🧨 Warlock Ransomware: จู่โจมองค์กรสหรัฐฯ ผ่านช่องโหว่ SharePoint โดยกลุ่มแฮกเกอร์จีน CamoFei ภัยคุกคามไซเบอร์ครั้งใหม่กำลังเขย่าโลกธุรกิจสหรัฐฯ เมื่อ Warlock ransomware ปรากฏตัวในเดือนมิถุนายน 2025 และถูกใช้ในการโจมตีองค์กรต่างๆ โดยอาศัยช่องโหว่ ToolShell zero-day ใน Microsoft SharePoint (CVE-2025-53770) ซึ่งสามารถเจาะระบบได้โดยไม่ต้องยืนยันตัวตน สิ่งที่ทำให้ Warlock แตกต่างจาก ransomware ทั่วไปคือความเชื่อมโยงกับกลุ่มแฮกเกอร์จีนสายข่าวกรอง เช่น CamoFei (หรือ ChamelGang) และ Storm-2603 ซึ่งเคยใช้เครื่องมือจารกรรมอย่าง Cobalt Strike และเทคนิค DLL sideloading ในการแทรกซึมระบบมาก่อน Warlock ถูกพบว่ามีลักษณะคล้ายกับ Anylock ransomware โดยใช้ extension .x2anylock และมีโครงสร้าง payload ที่ใกล้เคียงกัน บ่งชี้ว่าอาจเป็นการรีแบรนด์หรือพัฒนาต่อยอดจาก LockBit 3.0 หนึ่งในเทคนิคที่น่ากังวลที่สุดคือการใช้ BYOVD (Bring Your Own Vulnerable Driver) โดยแฮกเกอร์นำ driver จาก Baidu Antivirus ปี 2016 ที่มีช่องโหว่มาใช้ร่วมกับ certificate ปลอมจากนักพัฒนาชื่อ “coolschool” เพื่อปิดการทำงานของโปรแกรมป้องกันไวรัสในระบบเป้าหมาย การโจมตีครั้งนี้ไม่ใช่แค่การเรียกค่าไถ่ แต่ยังสะท้อนถึงการบูรณาการระหว่างกลุ่มแฮกเกอร์สายข่าวกรองกับกลุ่มอาชญากรรมไซเบอร์ ซึ่งอาจเป็นยุทธศาสตร์ใหม่ของการโจมตีระดับประเทศ ✅ ลักษณะของ Warlock ransomware ➡️ ปรากฏตัวครั้งแรกในเดือนมิถุนายน 2025 ➡️ ใช้ช่องโหว่ CVE-2025-53770 ใน SharePoint ➡️ เชื่อมโยงกับกลุ่มแฮกเกอร์จีน เช่น CamoFei และ Storm-2603 ✅ เทคนิคการโจมตี ➡️ ใช้ BYOVD ด้วย driver จาก Baidu Antivirus ปี 2016 ➡️ ใช้ certificate ปลอมจากนักพัฒนาชื่อ “coolschool” ➡️ ใช้ DLL sideloading และ toolkit “Project AK47” ✅ ความสัมพันธ์กับ ransomware อื่น ➡️ มีลักษณะคล้าย Anylock และ LockBit 3.0 ➡️ ใช้ extension .x2anylock ในการเข้ารหัสไฟล์ ➡️ อาจเป็นการรีแบรนด์หรือพัฒนาต่อยอดจาก ransomware เดิม ✅ กลุ่มเป้าหมาย ➡️ องค์กรในสหรัฐฯ และหน่วยงานรัฐบาล ➡️ ใช้ช่องโหว่ zero-day เพื่อเข้าถึงระบบโดยไม่ต้องยืนยันตัวตน ➡️ มีการโจมตีแบบผสมระหว่างจารกรรมและเรียกค่าไถ่ https://securityonline.info/warlock-ransomware-hits-us-firms-exploiting-sharepoint-zero-day-linked-to-chinas-camofei-apt/

ประวัติศาสตร์รัฐสภาไทย ญัตติปราบ "สแกมเมอร์-อาชญากรรมไซเบอร์" ได้รับเสียงท่วมท้น บรรจุเป็นวาระเร่งด่วน IPU กัมพูชาเมินโหวต https://www.thai-tai.tv/news/22007/ . #ไทยไท #IPU151th #อาชญากรรมไซเบอร์ #สแกมเมอร์ #รังสิมันต์โรม #วาระเร่งด่วน #วันมูหะมัดนอร์

ไทยเสนอญัตติด่วน IPU ปราบอาชญากรรมไซเบอร์-ค้ามนุษย์ เชื่อชนะโหวต 2 ใน 3 ชี้เป็นปัญหา ‘การค้ามนุษย์’ ระดับโลก https://www.thai-tai.tv/news/22000/ . #ไทยไท #IPU151th #อาชญากรรมไซเบอร์ #รังสิมันต์โรม #วันมูหะมัดนอร์ #สแกมเมอร์ #เวทีโลก

🛡️ “UNC5142 ใช้ EtherHiding บน BNB Smart Chain เพื่อแพร่มัลแวร์ — เมื่อบล็อกเชนกลายเป็นเครื่องมืออาชญากรรมไซเบอร์” — จาก WordPress สู่ Smart Contract: การโจมตีที่ล่องหนและยากจะหยุด รายงานร่วมจาก Mandiant และ Google Threat Intelligence Group (GTIG) เปิดเผยการโจมตีไซเบอร์รูปแบบใหม่โดยกลุ่ม UNC5142 ซึ่งใช้เทคนิค “EtherHiding” บน BNB Smart Chain เพื่อซ่อนและส่งมัลแวร์ผ่าน smart contracts โดยไม่ต้องใช้เซิร์ฟเวอร์แบบเดิม แทนที่จะโฮสต์มัลแวร์บนโดเมนหรือ IP ที่สามารถถูกบล็อกได้ UNC5142 ฝัง payload ไว้ใน smart contract ที่อยู่บนบล็อกเชน ซึ่งมีคุณสมบัติ “เปลี่ยนไม่ได้” และ “ลบไม่ได้” ทำให้การตรวจจับและการลบแทบเป็นไปไม่ได้ มัลแวร์เริ่มต้นจากการฝัง JavaScript บนเว็บไซต์ WordPress ที่ถูกเจาะ ซึ่งโหลดตัวดาวน์โหลดชื่อ CLEARSHORT — ตัวนี้จะเชื่อมต่อกับ BNB Smart Chain ผ่าน Web3.js เพื่อดึงสคริปต์ถัดไปจาก smart contract และแสดงหน้าต่างหลอกลวง เช่น “อัปเดตระบบ” หรือ “ตรวจสอบความปลอดภัย” เพื่อหลอกให้ผู้ใช้คลิก ระบบ smart contract ที่ใช้มี 3 ชั้น: 1️⃣ ชั้นแรก: ทำหน้าที่เป็น router ชี้ไปยัง contract ถัดไป 2️⃣ ชั้นสอง: ทำ reconnaissance และ fingerprinting เหยื่อ 3️⃣ ชั้นสาม: เก็บ URL ของ payload และคีย์ AES สำหรับถอดรหัส การอัปเดต payload หรือคีย์สามารถทำได้ด้วยธุรกรรมราคาถูก (ประมาณ $0.25–$1.50) โดยไม่ต้องเปลี่ยนโค้ดหลักของ contract — ทำให้ระบบมีความยืดหยุ่นสูงและต้นทุนต่ำ UNC5142 ยังใช้ Cloudflare Pages เพื่อโฮสต์หน้า phishing เช่น reCAPTCHA ปลอม, หน้าความเป็นส่วนตัวปลอม, และหน้าตรวจสอบ bot ปลอม ซึ่งหลอกผู้ใช้ให้คลิกและติดมัลแวร์ มัลแวร์ที่ใช้มีหลายตัว เช่น: 🐛 CLEARSHORT: JavaScript downloader 🐛 VIDAR และ LUMMAC.V2: สำหรับ Windows 🐛 RADTHIEF: ขโมย credentials 🐛 ATOMIC: สำหรับ macOS — ใช้ bash script และ bypass quarantine กลุ่มนี้ยังมีโครงสร้าง infrastructure แบบคู่ขนาน (Main และ Secondary) เพื่อหลบเลี่ยงการถูกปิดระบบ และใช้ wallet ที่เชื่อมโยงกับ OKX exchange ในการจ่ายค่าธุรกรรม ✅ UNC5142 ใช้ EtherHiding บน BNB Smart Chain เพื่อแพร่มัลแวร์ ➡️ ฝัง payload ใน smart contract ที่ลบไม่ได้ ✅ เริ่มต้นจากเว็บไซต์ WordPress ที่ถูกเจาะ ➡️ โหลด CLEARSHORT JavaScript downloader ✅ ใช้ Web3.js เชื่อมต่อกับ smart contract เพื่อดึง payload ➡️ แสดงหน้าต่างหลอกลวงให้เหยื่อคลิก ✅ Smart contract มี 3 ชั้น: router → reconnaissance → payload ➡️ อัปเดตได้ด้วยธุรกรรมราคาถูก ✅ ใช้ Cloudflare Pages เพื่อโฮสต์หน้า phishing ➡️ เช่น reCAPTCHA ปลอม และหน้าตรวจสอบ bot ✅ มัลแวร์ที่ใช้: CLEARSHORT, VIDAR, LUMMAC.V2, RADTHIEF, ATOMIC ➡️ ครอบคลุมทั้ง Windows และ macOS ✅ โครงสร้าง infrastructure แบบคู่ขนาน (Main และ Secondary) ➡️ ใช้ wallet ที่เชื่อมโยงกับ OKX exchange https://securityonline.info/unc5142-uses-etherhiding-to-deploy-malware-via-bnb-smart-chain-smart-contracts/

