให้การตรวจสอบมัลแวร์ล่าช้าและอาจพลาดการป้องกัน ‼️ ระบบ SAP มักถูกแยกออกจากการดูแลด้านความปลอดภัยขององค์กร ⛔ ทีม SAP Basis อาจไม่มีความเชี่ยวชาญด้านภัยคุกคามไซเบอร์ ⛔ การไม่บูรณาการกับทีม IT Security ทำให้เกิดช่องโหว่ในการป้องกัน ‼️ การใช้เทคนิค ld.so.preload เป็นวิธีการฝังมัลแวร์ที่ลึกและยากต่อการตรวจจับ ⛔ มัลแวร์สามารถแทรกแซงการทำงานของทุกโปรแกรมในระบบ Linux ⛔ ต้องใช้เครื่องมือเฉพาะทางในการตรวจสอบและล้างระบบ https://hackread.com/sap-netweaver-vulnerability-auto-color-malware-us-firm/

🌐 การพัฒนาอินเทอร์เน็ต: จากสายทองแดงสู่ใยแก้ว และไปไกลถึงอวกาศ 🌏 ในยุคปัจจุบันที่โลกเชื่อมต่อกันอย่างแนบแน่น การเข้าถึงอินเทอร์เน็ตกลายเป็นปัจจัยสำคัญในการดำรงชีวิต ไม่ว่าจะเป็นการสื่อสาร การทำงาน การเรียนรู้ หรือการเข้าถึงข้อมูลข่าวสาร อินเทอร์เน็ตได้เปลี่ยนแปลงวิถีชีวิตของมนุษย์ในทุกมิติ แต่การเดินทางของเทคโนโลยีนี้ไม่ได้เริ่มต้นจากความล้ำสมัย หากแต่เริ่มจากโครงสร้างพื้นฐานพื้นฐานอย่างสายทองแดง ก่อนจะพัฒนาไปสู่ใยแก้วนำแสง และก้าวข้ามพรมแดนทางภูมิศาสตร์ด้วยอินเทอร์เน็ตผ่านดาวเทียม 📞 จุดเริ่มต้นของอินเทอร์เน็ตย้อนกลับไปในปี 1969 เมื่อกระทรวงกลาโหมของสหรัฐอเมริกาได้พัฒนาโครงการ ARPANET ซึ่งเป็นเครือข่ายแรกที่เชื่อมต่อคอมพิวเตอร์จากหลายสถาบันเข้าด้วยกัน โดยใช้สายโทรศัพท์ทองแดงเป็นโครงข่ายหลัก ความก้าวหน้านี้ได้ปูทางสู่การพัฒนาระบบการสื่อสารผ่านแนวคิดการสลับแพ็กเก็ต ซึ่งเป็นกลไกที่ทำให้ข้อมูลสามารถเดินทางผ่านเครือข่ายได้อย่างยืดหยุ่นและปลอดภัยมากยิ่งขึ้น อย่างไรก็ตาม สายทองแดงเองก็มีข้อจำกัดมากมาย ทั้งในเรื่องของระยะทาง ความเร็ว และความไวต่อสัญญาณรบกวน 🧭 ในช่วงทศวรรษที่ 1990 การเชื่อมต่ออินเทอร์เน็ตแบบ Dial-up ได้รับความนิยมอย่างแพร่หลาย โดยอาศัยสายโทรศัพท์ทองแดงร่วมกับโมเด็ม ซึ่งทำหน้าที่แปลงสัญญาณดิจิทัลเป็นอนาล็อก และในทางกลับกัน แม้ว่าจะเป็นการเปิดประตูให้ประชาชนทั่วไปได้สัมผัสกับโลกออนไลน์ แต่ Dial-up ก็เต็มไปด้วยข้อจำกัด ไม่ว่าจะเป็นความเร็วที่ต่ำ การผูกขาดสายโทรศัพท์ระหว่างการใช้งาน หรือการหลุดสัญญาณอย่างสม่ำเสมอ ต่อมาจึงเกิดการพัฒนาเทคโนโลยี DSL (Digital Subscriber Line) ซึ่งสามารถใช้งานโทรศัพท์และอินเทอร์เน็ตได้พร้อมกันบนสายทองแดงเส้นเดียวกัน และให้ความเร็วสูงกว่าอย่างเห็นได้ชัด แม้จะยังอยู่บนโครงข่ายเดิม DSL ก็ช่วยยืดอายุของโครงสร้างพื้นฐานสายทองแดงออกไปได้อีกระยะหนึ่ง ⚠️ อย่างไรก็ดี พลังของสายทองแดงมีขีดจำกัดทั้งในเชิงฟิสิกส์และเศรษฐศาสตร์ ปริมาณข้อมูลที่สามารถรับส่งได้ต่อวินาทีนั้นมีข้อจำกัดจากระยะทาง ความต้านทาน และความถี่ของสัญญาณ การพยายามเพิ่มความเร็วผ่านสายทองแดงจึงต้องเผชิญกับปัญหาการลดทอนของสัญญาณ และความเสี่ยงต่อการรบกวนจากคลื่นแม่เหล็กไฟฟ้ารอบข้างมากขึ้น ซึ่งไม่สอดคล้องกับความต้องการที่เพิ่มขึ้นแบบทวีคูณของโลกในยุคดิจิทัล 💡 การเปลี่ยนแปลงเชิงโครงสร้างจึงเกิดขึ้น ด้วยการหันมาใช้ใยแก้วนำแสงเป็นสื่อกลางในการส่งข้อมูล ใยแก้วนำแสงใช้พลังงานแสงแทนกระแสไฟฟ้า จึงสามารถส่งข้อมูลได้ด้วยความเร็วสูงมาก มีแบนด์วิดท์กว้าง และไม่ไวต่อคลื่นรบกวนภายนอก หลักการทำงานของใยแก้วนำแสงอาศัยปรากฏการณ์สะท้อนกลับหมด (Total Internal Reflection) ที่ทำให้แสงสามารถวิ่งผ่านเส้นใยแก้วได้ในระยะไกลโดยไม่สูญเสียพลังงานมากนัก ใยแก้วนำแสงไม่เพียงแต่เพิ่มประสิทธิภาพในการเชื่อมต่อ แต่ยังเพิ่มความปลอดภัย และลดต้นทุนในระยะยาวได้อย่างมีนัยสำคัญ 📺 ประโยชน์ของใยแก้วนำแสงเห็นได้ชัดในชีวิตประจำวัน ไม่ว่าจะเป็นการสตรีมวิดีโอความละเอียดสูง การประชุมทางไกล การเรียนรู้ออนไลน์ หรือแม้แต่การเล่นเกมผ่านคลาวด์ ความเร็วที่สูงและความเสถียรของเครือข่ายช่วยให้บริการเหล่านี้ทำงานได้อย่างราบรื่น อีกทั้งยังส่งผลเชิงบวกต่อเศรษฐกิจดิจิทัลที่กำลังเติบโต และเปิดโอกาสใหม่ๆ ในการพัฒนานวัตกรรมและบริการที่อาศัยการรับส่งข้อมูลจำนวนมากแบบเรียลไทม์ 🚧 แม้ว่าใยแก้วนำแสงจะเป็นโซลูชันที่ดูจะ “พร้อมสำหรับอนาคต” แต่ในทางปฏิบัติ การติดตั้งโครงข่ายนี้ยังคงเผชิญกับความท้าทายมากมาย โดยเฉพาะปัญหาในช่วง Last Mile หรือการเชื่อมโยงใยแก้วนำแสงจากสายหลักเข้าสู่บ้านและธุรกิจแต่ละหลัง ซึ่งมักมีต้นทุนสูง ใช้แรงงานผู้เชี่ยวชาญ และต้องอาศัยการวางแผนโครงข่ายอย่างรอบคอบ ความซับซ้อนนี้ทำให้ชุมชนชนบทหรือพื้นที่ห่างไกลถูกมองข้าม จนนำไปสู่ “ช่องว่างทางดิจิทัล” ที่ยังคงปรากฏอยู่ในหลายภูมิภาค 🛰️ เพื่อเติมเต็มช่องว่างดังกล่าว เทคโนโลยีอินเทอร์เน็ตผ่านดาวเทียมได้ถูกพัฒนาขึ้น โดยเฉพาะดาวเทียมในวงโคจรต่ำ (LEO) อย่าง Starlink ที่ให้เวลาแฝงต่ำและความเร็วสูงกว่าเทคโนโลยีดาวเทียมรุ่นก่อน แม้จะมีข้อจำกัดด้านต้นทุนและความไวต่อสภาพอากาศ แต่การเข้าถึงที่ครอบคลุมทุกพื้นที่ของดาวเทียมได้สร้างความหวังใหม่สำหรับประชากรที่เคยอยู่นอกขอบเขตของโครงสร้างพื้นฐานแบบมีสาย 🔭 อนาคตของการเชื่อมต่อไม่ได้หยุดอยู่แค่ใยแก้วนำแสงหรือดาวเทียม ปัจจุบันมีการวิจัยและพัฒนาเทคโนโลยีล้ำหน้า เช่น Wavelength Division Multiplexing (WDM) ที่ช่วยให้สามารถส่งข้อมูลหลายชุดพร้อมกันในเส้นใยเส้นเดียว หรือ Hollow Core Fiber ที่นำแสงวิ่งผ่านอากาศแทนแกนแก้ว เพิ่มความเร็วและลดเวลาแฝง นอกจากนี้ยังมีแนวคิดอินเทอร์เน็ตควอนตัม (Quantum Internet) ที่ใช้หลักกลศาสตร์ควอนตัมในการสร้างระบบเครือข่ายที่ปลอดภัยและมีประสิทธิภาพสูงสุด 📌 สรุปได้ว่าการพัฒนาโครงสร้างพื้นฐานของอินเทอร์เน็ตไม่ใช่เพียงเรื่องของเทคโนโลยี แต่เป็นปัจจัยสำคัญที่ขับเคลื่อนการพัฒนาทางเศรษฐกิจ สังคม และคุณภาพชีวิตของผู้คนทั่วโลก อินเทอร์เน็ตที่เร็วขึ้นและเชื่อถือได้มากขึ้น หมายถึงโอกาสที่เปิดกว้างมากขึ้นเช่นกัน การลงทุนในเทคโนโลยีที่ยั่งยืนจึงไม่ใช่เพียงทางเลือก แต่เป็นความจำเป็นสำหรับอนาคตที่เชื่อมโยงกันมากยิ่งขึ้นในทุกมิติ #ลุงเขียนหลานอ่าน

🕷️ เรื่องเล่าจากเงามืด: เมื่อ Scattered Spider ใช้โทรศัพท์แทนมัลแวร์เพื่อยึดระบบเสมือน Scattered Spider เป็นกลุ่มแฮกเกอร์ที่มีชื่อเสียงจากการโจมตีองค์กรใหญ่ เช่น MGM Resorts และ Harrods โดยใช้เทคนิคที่ไม่ต้องพึ่งช่องโหว่ซอฟต์แวร์ แต่ใช้ “social engineering” ผ่านการโทรศัพท์ไปยัง Help Desk เพื่อขอรีเซ็ตรหัสผ่านของบัญชี Active Directory เมื่อได้สิทธิ์เข้าระบบแล้ว พวกเขาจะค้นหาข้อมูลภายใน เช่น รายชื่อผู้ดูแลระบบ vSphere และกลุ่มสิทธิ์ระดับสูง แล้วโทรอีกครั้งเพื่อขอรีเซ็ตรหัสของผู้ดูแลระบบ จากนั้นใช้สิทธิ์ที่ได้เข้าไปยึด VMware vCenter Server Appliance (VCSA) และเปิดช่องทาง SSH บน ESXi hypervisor เพื่อควบคุมระบบทั้งหมด พวกเขายังใช้เครื่องมือถูกกฎหมายอย่าง Teleport เพื่อสร้างช่องทางสื่อสารแบบเข้ารหัสที่หลบเลี่ยงไฟร์วอลล์ และทำการโจมตีแบบ “disk-swap” โดยปิด VM ของ Domain Controller แล้วถอดดิสก์ไปติดตั้งบน VM ที่ควบคุมเอง เพื่อขโมยฐานข้อมูล NTDS.dit ของ Active Directory ก่อนจะปล่อยแรนซัมแวร์ พวกเขายังลบงานสำรองข้อมูลและ snapshot ทั้งหมด เพื่อให้เหยื่อไม่มีทางกู้คืนได้ และสุดท้ายก็เข้ารหัสไฟล์ VM ทั้งหมดจากระดับ hypervisor โดยใช้สิทธิ์ root ผ่าน SSH ✅ Scattered Spider (UNC3944) ใช้ social engineering เพื่อยึดระบบ VMware vSphere ➡️ เริ่มจากโทรหา Help Desk เพื่อขอรีเซ็ตรหัสผ่านของบัญชี AD ➡️ ใช้ข้อมูลจากการเจาะระบบภายในเพื่อยกระดับสิทธิ์ ✅ กลุ่มนี้ใช้เครื่องมือถูกกฎหมาย เช่น Teleport เพื่อสร้างช่องทางควบคุมแบบเข้ารหัส ➡️ ติดตั้งบน VCSA เพื่อหลบเลี่ยงการตรวจจับจาก firewall และ EDR ➡️ สร้างช่องทางควบคุมระยะไกลแบบถาวร ✅ เทคนิค “disk-swap” ใช้ในการขโมยฐานข้อมูล Active Directory โดยไม่ถูกตรวจจับ ➡️ ปิด VM ของ Domain Controller แล้วถอดดิสก์ไปติดตั้งบน VM ที่ควบคุม ➡️ ขโมยไฟล์ NTDS.dit โดยไม่ผ่านระบบปฏิบัติการของ VM ✅ ก่อนปล่อยแรนซัมแวร์ กลุ่มนี้จะลบงานสำรองข้อมูลทั้งหมด ➡️ ลบ backup jobs และ repositories เพื่อป้องกันการกู้คืน ➡️ ใช้ SSH บน ESXi hosts เพื่อเข้ารหัสไฟล์ VM โดยตรง ✅ Google แนะนำให้เปลี่ยนแนวทางป้องกันจาก EDR เป็น “infrastructure-centric defense” ➡️ เน้นการตรวจสอบระดับ hypervisor และการควบคุมสิทธิ์ ➡️ ใช้ MFA ที่ต้าน phishing, แยกโครงสร้างสำรองข้อมูล, และตรวจสอบ log อย่างต่อเนื่อง ‼️ การโจมตีแบบนี้สามารถเกิดขึ้นได้ภายในเวลาไม่กี่ชั่วโมง ⛔ จากการโทรครั้งแรกถึงการเข้ารหัสข้อมูลใช้เวลาเพียงไม่กี่ชั่วโมง ⛔ ทำให้ระบบตรวจจับแบบเดิมไม่ทันต่อเหตุการณ์ ‼️ ระบบ VMware ESXi และ VCSA มีช่องว่างด้านการตรวจสอบที่ EDR มองไม่เห็น ⛔ ไม่มี agent รันใน hypervisor ทำให้การโจมตีไม่ถูกตรวจจับ ⛔ ต้องใช้การตรวจสอบ log จากระดับระบบเสมือนโดยตรง ‼️ การใช้ Active Directory ร่วมกับ vSphere เป็นจุดอ่อนสำคัญ ⛔ เมื่อ AD ถูกยึด สิทธิ์ใน vSphere ก็ถูกยึดตามไปด้วย ⛔ ควรแยกโครงสร้างสิทธิ์และใช้ MFA ที่ไม่พึ่ง AD ‼️ Help Desk กลายเป็นจุดเริ่มต้นของการโจมตี ⛔ การรีเซ็ตรหัสผ่านผ่านโทรศัพท์เป็นช่องทางที่ถูกใช้บ่อย ⛔ ควรมีขั้นตอนตรวจสอบตัวตนที่เข้มงวดและห้ามรีเซ็ตบัญชีระดับสูงผ่านโทรศัพท์ https://hackread.com/scattered-spider-ransomware-hijack-vmware-systems-google/