เวียดนามประกาศ "ถึงเวลาเอาคืน" รัฐบาลฮานอยลั่นไม่ทนพลเมืองนับพันถูกหลอกเป็นทาสในศูนย์สแกมกัมพูชา https://www.thai-tai.tv/news/21965/ . #ไทยไท #เวียดนาม #ศูนย์สแกมกัมพูชา #อาชญากรรมไซเบอร์ #ฮุนมาเนต #อาเซียน

🚨 “จับสองวัยรุ่นอังกฤษ โจมตีแรนซัมแวร์ใส่ศูนย์เด็ก Kido — ข้อมูลเด็ก 8,000 คนถูกขโมยและขู่เรียกค่าไถ่” ตำรวจนครบาลลอนดอน (Met Police) ได้จับกุมวัยรุ่นชายอายุ 17 ปีสองคนในเมือง Bishop’s Stortford, Hertfordshire เมื่อวันที่ 7 ตุลาคม 2025 จากข้อหาการใช้คอมพิวเตอร์ในทางมิชอบและการแบล็กเมล์ หลังจากเกิดเหตุโจมตีแรนซัมแวร์ต่อเครือข่ายศูนย์เด็ก Kido ซึ่งมีสาขาทั่วลอนดอน กลุ่มแฮกเกอร์ที่เรียกตัวเองว่า “Radiant” ได้อ้างความรับผิดชอบในการโจมตี โดยสามารถเข้าถึงข้อมูลส่วนตัวของเด็กกว่า 8,000 คนและครอบครัวผ่านซอฟต์แวร์ Famly ที่ศูนย์เด็กใช้ในการจัดการข้อมูล แม้ Famly จะยืนยันว่าโครงสร้างพื้นฐานของตนไม่ถูกเจาะ แต่การเข้าถึงผ่านบัญชีผู้ใช้ก็เพียงพอให้ Radiant ขโมยข้อมูลสำคัญ เช่น ชื่อ ที่อยู่ รูปถ่าย ข้อมูลติดต่อของผู้ปกครอง และบันทึกทางการแพทย์ที่เป็นความลับ Radiant ได้เรียกร้องค่าไถ่ประมาณ £600,000 เป็น Bitcoin และใช้วิธีการกดดันที่รุนแรง เช่น โทรหาผู้ปกครองโดยตรง และโพสต์ภาพเด็กบางคนลงใน dark web เพื่อบีบให้ศูนย์เด็กจ่ายเงิน อย่างไรก็ตาม กลุ่มนี้กลับได้รับเสียงประณามอย่างหนัก แม้แต่จากแฮกเกอร์ด้วยกัน จนสุดท้าย Radiant ได้เบลอภาพและประกาศลบข้อมูลทั้งหมดเมื่อวันที่ 2 ตุลาคม ตำรวจ Met ยืนยันว่ากำลังดำเนินการสอบสวนอย่างจริงจัง โดย Will Lyne หัวหน้าฝ่ายอาชญากรรมไซเบอร์กล่าวว่า “นี่เป็นก้าวสำคัญในการนำผู้กระทำผิดเข้าสู่กระบวนการยุติธรรม” ขณะที่ศูนย์เด็ก Kido ก็ออกแถลงการณ์ขอบคุณการดำเนินการของตำรวจ เหตุการณ์นี้สะท้อนถึงความเปราะบางของภาคการศึกษา โดยเฉพาะศูนย์เด็กและโรงเรียนที่มักมีงบประมาณด้าน IT จำกัด ทำให้ตกเป็นเป้าหมายของแรนซัมแวร์บ่อยครั้ง รายงานจาก Sophos และ AtlastVPN เคยระบุว่า 80% ของผู้ให้บริการการศึกษาระดับต้นเคยถูกโจมตีด้วยแรนซัมแวร์ภายในหนึ่งปี ✅ ข้อมูลสำคัญจากข่าว ➡️ ตำรวจ Met จับกุมวัยรุ่นชายสองคนจากข้อหาใช้คอมพิวเตอร์ในทางมิชอบและแบล็กเมล์ ➡️ เหตุโจมตีเกิดขึ้นกับศูนย์เด็ก Kido ซึ่งมีข้อมูลเด็กกว่า 8,000 คนถูกขโมย ➡️ ข้อมูลที่ถูกขโมยรวมถึงชื่อ ที่อยู่ รูปถ่าย และบันทึกทางการแพทย์ ➡️ กลุ่มแฮกเกอร์ Radiant เรียกร้องค่าไถ่ £600,000 เป็น Bitcoin ➡️ Radiant โทรหาผู้ปกครองและโพสต์ภาพเด็กใน dark web เพื่อกดดัน ➡️ หลังถูกประณาม กลุ่ม Radiant เบลอภาพและประกาศลบข้อมูล ➡️ ตำรวจ Met ยืนยันดำเนินการสอบสวนอย่างจริงจัง ➡️ ศูนย์เด็ก Kido ขอบคุณการดำเนินการของตำรวจ ✅ ข้อมูลเสริมจากภายนอก ➡️ Famly เป็นซอฟต์แวร์จัดการศูนย์เด็กที่ใช้กันแพร่หลายในยุโรป ➡️ ข้อมูลเด็กเป็นเป้าหมายของแฮกเกอร์ เพราะมีประวัติเครดิตสะอาดและยากต่อการตรวจพบ ➡️ การโจมตีแรนซัมแวร์ในภาคการศึกษามักเกิดจาก phishing และการตั้งค่าความปลอดภัยต่ำ ➡️ กลุ่มแฮกเกอร์วัยรุ่น เช่น Lapsus$ และ Scattered Spider เคยโจมตีองค์กรใหญ่หลายแห่ง ➡️ การโจมตีข้อมูลเด็กถือเป็น “จุดต่ำสุดใหม่” ของอาชญากรรมไซเบอร์ https://hackread.com/uk-police-arrest-teens-kido-nursery-ransomware-attack/

🕵️‍♂️ “Oracle ถูกขู่เรียกค่าไถ่จากแฮกเกอร์ — ข้อมูลลูกค้า E-Business Suite อาจถูกเจาะผ่านช่องโหว่เดิม” Oracle กำลังเผชิญกับการโจมตีไซเบอร์ครั้งใหญ่ เมื่อกลุ่มแฮกเกอร์ที่เชื่อมโยงกับ Cl0p ransomware ได้ส่งอีเมลขู่เรียกค่าไถ่ไปยังผู้บริหารขององค์กรต่าง ๆ ที่ใช้ระบบ Oracle E-Business Suite โดยอ้างว่าขโมยข้อมูลสำคัญไปแล้ว และเรียกร้องเงินสูงสุดถึง 50 ล้านดอลลาร์เพื่อไม่ให้เปิดเผยข้อมูลเหล่านั้น การโจมตีเริ่มต้นเมื่อปลายเดือนกันยายน 2025 โดยแฮกเกอร์ใช้บัญชีอีเมลที่ถูกเจาะจำนวนมาก ส่งอีเมลไปยังผู้บริหารระดับสูง พร้อมแนบหลักฐาน เช่น ภาพหน้าจอและโครงสร้างไฟล์ เพื่อแสดงว่าพวกเขาเข้าถึงระบบได้จริง แม้ว่า Google และ Mandiant จะยังไม่สามารถยืนยันได้ว่าข้อมูลถูกขโมยจริงหรือไม่ แต่ก็พบว่ามีการใช้บัญชีที่เคยเกี่ยวข้องกับกลุ่ม Cl0p และ FIN11 ซึ่งเป็นกลุ่มอาชญากรรมไซเบอร์ที่มีประวัติการโจมตีองค์กรขนาดใหญ่ทั่วโลก ช่องทางที่แฮกเกอร์ใช้คือการเจาะบัญชีผู้ใช้และใช้ฟีเจอร์รีเซ็ตรหัสผ่านในหน้า AppsLocalLogin.jsp ซึ่งมักไม่อยู่ภายใต้ระบบ SSO และไม่มีการเปิดใช้ MFA ทำให้สามารถเข้าถึงระบบได้โดยง่าย โดย Oracle ยอมรับว่าการโจมตีอาจใช้ช่องโหว่ที่เคยถูกระบุไว้ก่อนหน้านี้ และแนะนำให้ลูกค้าอัปเดตแพตช์ล่าสุดทันที แม้จะยังไม่มีการยืนยันว่าข้อมูลถูกขโมยจริง แต่ผู้เชี่ยวชาญเตือนว่าแค่อีเมลขู่ก็สามารถสร้างความเสียหายต่อชื่อเสียงและความเชื่อมั่นขององค์กรได้แล้ว และแนะนำให้ทุกองค์กรที่ใช้ Oracle EBS ตรวจสอบระบบอย่างละเอียดเพื่อหาหลักฐานการเจาะระบบหรือการเข้าถึงที่ผิดปกติ ✅ ข้อมูลสำคัญจากข่าว ➡️ Oracle ยืนยันว่าลูกค้าได้รับอีเมลขู่เรียกค่าไถ่จากแฮกเกอร์ ➡️ กลุ่มที่เกี่ยวข้องคือ Cl0p และ FIN11 ซึ่งมีประวัติการโจมตีองค์กรขนาดใหญ่ ➡️ อีเมลขู่มีหลักฐาน เช่น ภาพหน้าจอและโครงสร้างไฟล์ เพื่อเพิ่มแรงกดดัน ➡️ เริ่มต้นเมื่อปลายเดือนกันยายน 2025 และยังดำเนินอยู่ ➡️ ใช้ช่องทางรีเซ็ตรหัสผ่านผ่านหน้า AppsLocalLogin.jsp ที่ไม่มี MFA ➡️ Oracle แนะนำให้ลูกค้าอัปเดตแพตช์ล่าสุดเพื่อปิดช่องโหว่ ➡️ มีการเรียกร้องเงินสูงสุดถึง 50 ล้านดอลลาร์ในบางกรณี ➡️ อีเมลถูกส่งจากบัญชีที่เคยเกี่ยวข้องกับ Cl0p และปรากฏบนเว็บ data leak ของกลุ่ม ➡️ Google และ Mandiant ยังไม่สามารถยืนยันได้ว่าข้อมูลถูกขโมยจริง ✅ ข้อมูลเสริมจากภายนอก ➡️ Oracle E-Business Suite เป็นระบบ ERP ที่ใช้จัดการการเงิน, HR, CRM และซัพพลายเชน ➡️ Cl0p เคยโจมตี MOVEit Transfer ในปี 2023 ทำให้ข้อมูลรั่วไหลจากองค์กรกว่า 2,700 แห่ง ➡️ FIN11 เป็นกลุ่มที่ใช้ Cl0p ransomware และมีประวัติการโจมตีแบบ phishing และ credential abuse ➡️ การไม่มี MFA ในระบบ login ภายในองค์กรเป็นช่องโหว่ที่พบได้บ่อย ➡️ การรีเซ็ตรหัสผ่านผ่านหน้าเว็บที่เปิดสาธารณะเป็นจุดเสี่ยงสูง https://www.thestar.com.my/tech/tech-news/2025/10/03/oracle-says-hackers-are-trying-to-extort-its-customers