ทภ.2 สรุปสถานการณ์ กัมพูชายังระดมยิง BM-21 หลายแนวรบ พบความเคลื่อนไหวขีปนาวุธ PHL 03 ที่สนามบินสำโรง จ.อุดรมีชัย มีการเพิ่มเติมกำลังจากพื้นที่ตอนในของกัมพูชาต่อเนื่อง และฝ่ายกัมพูชายิงพลาดใส่ฝ่ายเดียวกันที่ช่องอานม้าและผามออีแดง มีแนวโน้มฝ่ายกัมพูชาจะใช้อาวุธยิงระยะไกลในพื้นที่ทางลึก การปะทะยังคงรุนแรง ทั้งต้องเฝ้าระวังภัยไซเบอร์และการแทรกซึมของสายลับ อ่านต่อ..https://news1live.com/detail/9680000071257 #News1Feed #News1 #Sondhitalk #คุยทุกเรื่องกับสนธิ #Thaitimes #กัมพูชายิงก่อน #CambodiaOpenedFire #ไทยนี้รักสงบแต่ถึงรบไม่ขลาด

🧑‍💻 เรื่องเล่าจากโลกไซเบอร์: เมื่อ “งานไอที” กลายเป็นช่องทางส่งเงินให้โครงการนิวเคลียร์เกาหลีเหนือ ลองจินตนาการว่าคุณเป็นบริษัทเทคโนโลยีในสหรัฐฯ ที่จ้างพนักงานไอทีทำงานจากระยะไกล โดยเชื่อว่าเขาเป็นพลเมืองอเมริกัน แต่จริงๆ แล้ว เขาคือเจ้าหน้าที่จากเกาหลีเหนือที่ใช้ตัวตนปลอม และเงินเดือนที่คุณจ่ายไปนั้นถูกส่งตรงไปยังรัฐบาลเปียงยางเพื่อใช้ในโครงการอาวุธนิวเคลียร์! นี่คือสิ่งที่เกิดขึ้นจริงในคดีของ Christina Marie Chapman หญิงวัย 50 ปีจากรัฐแอริโซนา ที่ถูกตัดสินจำคุก 8.5 ปีในเดือนกรกฎาคม 2025 จากการช่วยเหลือเจ้าหน้าที่ไอทีของเกาหลีเหนือให้ได้งานในบริษัทสหรัฐฯ กว่า 309 แห่ง รวมถึงบริษัทระดับ Fortune 500 โดยใช้เทคนิคที่เรียกว่า “ฟาร์มแล็ปท็อป” เพื่อหลอกให้บริษัทเชื่อว่าพนักงานเหล่านั้นทำงานจากในประเทศ ✅ Christina Chapman ถูกตัดสินจำคุก 102 เดือน ฐานช่วยเหลือขบวนการหลอกลวงงานไอทีให้เกาหลีเหนือ ➡️ รับโทษจำคุก 8.5 ปี พร้อมถูกควบคุมหลังพ้นโทษอีก 3 ปี ➡️ ต้องยึดทรัพย์ $284,555.92 และจ่ายค่าปรับ $176,850 ✅ ขบวนการนี้สร้างรายได้ให้เกาหลีเหนือกว่า $17.1 ล้าน ➡️ ใช้ตัวตนปลอมของชาวอเมริกัน 68 คน ➡️ ส่งข้อมูลเท็จไปยังหน่วยงานรัฐกว่า 100 ครั้ง ✅ Chapman ดำเนินการ “ฟาร์มแล็ปท็อป” ที่บ้านของเธอ ➡️ รับเครื่องจากบริษัทสหรัฐฯ แล้วให้เจ้าหน้าที่เกาหลีเหนือเข้าระบบจากต่างประเทศ ➡️ ส่งแล็ปท็อป 49 เครื่องไปยังเมืองชายแดนจีน-เกาหลีเหนือ ✅ บริษัทที่ถูกหลอกรวมถึงเครือข่ายโทรทัศน์รายใหญ่, บริษัทเทคโนโลยีใน Silicon Valley, ผู้ผลิตรถยนต์และอากาศยาน ➡️ มีความพยายามเข้าถึงหน่วยงานรัฐบาลสหรัฐฯ 2 แห่ง แต่ถูกสกัดไว้ได้ ➡️ บางบริษัทถูกขบวนการนี้ “เลือกเป้าหมาย” โดยเฉพาะ ✅ รายได้จากงานไอทีถูกส่งกลับไปยังเกาหลีเหนือผ่านการฟอกเงิน ➡️ Chapman รับเงินเดือนแทน, ปลอมลายเซ็น, ฝากเช็ค และโอนเงินไปต่างประเทศ ➡️ รายได้ถูกแจ้งเท็จต่อ IRS และ Social Security ✅ FBI และ IRS เป็นผู้สืบสวนหลักในคดีนี้ ➡️ ยึดแล็ปท็อปกว่า 90 เครื่องจากบ้านของ Chapman ➡️ ถือเป็นหนึ่งในคดีใหญ่ที่สุดที่เกี่ยวข้องกับการหลอกลวงงานไอทีของเกาหลีเหนือ ✅ รัฐบาลสหรัฐฯ ออกคำแนะนำใหม่สำหรับบริษัทในการตรวจสอบพนักงานระยะไกล ➡️ ตรวจสอบเอกสารตัวตน, ประวัติการศึกษาและการทำงาน ➡️ ใช้วิดีโอสัมภาษณ์แบบเปิดกล้องและตรวจสอบภาพพื้นหลัง ‼️ บริษัทที่ไม่ตรวจสอบพนักงานระยะไกลอย่างเข้มงวดเสี่ยงต่อการถูกแทรกซึม ⛔ อาจถูกขโมยข้อมูล, ติดมัลแวร์ หรือถูกใช้เป็นช่องทางฟอกเงิน ⛔ การใช้บริษัทจัดหางานภายนอกเพิ่มความเสี่ยง ‼️ การใช้ตัวตนปลอมสร้างภาระให้กับพลเมืองสหรัฐฯ ที่ถูกขโมยข้อมูล ⛔ เกิดภาระภาษีเท็จและข้อมูลผิดพลาดในระบบราชการ ⛔ สร้างความเสียหายทางจิตใจและการเงินแก่ผู้ถูกแอบอ้าง ‼️ รายได้จากงานไอทีถูกนำไปใช้สนับสนุนโครงการอาวุธของเกาหลีเหนือ ⛔ เป็นการละเมิดมาตรการคว่ำบาตรของสหรัฐฯ และสหประชาชาติ ⛔ ส่งผลต่อความมั่นคงระดับโลก ‼️ การใช้ AI และเทคโนโลยีใหม่เพิ่มความซับซ้อนในการปลอมตัว ⛔ มีการใช้ AI เปลี่ยนภาพเอกสาร, ปรับเสียง และสร้างวิดีโอปลอม ⛔ ทำให้การตรวจสอบตัวตนยากขึ้นสำหรับบริษัททั่วไป https://hackread.com/arizona-woman-jailed-help-north-korea-it-job-scam/

🧠 เรื่องเล่าจากข่าว: เรือที่ “คิดเองได้” กำลังจะเปลี่ยนโลกการขนส่ง ลองจินตนาการว่าเรือขนส่งขนาดมหึมา 750 ฟุต ที่บรรทุกรถยนต์กว่า 7,000 คัน กำลังแล่นข้ามมหาสมุทรโดยไม่ต้องมีคนควบคุม — นี่ไม่ใช่นิยายไซไฟ แต่คือแผนจริงของ Hyundai Glovis ที่ร่วมมือกับ Avikus บริษัทเทคโนโลยีในเครือ HD Hyundai เพื่อเปลี่ยนเรือขนส่งให้กลายเป็น “เรืออัตโนมัติที่ขับเคลื่อนด้วย AI” ระบบที่ใช้ชื่อว่า HiNAS (Hyundai Intelligent Navigation Assistant System) จะถูกติดตั้งในเรือ 7 ลำภายในปี 2026 โดยเป็นระบบระดับ MASS Level-2 ที่สามารถควบคุมระยะไกลและปรับเส้นทางแบบเรียลไทม์ผ่าน AI แม้จะยังไม่ใช่ระบบไร้คนขับเต็มรูปแบบ แต่ก็ถือเป็นก้าวใหญ่ของอุตสาหกรรมเดินเรือ เป้าหมายของโครงการนี้คือการลดการใช้เชื้อเพลิง เพิ่มประสิทธิภาพการเดินทาง และลดความผิดพลาดจากมนุษย์ ซึ่งเป็นสาเหตุหลักของอุบัติเหตุทางทะเล ✅ Hyundai Glovis ร่วมมือกับ Avikus พัฒนาเรือขนส่งอัตโนมัติ ➡️ ใช้ระบบ HiNAS ที่พัฒนาโดย Avikus ในเครือ HD Hyundai ➡️ ติดตั้งในเรือขนส่งรถยนต์ 7 ลำภายในกลางปี 2026 ✅ ระบบ HiNAS เป็น MASS Level-2 ➡️ รองรับการควบคุมระยะไกลและปรับเส้นทางด้วย AI ➡️ ยังไม่ใช่ระบบไร้คนขับเต็มรูปแบบ แต่สามารถตัดสินใจได้เองบางส่วน ✅ เรือ Sunrise จะเป็นเรือขนส่ง AI ที่ใหญ่ที่สุดในโลก ➡️ ยาว 229.9 เมตร บรรทุกได้ 7,000 คัน ➡️ เป็นเรือแรกที่ติดตั้งระบบ AI แบบเต็มรูปแบบ ✅ เป้าหมายคือเพิ่มประสิทธิภาพและลดต้นทุน ➡️ ลดการใช้เชื้อเพลิงได้ถึง 3.9% จากการทดลอง ➡️ ลดความเสี่ยงจากอุบัติเหตุที่เกิดจากมนุษย์ ✅ เป็นส่วนหนึ่งของแผนลงทุน $6.5 พันล้านของ Glovis ➡️ เพื่อเปลี่ยนองค์กรสู่ “Smart Logistics Company” ภายในปี 2030 ➡️ รวมถึงเป้าหมาย Net Zero ภายในปี 2045 ✅ Avikus เคยสร้างประวัติศาสตร์ด้วยการนำเรือ LNG ข้ามมหาสมุทรแบบอัตโนมัติ ➡️ ในปี 2022 เรือ LNG ขนาด 300 เมตรเดินทางข้ามมหาสมุทรแอตแลนติกด้วยระบบ AI ➡️ ลดการปล่อยคาร์บอน 5% และเพิ่มประสิทธิภาพเชื้อเพลิง 7% https://www.techradar.com/pro/shipping-giant-set-to-roll-out-worlds-first-ai-controlled-autonomous-car-carrying-ships-at-750-ft-long-and-weighing-almost-100-000-tons-its-probably-the-largest-ai-driven-vessel-ever

กัมพูชา มี KS-1C ของจีน ซึ่งเป็นระบบป้องกันภัยทางอากาศระยะกลางถึงระยะไกล ไว้ต่อกรกับ F-16 โดยได้เข้าประจำการเมื่อปี 2023 สำหรับการรบครั้งนี้ยังไม่เห็นกัมพูชานำออกมาใช้ตอบโต้ปฏิบัติการทางอากาศ F-16 ของไทย สำหรับ KS-1C หรือชื่อเต็มว่า Kaishan-1C เป็นระบบป้องกันภัยทางอากาศระยะกลางถึงระยะไกลที่พัฒนาโดย China Aerospace Science and Industry Corporation (CASIC) ของจีน เป็นรุ่นที่ได้รับการปรับปรุงจากระบบ Hongqi-12 (HQ-12) และถูกออกแบบมาเพื่อใช้ในการป้องกันภัยทางอากาศ โดยสามารถจัดการกับเป้าหมาย เช่น เครื่องบิน, โดรน (UAVs), เฮลิคอปเตอร์ รวมถึงขีปนาวุธร่อนและขีปนาวุธพิสัยไกลที่มีความเร็วเกิน Mach 3 👉คุณสมบัติหลักของ KS-1C: 1. เรดาร์: ใช้เรดาร์แบบ H-200 phased-array ซึ่งมีระยะตรวจจับสูงสุดถึง 120 กิโลเมตร และสามารถติดตามเป้าหมายได้หลายเป้าพร้อมกัน 2. ขีปนาวุธ: ใช้ระบบยิงแบบ canister-launched missiles (แทนรางยิงในรุ่นก่อนหน้า) มีพิสัยการยิงสูงสุด 70 กิโลเมตร และความสูงในการสกัดกั้นสูงสุด 27 กิโลเมตร 3. โครงสร้างกองร้อย: ประกอบด้วยเรดาร์ phased-array, รถยิง 4 คัน (คันละ 2 ขีปนาวุธ), ขีปนาวุธสำรอง 16 ลูก, หน่วยควบคุมและสั่งการ และหน่วยจ่ายพลังงาน 4. เปรียบเทียบ: มีสมรรถนะใกล้เคียงกับระบบ MIM-23 Hawk ของสหรัฐฯ ซึ่งเป็นรุ่นก่อนหน้า Patriot missile system 5. การใช้งาน: ออกแบบมาเพื่อป้องกันภัยทางอากาศและสามารถใช้เป็นระบบป้องกันขีปนาวุธได้ในบางสถานการณ์ 👉การใช้งานในกองทัพ: • กองทัพกัมพูชา: ได้รับมอบระบบ KS-1C จากจีนเมื่อวันที่ 15 กันยายน 2023 เพื่อเสริมสร้างขีดความสามารถในการป้องกันภัยทางอากาศ • กองทัพอากาศไทย: ประเทศไทยได้จัดหาและนำ KS-1C เข้าประจำการในกองพันทหารอากาศโยธินที่กองบิน 4 ตาคลี และกองบิน 7 สุราษฎร์ธานี ตั้งแต่ปี 2016 โดยมีการแสดงต่อสาธารณะครั้งแรกในงานวันเด็กแห่งชาติปี 2560 • การส่งออก: นอกจากกัมพูชาและไทย ระบบนี้ยังถูกส่งออกไปยังประเทศอื่นๆ เช่น เมียนมาร์และเติร์กเมนิสถาน