📱 “Klopatra: มัลแวร์ Android สุดแสบจากตุรกี ใช้ VNC ลับและโค้ดซ่อนระดับพาณิชย์ เจาะบัญชีธนาคารยุโรปขณะเหยื่อหลับ” Cleafy ทีมวิเคราะห์ภัยคุกคามจากอิตาลีได้เปิดเผยมัลแวร์ Android ตัวใหม่ชื่อ “Klopatra” ซึ่งเป็น Remote Access Trojan (RAT) ที่มีความซับซ้อนสูงและไม่เกี่ยวข้องกับมัลแวร์ตระกูลเดิมใด ๆ โดย Klopatra ถูกออกแบบมาเพื่อโจมตีผู้ใช้ธนาคารในยุโรป โดยเฉพาะในสเปนและอิตาลี ซึ่งมีอุปกรณ์ติดเชื้อแล้วกว่า 3,000 เครื่อง Klopatra เริ่มต้นด้วยการหลอกให้เหยื่อดาวน์โหลดแอป IPTV ปลอมชื่อ “Mobdro Pro IP TV + VPN” ซึ่งขอสิทธิ์ REQUEST_INSTALL_PACKAGES เพื่อให้สามารถติดตั้งแอปอื่นได้ เมื่อเหยื่ออนุญาต ตัว dropper จะติดตั้ง payload หลักของ Klopatra แบบเงียบ ๆ และเริ่มควบคุมอุปกรณ์ทันที มัลแวร์นี้ใช้ Accessibility Services เพื่อเข้าถึงหน้าจอ, บันทึกการพิมพ์, และควบคุมอุปกรณ์แบบไร้ร่องรอย โดยมีฟีเจอร์เด่นคือ Hidden VNC ที่ทำให้หน้าจอของเหยื่อกลายเป็นสีดำเหมือนปิดเครื่อง ขณะที่ผู้โจมตีสามารถเปิดแอปธนาคารและโอนเงินได้โดยไม่ถูกสังเกต Klopatra ยังใช้เทคนิค overlay attack โดยแสดงหน้าจอ login ปลอมที่เหมือนจริง เมื่อเหยื่อกรอกข้อมูล ระบบจะส่งข้อมูลไปยังเซิร์ฟเวอร์ของผู้โจมตีทันที สิ่งที่ทำให้ Klopatra อันตรายยิ่งขึ้นคือการใช้ Virbox ซึ่งเป็นชุดเครื่องมือป้องกันโค้ดระดับพาณิชย์ที่ใช้ในซอฟต์แวร์ถูกลิขสิทธิ์ ทำให้การวิเคราะห์และตรวจจับทำได้ยากมาก โดยโค้ดหลักถูกย้ายไปอยู่ใน native layer พร้อมกลไก anti-debugging และตรวจจับ emulator จากการวิเคราะห์ภาษาในโค้ดและเซิร์ฟเวอร์ควบคุม พบว่าผู้พัฒนา Klopatra เป็นกลุ่มที่พูดภาษาตุรกี โดยมีการใช้คำว่า “etiket” และ “bot_notu” ในระบบหลังบ้าน รวมถึงข้อความหยาบคายที่บ่งบอกถึงความหงุดหงิดจากการโจรกรรมที่ล้มเหลว มีการระบุ botnet หลัก 2 กลุ่ม ได้แก่ 🌍 สเปน: ควบคุมผ่าน adsservices[.]uk 🌍 อิตาลี: ควบคุมผ่าน adsservice2[.]org และมีเซิร์ฟเวอร์ทดสอบชื่อ guncel-tv-player-lnat[.]com Klopatra ถูกติดตามแล้วกว่า 40 เวอร์ชันตั้งแต่มีนาคม 2025 และยังคงพัฒนาอย่างต่อเนื่อง โดย Cleafy เตือนว่า นี่คือสัญญาณของการ “ยกระดับอาชญากรรมไซเบอร์บนมือถือ” ที่ใช้เทคโนโลยีระดับองค์กรเพื่อหลบเลี่ยงการตรวจจับและเพิ่มกำไรสูงสุด ✅ ข้อมูลสำคัญจากข่าว ➡️ Klopatra เป็น Android RAT ที่ใช้ Hidden VNC และ overlay attack เพื่อขโมยข้อมูลธนาคาร ➡️ เริ่มต้นด้วย dropper ปลอมชื่อ Mobdro Pro IP TV + VPN ที่ขอสิทธิ์ติดตั้งแอป ➡️ ใช้ Accessibility Services เพื่อควบคุมอุปกรณ์แบบสมบูรณ์ ➡️ Hidden VNC ทำให้หน้าจอเหยื่อกลายเป็นสีดำ ขณะผู้โจมตีควบคุมอุปกรณ์ ➡️ Overlay attack แสดงหน้าจอ login ปลอมเพื่อขโมยข้อมูลธนาคาร ➡️ ใช้ Virbox เพื่อป้องกันโค้ด ทำให้ตรวจจับและวิเคราะห์ได้ยาก ➡️ โค้ดหลักถูกย้ายไป native layer พร้อมกลไก anti-debugging และ integrity check ➡️ ผู้พัฒนาเป็นกลุ่มที่พูดภาษาตุรกี โดยมีคำในระบบหลังบ้านเป็นภาษาตุรกี ➡️ มี botnet 2 กลุ่มในสเปนและอิตาลี และเซิร์ฟเวอร์ทดสอบอีก 1 แห่ง ➡️ ติดตามแล้วกว่า 40 เวอร์ชันตั้งแต่มีนาคม 2025 ✅ ข้อมูลเสริมจากภายนอก ➡️ Virbox เป็นเครื่องมือป้องกันโค้ดที่ใช้ในซอฟต์แวร์ลิขสิทธิ์ เช่น เกมหรือแอปองค์กร ➡️ Hidden VNC เคยถูกใช้ในมัลแวร์ระดับองค์กร เช่น APT เพื่อควบคุมอุปกรณ์แบบลับ ➡️ Accessibility Services เป็นช่องโหว่ที่มัลแวร์ Android ใช้บ่อยที่สุดในช่วงหลัง ➡️ Overlay attack ถูกใช้ในมัลแวร์ธนาคารหลายตัว เช่น BRATA และ Octo ➡️ การใช้ native code ทำให้มัลแวร์หลบเลี่ยงการตรวจจับจาก antivirus ได้ดีขึ้น https://securityonline.info/klopatra-new-android-rat-uses-hidden-vnc-and-commercial-obfuscation-to-hijack-european-banking-accounts/