ยึดภูมะเขือได้แล้ว! เมื่อ 18.50 น. แต่ต่อมายังมีการปะทะจากการโจมตีระยะไกลของกัมพูชา และกระเช้ายังไม่ถูกทำลาย

🎙️ เรื่องเล่าจากศูนย์กลางใหม่ของ AI: เมื่ออินเดียกลายเป็น “สมองส่วนกลาง” ของบริษัทระดับโลก อินเดียเคยถูกมองว่าเป็นแหล่ง “แรงงานราคาถูก” สำหรับงาน back-office แต่ตอนนี้ GCCs กลายเป็นศูนย์กลางด้าน AI ที่มีบทบาทสำคัญ เช่น: - วิเคราะห์ข้อมูลจากอุปกรณ์อุตสาหกรรม - แนะนำสินค้าแบบ personalized - ควบคุมระบบจากระยะไกล เช่น ตู้เย็นของ Tesco ทั่วโลก Tesco เป็นตัวอย่างชัดเจน: จากเดิมที่ใช้ศูนย์ Bengaluru เพื่อลดต้นทุน ตอนนี้มีพนักงาน 5,000 คนที่ใช้ AI วิเคราะห์อุณหภูมิตู้เย็นทั่วโลก และช่วยลดการสูญเสียอาหารได้หลายล้านปอนด์ต่อปี บริษัทอย่าง McDonald’s และ Bupa กำลังตั้ง GCCs เพื่อรับมือกับปัญหาการจ้างงานด้าน AI ในตลาดตะวันตกที่มีต้นทุนสูงและบุคลากรขาดแคลน แม้อินเดียจะยังตามหลังสหรัฐฯ และจีนในด้านนวัตกรรม AI แต่ GCCs สามารถใช้โมเดลจากบริษัทแม่ เช่น LLMs และเครื่องมือวิเคราะห์ขั้นสูง เพื่อสร้างคุณค่าใหม่กลับไปยังสำนักงานใหญ่ การเติบโตของ GCCs: - รายได้จาก back-office เพิ่มจาก $11.5B ในปี 2010 เป็น $65B ในปี 2021 - พนักงานเพิ่มจาก 400,000 เป็น 1.8 ล้านคน - คาดว่าจะถึง $100B ในปี 2030 - งานด้าน R&D เพิ่มจาก 45% เป็น 55% ของรายได้ในช่วง 8 ปี รัฐ Karnataka ซึ่งมี GCCs มากที่สุดในอินเดีย (40%) กำลังผลักดันให้ประเทศกลายเป็น “ระบบนิเวศแห่งนวัตกรรม” ไม่ใช่แค่ผู้ให้บริการ https://www.techspot.com/news/108762-ai-hiring-woes-pushing-companies-like-mcdonald-bupa.html

🎙️ เรื่องเล่าจากรหัสลับในเฟิร์มแวร์: เมื่อ Wi-Fi ธุรกิจกลายเป็นช่องทางให้แฮกเกอร์เข้าระบบ ช่องโหว่หลักคือ CVE-2025-37103 ซึ่งมีคะแนนความรุนแรงถึง 9.8/10 (ระดับวิกฤต) โดยเกิดจากการที่มีบัญชีแอดมินแบบ hardcoded อยู่ในเฟิร์มแวร์ของอุปกรณ์ — ใครก็ตามที่รู้รหัสนี้สามารถ: - เข้าสู่ระบบในฐานะแอดมิน - เปลี่ยนการตั้งค่า - ติดตั้งมัลแวร์ - ควบคุมอุปกรณ์และเครือข่ายที่เชื่อมต่อ ช่องโหว่นี้ไม่มีวิธีแก้ชั่วคราว (no workaround) นอกจากการติดตั้งแพตช์ล่าสุดเท่านั้น นอกจากนี้ยังมีช่องโหว่รองอีกตัวคือ CVE-2025-37102 ซึ่งเป็นช่องโหว่ command injection ที่เปิดให้ผู้ใช้ที่มีสิทธิ์สูงสามารถรันคำสั่งบนระบบปฏิบัติการได้โดยตรง — มีคะแนนความรุนแรง 7.2/10 (ระดับสูง) ✅ HPE พบช่องโหว่ร้ายแรงใน Aruba Instant On Access Points และออกแพตช์แล้ว ➡️ ช่องโหว่หลักคือ CVE-2025-37103 ที่มีรหัสแอดมินแบบ hardcoded ในเฟิร์มแวร์ ✅ ช่องโหว่นี้เปิดให้แฮกเกอร์เข้าถึงอุปกรณ์ในฐานะแอดมินโดยไม่ต้องยืนยันตัวตน ➡️ สามารถเปลี่ยนการตั้งค่า, ติดตั้งมัลแวร์ และควบคุมเครือข่ายได้ ✅ ช่องโหว่รองคือ CVE-2025-37102 เป็น command injection สำหรับผู้ใช้ที่มีสิทธิ์สูง ➡️ สามารถรันคำสั่งบนระบบปฏิบัติการได้โดยตรง ✅ Aruba Instant On เป็นอุปกรณ์ Wi-Fi สำหรับธุรกิจขนาดเล็กที่เน้นความง่ายและความปลอดภัย ➡️ แต่ช่องโหว่นี้ทำให้ความปลอดภัยถูกลดลงอย่างมาก ✅ ช่องโหว่ทั้งสองไม่มีวิธีแก้ชั่วคราว ต้องติดตั้งแพตช์เท่านั้น ➡️ HPE แนะนำให้ผู้ใช้รีบอัปเดตทันทีเพื่อป้องกันการโจมตี ✅ ช่องโหว่แบบ hardcoded credential มักเกิดจากการตั้งค่าชั่วคราวในช่วงพัฒนา ➡️ หากทีม DevSecOps ไม่ลบออกก่อนปล่อยผลิตภัณฑ์ จะกลายเป็นช่องโหว่ถาวร ‼️ ช่องโหว่ CVE-2025-37103 มีความรุนแรงระดับวิกฤตและสามารถถูกใช้โจมตีจากระยะไกล ⛔ หากไม่อัปเดตแพตช์ อุปกรณ์อาจถูกควบคุมโดยแฮกเกอร์ทันที ‼️ ไม่มีวิธีแก้ชั่วคราวสำหรับช่องโหว่ทั้งสอง ⛔ การป้องกันต้องอาศัยการติดตั้งแพตช์เท่านั้น ‼️ ช่องโหว่ command injection อาจถูกใช้ร่วมกับช่องโหว่อื่นเพื่อเจาะระบบลึกขึ้น ⛔ โดยเฉพาะในระบบที่มีผู้ใช้หลายระดับสิทธิ์ ‼️ การมีรหัสแอดมินแบบ hardcoded เป็นความผิดพลาดด้านความปลอดภัยที่ไม่ควรเกิดขึ้น ⛔ แสดงถึงการขาดการตรวจสอบในกระบวนการพัฒนาและปล่อยผลิตภัณฑ์ ‼️ อุปกรณ์ที่ไม่ได้รับการอัปเดตอาจกลายเป็นจุดเริ่มต้นของการโจมตีทั้งเครือข่าย ⛔ โดยเฉพาะในธุรกิจขนาดเล็กที่ไม่มีทีมรักษาความปลอดภัยเฉพาะทาง https://www.techradar.com/pro/security/hpe-warns-hardcoded-passwords-in-aruba-hardware-could-be-a-security-risk

🎙️ เรื่องเล่าจากช่องโหว่ในองค์กร: เมื่อ SharePoint กลายเป็นประตูหลังให้แฮกเกอร์ ช่องโหว่ที่ถูกระบุคือ: - CVE-2025-53770 - CVE-2025-53771 ซึ่งมีผลเฉพาะกับ SharePoint Server แบบ on-premises ได้แก่: - SharePoint 2019 - SharePoint Subscription Edition โดยไม่กระทบกับ SharePoint Online Microsoft ยืนยันว่าแฮกเกอร์กำลังใช้ช่องโหว่นี้ในแคมเปญโจมตีจริง และพบไฟล์ต้องสงสัยชื่อ spinstall0.aspx ในระบบที่ถูกเจาะ ซึ่งเป็นสัญญาณว่ามีการฝัง web shell แล้ว แม้จะมีแพตช์สำหรับ SharePoint 2019 และ Subscription Edition แล้ว แต่ SharePoint 2016 ยังไม่มีแพตช์ออกมา — Microsoft แนะนำให้ผู้ใช้: - ติดตั้งแพตช์ล่าสุด - หมุน machine keys ใหม่ - รีสตาร์ท IIS - เปิดใช้งาน AMSI (Antimalware Scan Interface) - ใช้ Microsoft Defender for Endpoint หรือเครื่องมือตรวจจับภัยคุกคามอื่น ✅ Microsoft ออกแพตช์อุดช่องโหว่ CVE-2025-53770 และ CVE-2025-53771 ใน SharePoint Server ➡️ ช่องโหว่นี้เปิดทางให้รันโค้ดและฝัง web shell ได้จากระยะไกล ✅ ช่องโหว่มีผลเฉพาะกับ SharePoint แบบ on-premises เช่น 2019 และ Subscription Edition ➡️ SharePoint Online ไม่ได้รับผลกระทบ ✅ พบไฟล์ spinstall0.aspx เป็นสัญญาณว่าระบบถูกเจาะแล้ว ➡️ ควรตรวจสอบ directory ของ SharePoint เพื่อหาหลักฐานการโจมตี ✅ Microsoft แนะนำให้หมุน machine keys และรีสตาร์ท IIS หลังติดตั้งแพตช์ ➡️ เพื่อให้การอุดช่องโหว่สมบูรณ์และลดความเสี่ยงจากการโจมตีซ้ำ ✅ Defender Antivirus และ Defender for Endpoint สามารถตรวจจับมัลแวร์ที่เกี่ยวข้อง ➡️ เช่น HijackSharePointServer.A และ SuspSignoutReq.A ✅ Microsoft แนะนำให้ใช้ระบบตรวจจับภัยแบบ endpoint เพื่อดูพฤติกรรมผิดปกติ ➡️ เช่นการรัน PowerShell ที่ถูกเข้ารหัส หรือการทำงานแปลกใน w3wp.exe https://hackread.com/microsoft-hackers-exploit-sharepoint-flaws-patch-now/

🎙️ เรื่องเล่าจากช่องโหว่เดียว: โจมตีเซิร์ฟเวอร์ระดับโลกได้ด้วย 1 บรรทัด ช่องโหว่นี้มีชื่อว่า CVE-2025-47812 และเปิดเผยแบบ public บน GitHub เมื่อ 30 มิถุนายน 2025 — แต่เพียงหนึ่งวันหลังจากนั้น ก็มีการโจมตีจริงเกิดขึ้นทันที โดยนักวิจัยจาก Huntress พบว่า: - ช่องโหว่นี้อยู่ใน Wing FTP เวอร์ชันก่อน 7.4.4 (แพตช์ออก 14 พ.ค. 2025) - อาศัยการ ฉีด null byte เข้าในฟิลด์ชื่อผู้ใช้ - ทำให้ bypass authentication แล้วแนบโค้ด Lua ลงในไฟล์ session - เมื่อเซิร์ฟเวอร์ deserialize ไฟล์ session เหล่านั้น จะรันโค้ดในระดับ root/SYSTEM แม้การโจมตีบางครั้งถูกสกัดโดย Defender ของ Microsoft แต่พบพฤติกรรมหลายอย่าง เช่น: - การพยายามใช้ certutil และ cmd.exe เพื่อดาวน์โหลด payload - การสร้างผู้ใช้งานใหม่ในระบบ - การสแกน directory เพื่อหาช่องทางเข้าถึงอื่น มีเคสหนึ่งที่แฮกเกอร์ ต้องค้นหาวิธีใช้ curl แบบสด ๆ ระหว่างโจมตี แสดงให้เห็นว่าส่วนหนึ่งของผู้โจมตียังไม่ได้มีความเชี่ยวชาญเต็มที่ — แต่ช่องโหว่นั้นร้ายแรงมากจน “ต่อให้โจมตีไม่เก่งก็ยังสำเร็จได้” ✅ ช่องโหว่ CVE-2025-47812 ทำให้เกิดการรันโค้ดจากระยะไกลแบบไม่ต้องล็อกอิน ➡️ ใช้การฉีด null byte ในฟิลด์ username แล้วแนบโค้ด Lua ลงในไฟล์ session ✅ โค้ด Lua ที่ถูกแทรกจะถูกรันเมื่อเซิร์ฟเวอร์ deserialize session file ➡️ ทำงานในระดับ root บน Linux หรือ SYSTEM บน Windows ✅ นักวิจัยพบว่าแฮกเกอร์ใช้คำสั่งผ่าน cmd.exe และ certutil เพื่อดึง payload ➡️ พฤติกรรมคล้ายการเจาะระบบเพื่อฝัง backdoor และสร้างผู้ใช้ใหม่ ✅ Wing FTP Server ถูกใช้ในองค์กรระดับโลก เช่น Airbus และ USAF ➡️ ช่องโหว่นี้อาจกระทบระบบ sensitive และเครือข่ายภายใน ✅ แพตช์แก้ไขอยู่ในเวอร์ชัน 7.4.4 ซึ่งปล่อยตั้งแต่ 14 พฤษภาคม 2025 ➡️ แต่หลายองค์กรยังใช้เวอร์ชันก่อนหน้านั้น แม้ช่องโหว่ถูกเปิดเผยแล้ว ✅ นักวิจัยแนะนำให้ปิดการเข้าถึงผ่าน HTTP/S, ปิด anonymous login และตรวจ log session ➡️ เป็นมาตรการเบื้องต้นหากยังไม่สามารถอัปเดตเวอร์ชันได้ทันที ✅ ยังมีช่องโหว่อื่นอีก 3 ตัวที่พบ เช่นการดูด password ผ่าน JavaScript และการอ่านระบบ path ➡️ แต่ CVE-2025-47812 ถูกจัดว่า “รุนแรงที่สุด” เพราะสามารถเจาะระบบได้ครบทุกระดับ https://www.techradar.com/pro/security/hackers-are-exploiting-a-critical-rce-flaw-in-a-popular-ftp-server-heres-what-you-need-to-know

เมิร์ซ ผู้นำเยอรมัน ยินดีทำตามความต้องการของสหรัฐ โดยประกาศว่ายูเครนกำลังจะได้รับระบบขีปนาวุธโจมตีระยะไกลและการสนับสนุนทางทหารเพิ่มเติมในเร็วๆ นี้ "เรากำลังทำงานร่วมกับรัฐบาลสหรัฐฯ และรัฐสภาเพื่อสรุปการตัดสินใจเกี่ยวกับเรื่องนี้" เมิร์ซยังไม่ได้ระบุว่าข๊ปนาวุธพิสัยไกลหมายถึงอะไร