🕷️ “ShadowV2: บ็อตเน็ตยุคใหม่ที่ใช้ AWS Docker เป็นฐานยิง DDoS — เมื่ออาชญากรรมไซเบอร์กลายเป็นธุรกิจ SaaS เต็มรูปแบบ” นักวิจัยจาก Darktrace ได้เปิดโปงเครือข่ายบ็อตเน็ตใหม่ชื่อว่า ShadowV2 ซึ่งไม่ใช่แค่มัลแวร์ทั่วไป แต่เป็น “DDoS-for-hire platform” หรือบริการยิง DDoS แบบเช่าใช้ ที่ถูกออกแบบให้ใช้งานง่ายเหมือนแอปพลิเคชันบนคลาวด์ โดยผู้โจมตีสามารถล็อกอินเข้าไปตั้งค่าการโจมตีผ่านแดชบอร์ดได้ทันที สิ่งที่ทำให้ ShadowV2 น่ากลัวคือการใช้ Docker containers ที่ตั้งค่าผิดบน AWS EC2 เป็นฐานในการติดตั้งมัลแวร์ โดยเริ่มจากการใช้ Python script บน GitHub CodeSpaces เพื่อสร้าง container ชั่วคราว จากนั้นติดตั้ง Go-based Remote Access Trojan (RAT) ที่สามารถสื่อสารกับเซิร์ฟเวอร์ควบคุมผ่าน RESTful API และรับคำสั่งโจมตีแบบเรียลไทม์ ระบบของ ShadowV2 ถูกออกแบบอย่างมืออาชีพ มีทั้ง UI ที่สร้างด้วย Tailwind, ระบบล็อกอิน, การจัดการผู้ใช้, การตั้งค่าการโจมตี, และแม้แต่ระบบ blacklist ซึ่งทั้งหมดนี้สะท้อนว่าอาชญากรรมไซเบอร์กำลังกลายเป็น “ธุรกิจแบบ SaaS” ที่มีการจัดการเหมือนซอฟต์แวร์องค์กร เทคนิคการโจมตีของ ShadowV2 ยังรวมถึงการใช้ HTTP/2 rapid reset ที่สามารถทำให้เซิร์ฟเวอร์ล่มได้ทันที และการหลบหลีกระบบป้องกันของ Cloudflare ด้วยการใช้ ChromeDP เพื่อแก้ JavaScript challenge อัตโนมัติ แม้จะไม่สำเร็จทุกครั้ง แต่ก็แสดงถึงความพยายามในการพัฒนาอย่างต่อเนื่อง Jason Soroko จาก Sectigo ระบุว่า ShadowV2 เป็นตัวอย่างของ “ตลาดอาชญากรรมที่กำลังเติบโต” โดยเน้นเฉพาะ DDoS และขายการเข้าถึงแบบ multi-tenant ซึ่งช่วยลดความเสี่ยงในการปฏิบัติการ และเพิ่มความสามารถในการขยายระบบอย่างรวดเร็ว ✅ ข้อมูลสำคัญจากข่าว ➡️ ShadowV2 เป็นบ็อตเน็ตแบบ DDoS-for-hire ที่ใช้ Docker containers บน AWS เป็นฐาน ➡️ เริ่มต้นด้วย Python script บน GitHub CodeSpaces เพื่อสร้าง container ชั่วคราว ➡️ ติดตั้ง Go-based RAT ที่สื่อสารผ่าน RESTful API และรับคำสั่งโจมตี ➡️ มี UI แบบมืออาชีพ พร้อมแดชบอร์ด, ระบบล็อกอิน, การจัดการผู้ใช้ และ blacklist ➡️ ใช้เทคนิค HTTP/2 rapid reset และ Cloudflare UAM bypass เพื่อโจมตีเซิร์ฟเวอร์ ➡️ ใช้ ChromeDP เพื่อแก้ JavaScript challenge อัตโนมัติ ➡️ Darktrace พบการโจมตีครั้งแรกเมื่อ 24 มิถุนายน 2025 และพบเวอร์ชันเก่าบน threat database ➡️ เว็บไซต์ของ ShadowV2 มีการแสดงข้อความยึดทรัพย์ปลอมเพื่อหลอกผู้ใช้ ➡️ Jason Soroko ระบุว่าเป็นตัวอย่างของตลาดอาชญากรรมที่เน้นเฉพาะ DDoS ✅ ข้อมูลเสริมจากภายนอก ➡️ Docker เป็นเทคโนโลยีที่ใช้สร้าง container สำหรับรันแอปแบบแยกส่วน ➡️ หากตั้งค่า Docker daemon ให้เข้าถึงจากภายนอกโดยไม่จำกัด จะเสี่ยงต่อการถูกโจมตี ➡️ HTTP/2 rapid reset เป็นเทคนิคใหม่ที่ใช้รีเซ็ตการเชื่อมต่อจำนวนมากพร้อมกัน ➡️ ChromeDP เป็นเครื่องมือควบคุม Chrome แบบ headless ที่ใช้ในงาน automation ➡️ การใช้ RESTful API ทำให้ระบบสามารถควบคุมจากระยะไกลได้อย่างมีประสิทธิภาพ https://hackread.com/shadowv2-botnet-aws-docker-ddos-for-hire-service/

🕵️‍♂️ “Volodymyr Tymoshchuk: แฮกเกอร์ยูเครนผู้ถูกล่าทั่วโลก — เบื้องหลัง LockerGoga และเครือข่ายอาชญากรรมไซเบอร์พันล้านดอลลาร์” Volodymyr Tymoshchuk ชายชาวยูเครนวัย 28 ปี ถูกระบุว่าเป็นผู้มีบทบาทสำคัญในการโจมตีไซเบอร์ครั้งใหญ่ที่สุดในยุโรปและสหรัฐฯ ด้วยมัลแวร์เรียกค่าไถ่ชื่อ LockerGoga, MegaCortex และ Nefilim ซึ่งสร้างความเสียหายรวมกว่า 18 พันล้านดอลลาร์ทั่วโลก2 ล่าสุดเขาถูกเพิ่มชื่อในบัญชี “EU Most Wanted” และกระทรวงยุติธรรมสหรัฐฯ (DOJ) ตั้งรางวัลนำจับสูงถึง 10 ล้านดอลลาร์ Tymoshchuk ใช้นามแฝงหลายชื่อ เช่น Deadforz, Boba, Farnetwork และ Volotmsk เพื่อหลบเลี่ยงการติดตาม เขาถูกกล่าวหาว่าเป็นผู้ประสานงานการเจาะระบบของบริษัทกว่า 250 แห่งในสหรัฐฯ และอีกหลายประเทศ โดยใช้มัลแวร์เพื่อเข้ารหัสข้อมูลและเรียกค่าไถ่ พร้อมขู่ว่าจะเปิดเผยข้อมูลหากไม่จ่ายเงิน เครือข่ายของเขาถูกจัดว่าเป็นองค์กรอาชญากรรมไซเบอร์ที่มีโครงสร้างชัดเจน ตั้งแต่ผู้พัฒนามัลแวร์ ผู้เชี่ยวชาญด้านการเจาะระบบ ไปจนถึงผู้ฟอกเงินที่แปลงค่าไถ่ให้ใช้งานได้จริง หลายคนในเครือข่ายนี้ถูกจับในยูเครนแล้ว แต่ Tymoshchuk ยังหลบหนีอยู่ และถูกต้องหาตัวโดยหลายประเทศ รวมถึงฝรั่งเศสที่ตั้งข้อหาคอมพิวเตอร์, การกรรโชก และการร่วมองค์กรอาชญากรรม หนึ่งในเหยื่อที่ได้รับผลกระทบหนักคือบริษัท Norsk Hydro จากนอร์เวย์ ซึ่งถูกโจมตีในปี 2019 และต้องใช้เงินกว่า 70 ล้านดอลลาร์ในการฟื้นฟูระบบ การโจมตีเหล่านี้ไม่เพียงทำให้ระบบล่ม แต่ยังทำให้ธุรกิจต้องหยุดชะงักและสูญเสียความเชื่อมั่นจากลูกค้า Europol และหน่วยงานในหลายประเทศกำลังร่วมมือกันอย่างใกล้ชิดเพื่อจับกุมตัวเขา โดยเปิดช่องทางให้ประชาชนแจ้งเบาะแสผ่านเว็บไซต์ EU Most Wanted และให้การสนับสนุนด้านปฏิบัติการอย่างต่อเนื่อง ✅ ข้อมูลสำคัญจากข่าว ➡️ Volodymyr Tymoshchuk ถูกเพิ่มชื่อในบัญชี EU Most Wanted เมื่อ 9 ก.ย. 2025 ➡️ DOJ สหรัฐฯ ตั้งรางวัลนำจับสูงถึง 10 ล้านดอลลาร์ ➡️ เขาเป็นผู้ดูแลมัลแวร์ LockerGoga, MegaCortex และ Nefilim ➡️ เครือข่ายของเขาสร้างความเสียหายกว่า 18 พันล้านดอลลาร์ทั่วโลก ✅ รูปแบบการโจมตีและผลกระทบ ➡️ ใช้มัลแวร์เข้ารหัสข้อมูลและเรียกค่าไถ่จากบริษัทกว่า 250 แห่ง ➡️ ขู่เปิดเผยข้อมูลหากไม่จ่ายเงิน ➡️ เหยื่อรายใหญ่ เช่น Norsk Hydro สูญเงินกว่า 70 ล้านดอลลาร์ ➡️ เครือข่ายมีผู้พัฒนามัลแวร์, ผู้เจาะระบบ และผู้ฟอกเงิน ✅ ข้อมูลเสริมจากภายนอก ➡️ LockerGoga ถูกใช้โจมตีบริษัทอุตสาหกรรมและโครงสร้างพื้นฐาน ➡️ MegaCortex และ Nefilim เป็นมัลแวร์ที่เน้นการเจาะระบบองค์กรขนาดใหญ่ ➡️ Europol ใช้แพลตฟอร์ม EMPACT เพื่อประสานงานระหว่างประเทศ ➡️ การตั้งรางวัลนำจับระดับนี้สะท้อนความร้ายแรงของคดีในระดับโลก https://hackread.com/lockergoga-ransomware-eu-most-wanted-list-doj-reward/

🎙️ เรื่องเล่าจาก Dark Web: เมื่อการเฝ้าระวังในเงามืดกลายเป็นเกราะป้องกันองค์กรก่อนภัยจะมาถึง หลายองค์กรยังมอง Dark Web ว่าเป็นพื้นที่ของอาชญากรรมไซเบอร์ที่ไม่ควรเข้าไปยุ่ง แต่ในความเป็นจริง มันคือ “เรดาร์ลับ” ที่สามารถแจ้งเตือนภัยล่วงหน้าได้ก่อนที่การโจมตีจะเกิดขึ้นจริง ไม่ว่าจะเป็นการรั่วไหลของ credentials, การขายสิทธิ์เข้าถึงระบบ, หรือการวางแผน ransomware ผู้เชี่ยวชาญจากหลายบริษัท เช่น Nightwing, Picus Security, ISG และ Cyberproof ต่างยืนยันว่า Dark Web คือแหล่งข้อมูลที่มีค่า—ถ้าเรารู้ว่าจะดูอะไร และจะใช้ข้อมูลนั้นอย่างไร เช่น การตรวจพบ stealer logs, การพูดถึงแบรนด์ขององค์กร, หรือการขายสิทธิ์ RDP/VPN โดย initial access brokers (IABs) การเฝ้าระวัง Dark Web ไม่ใช่แค่การ “ดูว่ามีข้อมูลหลุดหรือไม่” แต่ต้องเชื่อมโยงกับระบบภายใน เช่น SIEM, XDR, หรือระบบ identity เพื่อให้สามารถตอบสนองได้ทันทีเมื่อพบ session token หรือ admin credential ที่ถูกขโมย เครื่องมือที่นิยมใช้ ได้แก่ SpyCloud ซึ่งเน้นการตรวจจับ credentials ที่หลุดแบบอัตโนมัติ และ DarkOwl ที่เน้นการวิเคราะห์เชิงกลยุทธ์ โดยมี search engine สำหรับ Dark Web ที่สามารถกรองตามประเภทข้อมูล, เวลา, และแหล่งที่มา นอกจากนี้ ยังมีเทคนิคเชิงรุก เช่น honeypots และ canary tokens ที่ใช้ล่อให้แฮกเกอร์เปิดเผยตัว และการเข้าร่วม ISACs หรือ CERTs เพื่อแลกเปลี่ยนข้อมูลภัยคุกคามในอุตสาหกรรมเดียวกัน ✅ เหตุผลที่ควรเฝ้าระวัง Dark Web ➡️ เป็นระบบแจ้งเตือนภัยล่วงหน้าเมื่อมีข้อมูลหลุดหรือถูกวางเป้าหมาย ➡️ ช่วยให้ทีม security รู้ว่ากลุ่ม ransomware กำลังเล็งอุตสาหกรรมใด ➡️ สามารถใช้ข้อมูลเพื่อปรับ playbook และทำ adversarial simulation ✅ สัญญาณที่ควรจับตา ➡️ stealer logs, brand mentions, การขายสิทธิ์ RDP/VPN โดย IABs ➡️ การพูดถึงซอฟต์แวร์หรือระบบที่องค์กรใช้อยู่ เช่น CRM, SSO, cloud ➡️ การโพสต์รับสมัคร affiliate ที่เจาะจงอุตสาหกรรม เช่น SaaS หรือ healthcare ✅ เครื่องมือและแพลตฟอร์มที่ใช้ ➡️ SpyCloud: ตรวจจับ credentials, cookies, tokens ที่หลุดแบบอัตโนมัติ ➡️ DarkOwl: วิเคราะห์เชิงกลยุทธ์ มี search engine สำหรับ Dark Web ➡️ Flashpoint, Recorded Future: ใช้สำหรับ threat intelligence และการแจ้งเตือน ✅ เทคนิคเสริมเพื่อเพิ่มการตรวจจับ ➡️ honeypots และ canary tokens สำหรับล่อแฮกเกอร์และตรวจจับ insider threat ➡️ การเข้าร่วม ISACs และ CERTs เพื่อแลกเปลี่ยนข้อมูลภัยคุกคาม ➡️ การตั้งค่า monitoring สำหรับ domain, IP, username บน marketplace และ forum ✅ การเชื่อมโยงข้อมูลภายนอกกับระบบภายใน ➡️ cross-reference กับ authentication logs, identity changes, และ anomalous behavior ➡️ ใช้ข้อมูลจาก Dark Web เพื่อ trigger investigation, revoke access, isolate services ➡️ พัฒนา incident response playbook ที่เชื่อมโยงกับ threat intelligence https://www.csoonline.com/article/4046242/a-cisos-guide-to-monitoring-the-dark-web.html

..เขมรสมควรสิ้นชาติจริงๆนะ ใครก็ตามขึ้นมาปกครองภายในเขมรแทนฮุนเซน ก็จะเหมือนเดิม สันดานคนชาตินี้มันนอนลึกแล้ว ฝังลึกจริงๆ,การเกิดใหม่อาจช่วยปลดปล่อยจิตวิญญาณนี้ได้.,คือเต็มที่สุดๆจริงๆ ,มันเป็นภัยอันตรายร้ายแรงต่อชาติประเทศที่อยู่ใกล้ชิดติดกับมัน,ขนาดไม่ใกล้ชิดเดอะแก๊งสแกมเมอร์คอลเซ็นเตอร์ยังสร้างหายนะไปทั่วโลก ปั่นป่วนทุกๆองค์กรทั่วโลก แฮกข้อมูลชาติต่างๆจนตั้งข้อหาอาชญากรรมไซเบอร์ได้อีก,ค้าแรงงาน ทารุนมนุษย์ ค้ามนุษย์ค้าอวัยวะมนุษย์ฮับสาระพัดเลวชั่วอีกแห่งของโลก ประจำเอเชียน ประจำอาเชียนด้วย ,ชาติอาเชียนเราจึงสมควรร่วมกันกำจัดและทำลายประเทศนี้เถอะให้สิ้นชาติไป,ลาวมีทางออกทะเลได้ด้วย เวียดนามมีพื้นที่เพาะปลูกด้านอาหารเพิ่มขึ้น. ..เขมรเปิดก่อน ยิงใส่ไทยก่อนจนมีผู้เสียชีวิตเป็นจำนวนมาก,อยู่เฉยๆดีๆมาทำยิงระเบิดใส่ไทย,มันสมควรมีประเทศแบบนี้ร่วมกันมั้ย,เขมรจึงต้องถูกกำจัดสิ้นประเทศสิ้นชาติทันที,ไม่มีการอภัยใดๆ,เรากำจัดภัยร้ายของชาวโลกด้วยเพราะมันหลอกลวงจากทั่วโลกมาฆ่าค้าอวัยวะมนุษย์ที่เขมรนี้,สร้างรายได้อย่างมหาศาลเป็นอันมาก,ปล่อยเขมรนานเท่าไร อันตรายต่อคนทั้งโลกนานเท่านั้น. https://youtube.com/shorts/RP4mwP2eyiI?si=oshZ5CUelcNAk3Cl

🎙️ เมื่อไนจีเรียลุกขึ้นสู้กับอาชญากรรมไซเบอร์ – และ 50 ชาวจีนต้องกลับบ้าน กลางเดือนสิงหาคม 2025 รัฐบาลไนจีเรียเปิดปฏิบัติการครั้งใหญ่เพื่อปราบปรามเครือข่ายอาชญากรรมไซเบอร์ที่มีชาวต่างชาติเป็นแกนนำ โดยหน่วยงาน Economic and Financial Crimes Commission (EFCC) ร่วมมือกับสำนักงานตรวจคนเข้าเมือง จับกุมผู้ต้องสงสัยกว่า 192 คนในเมืองลากอส ซึ่งเป็นศูนย์กลางเศรษฐกิจของประเทศ ผลจากการสอบสวนและดำเนินคดีนำไปสู่การเนรเทศชาวจีน 50 คน และชาวตูนิเซียอีก 1 คน หลังถูกตัดสินว่ามีความผิดฐาน “cyber-terrorism” และ “internet fraud” โดยศาลมีคำสั่งให้ส่งตัวกลับประเทศหลังจากรับโทษจำคุก EFCC ระบุว่า การกระทำของกลุ่มนี้มีเป้าหมายเพื่อบ่อนทำลายความมั่นคงทางการเงินของไนจีเรีย และสร้างความเสียหายต่อระบบเศรษฐกิจผ่านการหลอกลวงออนไลน์ เช่น romance scam และการลงทุนในคริปโตปลอม การเนรเทศครั้งนี้ถือเป็นส่วนหนึ่งของยุทธศาสตร์ระยะยาวในการปกป้องพลเมืองและระบบการเงินของประเทศ โดย EFCC ยืนยันว่าจะมีการเนรเทศเพิ่มเติมในอีกไม่กี่วันข้างหน้า 📌 สรุปเนื้อหาเป็นหัวข้อ ➡️ ไนจีเรียเนรเทศชาวจีน 50 คน และชาวตูนิเซีย 1 คน ฐาน cyber-terrorism และ internet fraud ➡️ ปฏิบัติการเริ่มเมื่อวันที่ 15 สิงหาคม 2025 โดย EFCC ร่วมกับสำนักงานตรวจคนเข้าเมือง ➡️ มีผู้ต้องสงสัยถูกจับกุมรวม 192 คนในเมืองลากอส ➡️ การดำเนินคดีนำไปสู่คำสั่งศาลให้เนรเทศหลังรับโทษจำคุก ➡️ EFCC ระบุว่ากลุ่มนี้เป็นหนึ่งในเครือข่ายอาชญากรรมไซเบอร์ที่ใหญ่ที่สุดในประเทศ ➡️ การโจมตีรวมถึง romance scam และการหลอกลงทุนในคริปโตปลอม ➡️ มีการเนรเทศรวมแล้ว 102 คนตั้งแต่เริ่มปฏิบัติการ ➡️ EFCC ยืนยันว่าจะมีการเนรเทศเพิ่มเติมในเร็ว ๆ นี้ ➡️ EFCC ประกาศว่านี่คือ “หมุดหมายสำคัญ” ในการต่อสู้กับอาชญากรรมไซเบอร์ ➡️ การเนรเทศมีเป้าหมายเพื่อปกป้องความมั่นคงและความน่าเชื่อถือของระบบการเงินไนจีเรีย ✅ ข้อมูลเสริมจากภายนอก ➡️ ในปี 2024 EFCC เคยจับกุมผู้ต้องสงสัยกว่า 800 คนในอาคารเดียวที่ใช้เป็นศูนย์กลางหลอกลวง ➡️ Romance scam เป็นหนึ่งในรูปแบบที่สร้างความเสียหายสูงสุดในไนจีเรีย ➡️ การหลอกลงทุนในคริปโตปลอมมีเป้าหมายทั้งในประเทศและต่างประเทศ ➡️ EFCC ได้รับการสนับสนุนจากหน่วยงานระหว่างประเทศในการติดตามธุรกรรมข้ามพรมแดน ➡️ การเน้นปราบปรามชาวต่างชาติสะท้อนถึงความพยายามควบคุมอิทธิพลภายนอกในอาชญากรรมไซเบอร์ https://www.thestar.com.my/tech/tech-news/2025/08/21/nigeria-deports-50-chinese-nationals-in-cybercrime-crackdown