🎙️ เรื่องเล่าจากโลกไซเบอร์: เมื่อจีนใช้ phishing โจมตีอุตสาหกรรมชิปของไต้หวัน Proofpoint รายงานว่ามีอย่างน้อย 3 กลุ่มแฮกเกอร์ใหม่ ได้แก่ UNK_FistBump, UNK_DropPitch และ UNK_SparkyCarp ที่ร่วมกันโจมตีบริษัทในอุตสาหกรรมเซมิคอนดักเตอร์ของไต้หวัน ตั้งแต่เดือนมีนาคมถึงมิถุนายน 2025 โดยใช้เทคนิค spear phishing เพื่อหลอกให้เหยื่อเปิดอีเมลที่มีมัลแวร์ เป้าหมายของการโจมตีคือบริษัทที่เกี่ยวข้องกับการผลิต ออกแบบ และทดสอบชิป รวมถึงบริษัทในห่วงโซ่อุปทานและนักวิเคราะห์การลงทุนที่เกี่ยวข้องกับตลาดเซมิคอนดักเตอร์ของไต้หวัน กลุ่มแฮกเกอร์ใช้เครื่องมือหลากหลาย เช่น Cobalt Strike, Voldemort (backdoor แบบ custom ที่เขียนด้วยภาษา C), HealthKick (backdoor ที่สามารถรันคำสั่ง) และ Spark (Remote Access Trojan) ซึ่งใช้โดยกลุ่มที่สี่ชื่อ UNK_ColtCentury หรือ TAG-100 (Storm-2077) นักวิจัยเชื่อว่าการโจมตีเหล่านี้สะท้อนยุทธศาสตร์ของจีนที่ต้องการลดการพึ่งพาเทคโนโลยีจากต่างประเทศ โดยเฉพาะจากสหรัฐฯ และไต้หวัน ซึ่งเป็นผู้ผลิตชิปรายใหญ่ของโลก ✅ Proofpoint พบการโจมตีจากกลุ่มแฮกเกอร์จีน 3 กลุ่มหลัก ➡️ ได้แก่ UNK_FistBump, UNK_DropPitch และ UNK_SparkyCarp ✅ เป้าหมายคือบริษัทผลิต ออกแบบ และทดสอบเซมิคอนดักเตอร์ในไต้หวัน ➡️ รวมถึงบริษัทในห่วงโซ่อุปทานและนักวิเคราะห์การลงทุน ✅ ใช้เทคนิค spear phishing เพื่อหลอกให้เปิดอีเมลที่มีมัลแวร์ ➡️ เป็นวิธีที่มีประสิทธิภาพในการเจาะระบบองค์กร ✅ เครื่องมือที่ใช้รวมถึง Cobalt Strike, Voldemort, HealthKick และ Spark ➡️ เป็นมัลแวร์ที่สามารถควบคุมระบบจากระยะไกลและขโมยข้อมูล ✅ กลุ่ม UNK_ColtCentury (TAG-100 / Storm-2077) ใช้เทคนิคสร้างความไว้ใจก่อนโจมตี ➡️ เป็นกลยุทธ์ที่เน้นการหลอกล่อแบบเชิงจิตวิทยา ✅ การโจมตีสะท้อนยุทธศาสตร์จีนในการพึ่งพาตนเองด้านเทคโนโลยี ➡️ โดยเฉพาะในช่วงที่มีการควบคุมการส่งออกจากสหรัฐฯ และไต้หวัน ‼️ การโจมตีแบบ spear phishing ยังเป็นภัยคุกคามหลักต่อองค์กร ⛔ พนักงานควรได้รับการฝึกอบรมเพื่อระวังอีเมลหลอกลวง ‼️ มัลแวร์ที่ใช้มีความสามารถในการควบคุมระบบและขโมยข้อมูลลึก ⛔ อาจทำให้เกิดการรั่วไหลของข้อมูลเชิงพาณิชย์และเทคโนโลยีสำคัญ ‼️ การโจมตีมีเป้าหมายเชิงยุทธศาสตร์ระดับประเทศ ⛔ อาจส่งผลต่อความมั่นคงทางเศรษฐกิจและเทคโนโลยีของไต้หวัน ‼️ การใช้เครื่องมือเช่น Cobalt Strike อาจหลบเลี่ยงระบบรักษาความปลอดภัยทั่วไป ⛔ ต้องใช้ระบบตรวจจับภัยคุกคามขั้นสูงเพื่อป้องกัน https://www.techradar.com/pro/security/chinese-hackers-hit-taiwan-semiconductor-manufacturing-in-spear-phishing-campaign

🎙️ เรื่องเล่าจากโลกไซเบอร์: เมื่อมัลแวร์ซ่อนตัวอยู่ใน DNS ที่เราใช้ทุกวัน DNS (Domain Name System) คือระบบที่ทำให้เราสามารถพิมพ์ชื่อเว็บไซต์ เช่น tomshardware.com แล้วเข้าถึงเซิร์ฟเวอร์ปลายทางได้โดยไม่ต้องจำหมายเลข IP ซึ่งเป็นหัวใจของการใช้งานอินเทอร์เน็ตในทุกวันนี้ แต่ล่าสุด DomainTools พบว่ามีการฝังมัลแวร์ไว้ใน DNS TXT records ซึ่งเป็นช่องทางที่เว็บไซต์ใช้เก็บข้อมูลข้อความ เช่น SPF หรือ DKIM สำหรับอีเมล โดยแฮกเกอร์สามารถซ่อนไฟล์มัลแวร์ไว้ในรูปแบบ “magic file bytes” ที่โปรแกรมใช้ระบุชนิดไฟล์ เช่น .exe หรือ .jpg ได้อย่างแนบเนียน มัลแวร์ที่พบส่วนใหญ่เป็น “prank software” เช่น โปรแกรมแสดงภาพตลก ข้อความหลอก หรือแอนิเมชันที่รบกวนการใช้งาน แต่ยังพบ “stagers” ที่อาจใช้ติดตั้งมัลแวร์ควบคุมระบบจากระยะไกล เช่น Covenant C2 ซึ่งเคยถูกใช้ในช่วงปี 2021–2022 การซ่อนข้อมูลใน DNS ไม่ใช่เรื่องใหม่ แต่การใช้เพื่อส่งไฟล์หรือควบคุมระบบถือเป็นการยกระดับการโจมตีที่อันตรายและยากต่อการตรวจจับ เพราะ DNS เป็นระบบที่ทุกอุปกรณ์ต้องใช้ และมักถูกมองว่า “ปลอดภัยโดยธรรมชาติ” ✅ นักวิจัยจาก DomainTools พบมัลแวร์ฝังอยู่ใน DNS TXT records ➡️ ใช้ “magic file bytes” เพื่อซ่อนไฟล์มัลแวร์ในรูปแบบข้อความ ✅ มัลแวร์ที่พบเป็น prank software และ stagers สำหรับ Covenant C2 ➡️ ถูกใช้ในช่วงปี 2021–2022 เพื่อควบคุมระบบจากระยะไกล ✅ DNS เป็นระบบที่ใช้เชื่อมโยงชื่อเว็บไซต์กับหมายเลข IP ➡️ ทุกอุปกรณ์ต้องใช้ DNS ในการเข้าถึงอินเทอร์เน็ต ✅ การซ่อนข้อมูลใน DNS เคยถูกใช้เพื่อสร้างระบบไฟล์แบบข้อความ ➡️ แต่ล่าสุดพบว่ามีการซ่อนภาพและไฟล์ executable ได้ด้วย ✅ DomainTools เริ่มตรวจสอบ DNS RDATA TXT records เพื่อหาไฟล์ต้องสงสัย ➡️ โดยค้นหา magic bytes ของไฟล์ทั่วไป เช่น .exe, .jpg, .zip https://www.tomshardware.com/tech-industry/cyber-security/mmalware-found-embedded-in-dns-the-system-that-makes-the-internet-usable-except-when-it-doesnt