🕵️‍♂️ ปฏิบัติการยึดคริปโตจากกลุ่ม Zeppelin: เมื่อความยุติธรรมไล่ทันอาชญากรรมไซเบอร์ กระทรวงยุติธรรมสหรัฐฯ ประกาศยึดเงินคริปโตมูลค่ากว่า $2.8 ล้าน พร้อมเงินสด $70,000 และรถยนต์หรูจาก Ianis Aleksandrovich Antropenko ผู้ต้องสงสัยว่าเป็นหัวหน้ากลุ่มแรนซัมแวร์ Zeppelin ซึ่งเคยโจมตีองค์กรในหลายประเทศตั้งแต่ปี 2019–2022 Zeppelin เป็นแรนซัมแวร์แบบ RaaS (Ransomware-as-a-Service) ที่ใช้วิธี “double extortion” คือเข้ารหัสข้อมูลเหยื่อและขโมยข้อมูลไปด้วย จากนั้นขู่จะเปิดเผยข้อมูลหากไม่จ่ายค่าไถ่ โดยกลุ่มนี้เคยโจมตีองค์กรด้านสุขภาพ, เทคโนโลยี, การเงิน และแม้แต่ศูนย์พักพิงคนไร้บ้าน Antropenko และพวกใช้บริการ ChipMixer ซึ่งเป็นแพลตฟอร์ม “ล้างรอย” เงินคริปโต เพื่อซ่อนที่มาของเงินค่าไถ่ และยังใช้วิธีแลกคริปโตเป็นเงินสดแล้วฝากแบบแบ่งยอดเพื่อหลบเลี่ยงการตรวจสอบจากธนาคาร แม้ Zeppelin จะถูกระบุว่า “ล้มหาย” ไปในปี 2022 หลังนักวิจัยจาก Unit221b สร้างเครื่องมือถอดรหัสฟรีให้เหยื่อ แต่ในปี 2024 มีรายงานว่าโค้ดของ Zeppelin ถูกขายในฟอรั่มแฮกเกอร์รัสเซียในราคาเพียง $500 ซึ่งอาจนำไปสู่การฟื้นคืนชีพของมัลแวร์นี้ในอนาคต ✅ ข้อมูลจากข่าวหลัก ➡️ DoJ ยึดคริปโตมูลค่า $2.8 ล้าน, เงินสด $70,000 และรถหรูจากผู้ต้องสงสัย Antropenko ➡️ Antropenko ถูกตั้งข้อหาฉ้อโกงคอมพิวเตอร์และฟอกเงินในศาลรัฐเท็กซัส ➡️ Zeppelin เป็นแรนซัมแวร์แบบ RaaS ที่ใช้วิธี double extortion ➡️ เหยื่อถูกเข้ารหัสข้อมูลและขู่เปิดเผยข้อมูลหากไม่จ่ายค่าไถ่ ➡️ กลุ่มนี้เคยโจมตีองค์กรในสหรัฐฯ และต่างประเทศ รวมถึง NGO และศูนย์พักพิง ➡️ ใช้ ChipMixer และการฝากเงินแบบแบ่งยอดเพื่อฟอกเงิน ➡️ DoJ ออกหมายจับ 6 ฉบับในรัฐเท็กซัส, เวอร์จิเนีย และแคลิฟอร์เนีย ➡️ Zeppelin ถูกระบุว่าเลิกใช้งานในปี 2022 หลังนักวิจัยสร้างเครื่องมือถอดรหัสฟรี ➡️ การยึดทรัพย์ครั้งนี้เป็นส่วนหนึ่งของแคมเปญปราบปรามแรนซัมแวร์ของ DoJ ✅ ข้อมูลเสริมจากภายนอก ➡️ Zeppelin พัฒนาจาก VegaLocker และ Buran ซึ่งเป็นมัลแวร์สาย Delphi ➡️ FBI เคยเตือนว่า Zeppelin ใช้ช่องโหว่ RDP และ SonicWall ในการเข้าถึงระบบ ➡️ Unit221b หยุดให้บริการถอดรหัส Zeppelin แล้วในปี 2024 ➡️ มีรายงานว่า Zeppelin2 ถูกขายในฟอรั่มแฮกเกอร์รัสเซียในราคา $500 ➡️ DoJ เคยยึดคริปโตจากกลุ่ม Chaos และ BlackSuit รวมกว่า $3.4 ล้าน ➡️ ตั้งแต่ปี 2020 DoJ ยึดทรัพย์จากอาชญากรรมไซเบอร์รวมกว่า $350 ล้าน https://www.techradar.com/pro/security/millions-of-dollars-in-cryptocurrency-has-been-confiscated-as-the-doj-cracks-down-on-an-infamous-ransomware-operator

🧠 เมื่อผู้พิทักษ์ไซเบอร์กลายเป็นผู้ต้องหา: คดีที่สะเทือนความเชื่อมั่นระดับโลก Tom Artiom Alexandrovich วัย 38 ปี ซึ่งเคยดำรงตำแหน่งผู้อำนวยการฝ่ายเทคโนโลยีของ Israel Cyber Directorate ถูกจับในลาสเวกัสระหว่างการประชุม Black Hat 2025 ซึ่งเป็นงานใหญ่ด้านความปลอดภัยไซเบอร์ระดับโลก เขาเป็นหนึ่งใน 8 ผู้ต้องหาที่ถูกจับจากปฏิบัติการลับร่วมกันระหว่าง FBI, ICAC และตำรวจท้องถิ่น โดยทั้งหมดถูกตั้งข้อหา “ล่อลวงเด็กผ่านคอมพิวเตอร์เพื่อการล่วงละเมิดทางเพศ” ซึ่งตามกฎหมายรัฐเนวาดา มีโทษจำคุก 1–10 ปี แม้ตำรวจลาสเวกัสจะยืนยันการจับกุมและการฝากขัง แต่รัฐบาลอิสราเอลกลับแถลงว่า Alexandrovich “ไม่ได้ถูกจับกุม แต่ถูกสอบสวน” และเดินทางกลับประเทศตามกำหนด โดยถูกสั่งพักงานเพื่อรอผลสอบสวน เขาเคยมีบทบาทสำคัญในการพัฒนา “Cyber Dome” ระบบป้องกันภัยไซเบอร์ระดับชาติของอิสราเอล และเคยได้รับรางวัล Israel Defense Prize จากผลงานด้านความมั่นคงไซเบอร์ เหตุการณ์นี้จึงไม่ใช่แค่คดีอาชญากรรมธรรมดา แต่สะท้อนถึงความเปราะบางของระบบที่ควรปกป้องผู้คนจากภัยออนไลน์ และยังตอกย้ำความจำเป็นของความร่วมมือระหว่างประเทศในการจัดการอาชญากรรมไซเบอร์ที่ข้ามพรมแดน ✅ ข้อมูลการจับกุม ➡️ Tom Artiom Alexandrovich ถูกจับในลาสเวกัสระหว่างร่วมงาน Black Hat 2025 ➡️ เป็นหนึ่งใน 8 ผู้ต้องหาที่ถูกจับจากปฏิบัติการลับของ FBI และ ICAC ➡️ ถูกตั้งข้อหาล่อลวงเด็กผ่านคอมพิวเตอร์เพื่อการล่วงละเมิดทางเพศ ✅ ความขัดแย้งระหว่างประเทศ ➡️ ตำรวจสหรัฐฯ ยืนยันการจับกุมและฝากขัง ➡️ รัฐบาลอิสราเอลแถลงว่าเป็นเพียงการสอบสวน ไม่ใช่การจับกุม ➡️ Alexandrovich ถูกสั่งพักงานและกลับประเทศตามกำหนด ✅ ประวัติและบทบาทของผู้ต้องหา ➡️ เคยดำรงตำแหน่งผู้อำนวยการฝ่ายเทคโนโลยีของ Israel Cyber Directorate ➡️ มีบทบาทสำคัญในการพัฒนา Cyber Dome และระบบป้องกันโครงสร้างพื้นฐาน ➡️ เคยได้รับรางวัล Israel Defense Prize จากผลงานด้านความมั่นคงไซเบอร์ ✅ ความร่วมมือระหว่างประเทศ ➡️ ปฏิบัติการลับครั้งนี้เป็นความร่วมมือระหว่าง FBI, ICAC และหน่วยงานท้องถิ่น ➡️ แสดงให้เห็นถึงความจำเป็นของการทำงานร่วมกันเพื่อจัดการภัยออนไลน์ ➡️ เป็นตัวอย่างของการบังคับใช้กฎหมายข้ามพรมแดนในยุคดิจิทัล ⛔ การล่อลวงเด็กทางออนไลน์ยังคงเป็นภัยที่เติบโตอย่างต่อเนื่อง ⛔ ความขัดแย้งระหว่างข้อมูลจากต่างประเทศอาจทำให้คดีไม่โปร่งใส ⛔ การขาดนโยบายตรวจสอบบุคลากรในหน่วยงานความมั่นคงอาจนำไปสู่ความเสี่ยงระดับชาติ https://hackread.com/israeli-cybersecurity-director-arrest-us-child-exploit-sting/

🧠 ปฏิบัติการล่าข้ามแดน: เมื่อตำรวจไทยตามรอยแก๊ง SMS หลอกลวงและฟอกเงินด้วยคริปโต ในเดือนสิงหาคม 2025 ตำรวจไทยได้เปิดเผยสองปฏิบัติการใหญ่ที่สะเทือนวงการอาชญากรรมไซเบอร์ ทั้งในระดับท้องถิ่นและระดับนานาชาติ เรื่องแรกคือการจับกุมชายไทยสองคนในกรุงเทพฯ ที่ใช้เครื่อง SMS Blaster ส่งข้อความหลอกลวงวันละกว่า 20,000 ข้อความ โดยขับรถไปรอบเมืองพร้อมอุปกรณ์ที่สามารถยิงข้อความในรัศมี 1–2 กิโลเมตร ข้อความมักเป็นแนว “แต้มสะสมใกล้หมด” หรือ “คุณได้รับรางวัล” พร้อมลิงก์ปลอมที่หลอกให้กรอกข้อมูลธนาคาร เบื้องหลังคือหัวหน้าแก๊งชาวจีนที่สั่งการผ่าน Telegram โดยจ้างคนไทยขับรถและยิงข้อความในพื้นที่เป้าหมาย ซึ่งเป็นรูปแบบ “Smishing” ที่ผสมผสานเทคโนโลยีและการหลอกลวงแบบคลาสสิก อีกด้านหนึ่งคือ “Operation Skyfall” ที่ตำรวจไทยร่วมมือกับ Binance และหน่วยงานต่างประเทศเพื่อสืบสวนเครือข่ายฟอกเงินข้ามแดนที่ใช้แอปปลอมชื่อ “Ulela Max” หลอกให้เหยื่อลงทุนในหุ้นปลอม ก่อนนำเงินไปแปลงเป็น USDT แล้วส่งผ่านบัญชีในกัมพูชาและเมียนมาไปยังหัวหน้าแก๊งชาวจีน เครือข่ายนี้สามารถฟอกเงินได้มากกว่า 1 พันล้านบาทต่อเดือน โดยใช้บัญชีม้าและช่องทางดิจิทัลที่ซับซ้อน ตำรวจออกหมายจับ 28 คน และยึดเงินสดได้กว่า 46 ล้านบาทจากผู้ต้องสงสัยชาวเมียนมาในจังหวัดแม่สอด ✅ ลักษณะของอุปกรณ์ SMS Blaster ➡️ ส่งข้อความในรัศมี 1–3 กิโลเมตร ➡️ ใช้เทคโนโลยี False Base Station เลียนแบบเสาสัญญาณมือถือ ➡️ สามารถยิงข้อความได้ถึง 100,000 ข้อความต่อชั่วโมง ✅ ปฏิบัติการ Operation Skyfall ➡️ เครือข่ายฟอกเงินข้ามแดนผ่านแอปปลอม “Ulela Max” ➡️ เหยื่อถูกหลอกให้ลงทุนในหุ้นปลอมผ่านกลุ่ม Line และ Facebook ➡️ เงินถูกแปลงเป็น USDT แล้วส่งผ่านบัญชีในกัมพูชาและเมียนมา ✅ ความร่วมมือระหว่างหน่วยงาน ➡️ ตำรวจไทยร่วมมือกับ Binance และ Bitkub ในการติดตามธุรกรรมคริปโต ➡️ ยึดเงินสดกว่า 46 ล้านบาทจากผู้ต้องสงสัยในแม่สอด ➡️ ออกหมายจับ 28 คน รวมถึงผู้ต้องสงสัยต่างชาติและบัญชีม้า https://hackread.com/police-bust-crypto-scam-smishing-sms-blaster-operator/

💵🔗 GENIUS Act: เมื่อ Stablecoin กลายเป็นเรื่องจริงจัง และธนาคารก็อยากออกเหรียญเอง หลังจากหลายปีที่สหรัฐฯ ลังเลกับคริปโต ในเดือนกรกฎาคม 2025 ประธานาธิบดี Donald Trump ได้ลงนามในกฎหมาย GENIUS Act ซึ่งเป็นกฎหมายฉบับแรกที่กำหนดกรอบการกำกับดูแล Stablecoin อย่างเป็นทางการในระดับประเทศ Stablecoin คือเหรียญดิจิทัลที่มีมูลค่าผูกกับเงินดอลลาร์แบบ 1:1 และถูกใช้เพื่อการชำระเงินที่รวดเร็วและค่าธรรมเนียมต่ำ โดยเฉพาะในการโอนเงินข้ามประเทศ ซึ่งเดิมทีถูกมองว่าเป็นพื้นที่เสี่ยงต่อการฟอกเงินและอาชญากรรมไซเบอร์ แต่ GENIUS Act ได้เปลี่ยนภาพนั้น โดยเปิดทางให้ธนาคารและบริษัทเอกชนสามารถออก Stablecoin ได้อย่างถูกกฎหมาย หากผ่านการตรวจสอบด้าน KYC และ AML อย่างเข้มงวด ธนาคารใหญ่ เช่น Bank of America และ Citigroup เริ่มเตรียมออกเหรียญของตัวเอง ขณะที่บริษัทเทคโนโลยี เช่น Walmart, Amazon และ Stripe ก็กำลังพิจารณาใช้ Stablecoin เพื่อการชำระเงินและการจัดการภายในองค์กร แม้จะมีกรอบกฎหมายแล้ว แต่การอนุมัติยังต้องใช้เวลา และบริษัทต้องพิสูจน์ว่าเหรียญของตนมีวัตถุประสงค์ชัดเจน เช่น ใช้เพื่อดึงดูดลูกค้า หรือใช้ภายในระบบการเงินขององค์กร ✅ GENIUS Act เป็นกฎหมายฉบับแรกของสหรัฐฯ ที่กำกับดูแล Stablecoin ➡️ ลงนามโดยประธานาธิบดี Trump เมื่อวันที่ 18 กรกฎาคม 2025 ✅ ธนาคารและบริษัทเอกชนสามารถออก Stablecoin ได้ หากผ่านการตรวจสอบ KYC และ AML ➡️ ธนาคารมีข้อได้เปรียบเพราะมีระบบเหล่านี้อยู่แล้ว ✅ บริษัทเทคโนโลยี เช่น Walmart และ Amazon กำลังพิจารณาออกเหรียญของตัวเอง ➡️ เพื่อใช้ในการชำระเงินหรือจัดการภายในองค์กร ✅ Stablecoin ต้องระบุวัตถุประสงค์การใช้งานอย่างชัดเจน ➡️ เช่น ใช้เพื่อดึงดูดลูกค้า หรือเพื่อการชำระเงินแบบรวดเร็ว ✅ GENIUS Act ระบุว่า Stablecoin ที่ออกบนบล็อกเชนแบบเปิดไม่สามารถถูกปฏิเสธโดยอัตโนมัติ ➡️ เป็นการสนับสนุนการใช้ Ethereum และเครือข่าย permissionless ✅ ธนาคารต้องปรับการคำนวณสภาพคล่อง หากถือ Stablecoin บนงบดุล ➡️ เพราะแม้จะผูกกับดอลลาร์ แต่ยังมีความเสี่ยงจากการล่มของเหรียญ https://www.tomshardware.com/tech-industry/cryptocurrency/stablecoins-gain-critical-mass-after-genius-act-cements-rules-banks-and-companies-rush-to-register-new-coins

🕵️‍♂️💰 เรื่องเล่าจากโลกไซเบอร์: ScarCruft จากสายลับสู่โจรเรียกค่าไถ่ ScarCruft กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ เคยเป็นที่รู้จักในฐานะสายลับไซเบอร์ที่เน้นการขโมยข้อมูลจากหน่วยงานรัฐบาลและบุคคลสำคัญในเกาหลีใต้ ญี่ปุ่น และรัสเซีย แต่ในเดือนกรกฎาคม 2025 พวกเขาเปลี่ยนแนวทางครั้งใหญ่ โดยหันมาใช้มัลแวร์เรียกค่าไถ่ (ransomware) ชื่อว่า VCD เพื่อโจมตีแบบหวังผลทางการเงิน การโจมตีครั้งนี้ดำเนินการโดยกลุ่มย่อยชื่อ ChinopuNK ผ่านอีเมลฟิชชิ่งที่แนบไฟล์ปลอมซึ่งแอบอ้างว่าเป็นการอัปเดตรหัสไปรษณีย์ เมื่อเหยื่อเปิดไฟล์จะถูกติดตั้งมัลแวร์มากกว่า 9 ชนิด รวมถึง ChillyChino รุ่นใหม่, LightPeek, FadeStealer และ NubSpy ซึ่งเป็น backdoor ที่เขียนด้วยภาษา Rust และใช้บริการ PubNub เพื่อซ่อนการสื่อสารให้ดูเหมือนทราฟฟิกปกติ ที่น่าตกใจคือ VCD ransomware ไม่เพียงเข้ารหัสไฟล์ของเหยื่อ แต่ยังแสดงข้อความเรียกค่าไถ่ทั้งภาษาอังกฤษและเกาหลี สะท้อนว่าพวกเขาเตรียมพร้อมโจมตีทั้งในประเทศและต่างประเทศ นักวิเคราะห์จาก DeepTempo เตือนว่า การใช้ ransomware อาจไม่ใช่แค่การหาเงิน แต่เป็นการเบี่ยงเบนความสนใจจากการขโมยข้อมูล หรือใช้กดดันทางการเมือง ซึ่งเป็นแนวโน้มใหม่ของกลุ่ม APT ที่ผสมผสานการจารกรรมกับอาชญากรรมไซเบอร์ ✅ ScarCruft เปลี่ยนจากการจารกรรมมาใช้ ransomware ชื่อ VCD ➡️ เป็นการโจมตีแบบหวังผลทางการเงินครั้งแรกของกลุ่ม ✅ การโจมตีดำเนินการโดยกลุ่มย่อย ChinopuNK ➡️ ใช้อีเมลฟิชชิ่งปลอมเป็นไฟล์อัปเดตรหัสไปรษณีย์ ✅ มัลแวร์ที่ใช้มีมากกว่า 9 ชนิด รวมถึง ChillyChino รุ่นใหม่ ➡️ และ backdoor NubSpy ที่เขียนด้วยภาษา Rust ✅ NubSpy ใช้ PubNub เพื่อซ่อนการสื่อสารให้ดูเหมือนปกติ ➡️ ทำให้ตรวจจับได้ยาก ✅ VCD ransomware เข้ารหัสไฟล์และแสดงข้อความเรียกค่าไถ่ ➡️ มีทั้งภาษาอังกฤษและเกาหลี ✅ นักวิเคราะห์ชี้ว่า ransomware อาจใช้เป็นเครื่องมือเบี่ยงเบนหรือกดดัน ➡️ ไม่ใช่แค่การหาเงิน แต่เป็นยุทธศาสตร์หลายชั้น https://hackread.com/north-korean-group-scarcruft-spying-ransomware-attacks/