🎙️ เรื่องเล่าจากรางรถไฟ: ช่องโหว่ที่ถูกละเลยในระบบสื่อสารรถไฟสหรัฐฯ ย้อนกลับไปปี 2012 นักวิจัยอิสระ Neil Smith ค้นพบช่องโหว่ในระบบสื่อสารระหว่างหัวและท้ายขบวนรถไฟ (Head-of-Train และ End-of-Train Remote Linking Protocol) ซึ่งใช้คลื่นวิทยุแบบไม่เข้ารหัสในการส่งข้อมูลสำคัญ เช่น คำสั่งเบรก Smith พบว่าแฮกเกอร์สามารถใช้เครื่องมือราคาถูก เช่น โมเด็มแบบ frequency shift keying และอุปกรณ์พกพาเล็ก ๆ เพื่อดักฟังและส่งคำสั่งปลอมไปยังระบบรถไฟได้ หากอยู่ในระยะไม่กี่ร้อยฟุต หรือแม้แต่จากเครื่องบินที่บินสูงก็ยังสามารถส่งสัญญาณได้ไกลถึง 150 ไมล์ แม้จะมีการแจ้งเตือนต่อสมาคมรถไฟอเมริกัน (AAR) แต่กลับถูกเพิกเฉย โดยอ้างว่า “ต้องมีการพิสูจน์ในสถานการณ์จริง” จึงจะยอมรับว่าเป็นช่องโหว่ จนกระทั่งปี 2016 ที่บทความใน Boston Review ทำให้เรื่องนี้ได้รับความสนใจอีกครั้ง แต่ AAR ก็ยังลดทอนความรุนแรงของปัญหา และจนถึงปัจจุบันก็ยังไม่มีแผนแก้ไขที่ชัดเจน หน่วยงาน CISA ยอมรับว่าช่องโหว่นี้ “เป็นที่เข้าใจและถูกติดตามมานาน” แต่มองว่าการโจมตีต้องใช้ความรู้เฉพาะและการเข้าถึงทางกายภาพ จึงไม่น่าจะเกิดการโจมตีในวงกว้างได้ง่าย อย่างไรก็ตาม Smith โต้แย้งว่า ช่องโหว่นี้มี “ความซับซ้อนต่ำ” และ AI ก็สามารถสร้างโค้ดโจมตีได้จากข้อมูลที่มีอยู่บนอินเทอร์เน็ต เขายังวิจารณ์ว่าอุตสาหกรรมรถไฟใช้แนวทาง “delay, deny, defend” เหมือนบริษัทประกันภัยในการรับมือกับปัญหาความปลอดภัย ✅ ช่องโหว่ถูกค้นพบตั้งแต่ปี 2012 โดย Neil Smith ➡️ เป็นช่องโหว่ในระบบสื่อสารระหว่างหัวและท้ายขบวนรถไฟ ✅ ใช้คลื่นวิทยุแบบไม่เข้ารหัสในการส่งข้อมูลสำคัญ ➡️ เช่น คำสั่งเบรกและข้อมูลการทำงาน ✅ สามารถโจมตีได้ด้วยอุปกรณ์ราคาถูกและความรู้พื้นฐาน ➡️ เช่น โมเด็ม FSK และการดักฟังสัญญาณในระยะไม่กี่ร้อยฟุต ✅ สมาคมรถไฟอเมริกัน (AAR) ปฏิเสธที่จะยอมรับช่องโหว่ ➡️ อ้างว่าต้องพิสูจน์ในสถานการณ์จริงก่อน ✅ CISA ยอมรับว่าช่องโหว่นี้เป็นที่รู้จักในวงการมานาน ➡️ กำลังร่วมมือกับอุตสาหกรรมเพื่อปรับปรุงโปรโตคอล ✅ Smith ระบุว่า AI สามารถสร้างโค้ดโจมตีได้จากข้อมูลที่มีอยู่ ➡️ ทำให้ความเสี่ยงเพิ่มขึ้นในยุคปัญญาประดิษฐ์ ‼️ ช่องโหว่นี้ยังไม่มีการแก้ไขอย่างเป็นรูปธรรม ⛔ AAR ไม่ได้ให้ timeline สำหรับการอัปเดตระบบ ‼️ การโจมตีสามารถเกิดขึ้นได้จากระยะไกลด้วยอุปกรณ์พลังสูง ⛔ เช่น จากเครื่องบินที่บินสูงถึง 30,000 ฟุต ‼️ การเพิกเฉยต่อปัญหาความปลอดภัยอาจนำไปสู่เหตุการณ์ร้ายแรง ⛔ โดยเฉพาะในระบบขนส่งที่มีผู้โดยสารจำนวนมาก ‼️ การพึ่งพาเทคโนโลยีเก่าที่ไม่มีการเข้ารหัสเป็นความเสี่ยง ⛔ ระบบนี้ถูกออกแบบตั้งแต่ยุค 1980 และยังใช้งานอยู่ในปัจจุบัน https://www.techspot.com/news/108675-us-rail-industry-exposed-decade-old-hacking-threat.html

BYD เปิดตัวฟีเจอร์เชื่อมต่อรถกับสมาร์ตโฟน – ขับรถยุคใหม่ต้องไม่ขาดมือถือ BYD ประกาศเปิดตัวฟีเจอร์ “smartphone-car connectivity” ที่สามารถเชื่อมต่อสมาร์ตโฟนกับรถยนต์ได้โดยตรง โดยไม่ต้องใช้สายหรืออุปกรณ์เสริมเพิ่มเติม รองรับแบรนด์สมาร์ตโฟนยอดนิยมในจีน ได้แก่ Huawei, Xiaomi, Oppo และ Vivo ฟีเจอร์นี้จะถูกติดตั้งในรถยนต์ทุกรุ่นของ BYD และช่วยให้ผู้ใช้สามารถ: - ควบคุมฟังก์ชันของรถผ่านแอปบนมือถือ - ใช้มือถือเป็นกุญแจดิจิทัล - สั่งงานระบบนำทาง, เพลง, และการตั้งค่ารถจากระยะไกล - รับการแจ้งเตือนสถานะรถ เช่น แบตเตอรี่, ระบบความปลอดภัย, หรือการบำรุงรักษา การเปิดตัวครั้งนี้สะท้อนแนวโน้มของอุตสาหกรรมรถยนต์ที่กำลังเปลี่ยนจาก “เครื่องยนต์” ไปสู่ “แพลตฟอร์มดิจิทัล” โดยเฉพาะในจีนที่มีการใช้งานสมาร์ตโฟนอย่างแพร่หลาย และผู้บริโภคคาดหวังให้รถยนต์ทำงานร่วมกับอุปกรณ์ส่วนตัวได้อย่างไร้รอยต่อ https://www.thestar.com.my/tech/tech-news/2025/07/15/chinese-carmaker-byd-launches-smartphone-car-connectivity-feature