🕵️‍♂️💰 เรื่องเล่าจากโลกไซเบอร์: GreedyBear กับแผนโจรกรรมคริปโตระดับอุตสาหกรรม ในโลกที่คริปโตกลายเป็นสินทรัพย์ยอดนิยม กลุ่มอาชญากรไซเบอร์ก็ไม่พลาดที่จะตามกระแส ล่าสุดมีการเปิดโปงแคมเปญชื่อว่า “GreedyBear” ซึ่งขโมยเงินคริปโตไปแล้วกว่า 1 ล้านดอลลาร์ โดยใช้วิธีโจมตีแบบสามชั้นที่ซับซ้อนและอันตราย กลุ่มนี้เริ่มจากการสร้างส่วนขยายปลอมใน Firefox Marketplace มากกว่า 150 รายการ โดยปลอมเป็นกระเป๋าคริปโตยอดนิยม เช่น MetaMask, TronLink, Exodus และ Rabby Wallet พวกเขาใช้เทคนิค “Extension Hollowing” คืออัปโหลดส่วนขยายที่ดูปลอดภัยก่อน แล้วค่อยเปลี่ยนชื่อ ไอคอน และฝังโค้ดอันตรายเข้าไปภายหลัง โดยยังคงรีวิวดี ๆ ไว้เหมือนเดิม นอกจากนั้น GreedyBear ยังปล่อยมัลแวร์กว่า 500 ตัวผ่านเว็บไซต์แจกโปรแกรมเถื่อน โดยมีทั้ง credential stealers และ ransomware ที่ล็อกไฟล์และเรียกค่าไถ่เป็นคริปโต และสุดท้ายคือการสร้างเว็บไซต์ปลอมที่ดูเหมือนบริการกระเป๋าคริปโตหรือเครื่องมือซ่อมกระเป๋า เพื่อหลอกให้ผู้ใช้กรอกข้อมูลสำคัญ ทั้งหมดนี้ถูกควบคุมผ่านเซิร์ฟเวอร์เดียว (IP: 185.208.156.66) ซึ่งทำให้การจัดการแคมเปญเป็นไปอย่างมีประสิทธิภาพ และยังมีหลักฐานว่าใช้โค้ดที่สร้างด้วย AI เพื่อเร่งการโจมตีและปรับเปลี่ยนรูปแบบได้อย่างรวดเร็ว ✅ GreedyBear เป็นแคมเปญอาชญากรรมไซเบอร์ที่ขโมยคริปโตไปแล้วกว่า $1 ล้าน ➡️ ใช้วิธีโจมตีหลายรูปแบบพร้อมกัน ✅ มีส่วนขยายปลอมใน Firefox Marketplace มากกว่า 150 รายการ ➡️ ปลอมเป็นกระเป๋าคริปโตยอดนิยม เช่น MetaMask, TronLink, Exodus ✅ ใช้เทคนิค Extension Hollowing เพื่อหลบการตรวจสอบ ➡️ อัปโหลดส่วนขยายปลอดภัยก่อน แล้วค่อยเปลี่ยนเป็นอันตราย ✅ ปล่อยมัลแวร์กว่า 500 ตัวผ่านเว็บไซต์แจกโปรแกรมเถื่อน ➡️ มีทั้ง LummaStealer และ Luca Stealer ที่เน้นขโมยข้อมูลคริปโต ✅ สร้างเว็บไซต์ปลอมที่ดูเหมือนบริการกระเป๋าคริปโตหรือซ่อมกระเป๋า ➡️ หลอกให้ผู้ใช้กรอก seed phrase และ private key ✅ ทุกการโจมตีเชื่อมโยงกับเซิร์ฟเวอร์เดียว (185.208.156.66) ➡️ ใช้เป็นศูนย์กลางควบคุมและเก็บข้อมูล ✅ มีการใช้โค้ดที่สร้างด้วย AI เพื่อเร่งการโจมตี ➡️ ทำให้ปรับเปลี่ยนรูปแบบได้รวดเร็วและหลบหลีกการป้องกัน ✅ Extension Hollowing เป็นเทคนิคที่เริ่มใช้ในมัลแวร์ระดับองค์กร ➡️ เคยพบในแคมเปญโจมตีของกลุ่ม APT เช่น Lazarus ✅ Mozilla มีระบบตรวจสอบส่วนขยาย แต่ยังไม่สามารถกันการเปลี่ยนแปลงภายหลังได้ ➡️ ผู้ใช้ต้องตรวจสอบผู้พัฒนาและรีวิวอย่างละเอียด ✅ การใช้ AI ในการสร้างมัลแวร์เริ่มแพร่หลายมากขึ้น ➡️ ทำให้การตรวจจับด้วย signature-based antivirus ไม่เพียงพอ ✅ การโจมตีแบบหลายชั้น (multi-vector attack) เป็นแนวโน้มใหม่ของอาชญากรรมไซเบอร์ ➡️ เน้นการหลอกลวงจากหลายช่องทางพร้อมกันเพื่อเพิ่มโอกาสสำเร็จ https://hackread.com/greedybear-fake-crypto-wallet-extensions-firefox-marketplace/

ปฏิบัติการเชือดเครือข่ายฟอกเงินข้ามชาติ ตำรวจสอบสวนกลางบุกจับ 3 ผู้ต้องหาชาวเมียนมา พัวพันขบวนการหลอกลงทุนเทรดหุ้นผ่านเพจและแอปปลอม ลากเส้นทางเงินดิจิทัลโยง Huione Pay กัมพูชา ก่อนเปลี่ยนเป็นเงินสดขนข้ามแม่สอดสู่เมียวดี รวมมูลค่ากว่า 46 ล้านบาท จุดไฟร้อนในสงครามอาชญากรรมไซเบอร์ภูมิภาค อ่านต่อ..https://news1live.com/detail/9680000075439 #News1live #News1 #SondhiX #Sondhitalk #คุยทุกเรื่องกับสนธิ #สนธิเล่าเรื่อง #Thaitimes #กัมพูชายิงก่อน #ไทยนี้รักสงบแต่ถึงรบไม่ขลาด #CambodiaOpenedFire

พรุ่งนี้ 5 สิงหาคม วันบิดาคอลเซ็นเตอร์โลก ผู้ให้กำเนิดศูนย์กลางอาชญากรรมไซเบอร์ เชิญอวยกันตามอัธยาศัย ค.มั๊ย ไอ่ฮวยเซ็ง #7ดอกจิก

🎙️ เรื่องเล่าจากฟอรั่มใต้ดิน: เมื่อ XSS.IS ถูกปิดตายหลังผู้ดูแลถูกจับในยูเครน XSS.IS เป็นฟอรั่มอาชญากรรมไซเบอร์ที่มีสมาชิกกว่า 50,000 คน เปิดตัวครั้งแรกในปี 2004 ภายใต้ชื่อ DaMaGeLaB ก่อนจะเปลี่ยนชื่อเป็น XSS ในปี 2018 เพื่อสร้างภาพลักษณ์ใหม่ที่เน้นด้านเทคนิค โดยอ้างอิงจากช่องโหว่ “cross-site scripting” ฟอรั่มนี้เป็นแหล่งซื้อขาย: - ข้อมูลบัญชีที่ถูกขโมย - ระบบที่ถูกแฮก - ชุด ransomware - ฐานข้อมูล - ช่องทางสื่อสารแบบเข้ารหัสผ่าน Jabber ผู้ใช้ต้องผ่านการตรวจสอบอย่างเข้มงวด และบางรายต้องจ่ายเงินเพื่อสมัครสมาชิก เพื่อป้องกันสแปมและการแฝงตัวของเจ้าหน้าที่รัฐ เมื่อวันที่ 22 กรกฎาคม 2025 ทางการยูเครนจับกุมผู้ต้องสงสัยว่าเป็นผู้ดูแลระบบ โดยได้รับความร่วมมือจาก Europol และตำรวจฝรั่งเศส (BL2C) จากนั้นเว็บไซต์หลักของ XSS.IS ถูกเปลี่ยนเป็นหน้าประกาศยึดระบบ ส่วนโดเมน dark web (.onion) และ mirror domain (XSS.AS) กลับขึ้นข้อความ “504 Gateway Timeout” ยังไม่มีข้อมูลแน่ชัดว่าผู้ต้องสงสัยเป็นพลเมืองยูเครนหรือรัสเซีย และยังไม่ทราบว่าหน่วยงานรัฐสามารถเข้าถึง Telegram ของผู้ดูแลได้หรือไม่ ✅ ผู้ดูแลระบบของ XSS.IS ถูกจับกุมในยูเครนเมื่อวันที่ 22 กรกฎาคม 2025 ➡️ ปฏิบัติการร่วมระหว่าง SBU ยูเครน, Europol และตำรวจฝรั่งเศส BL2C ✅ เว็บไซต์หลักของ XSS.IS ถูกเปลี่ยนเป็นหน้าประกาศยึดระบบ ➡️ ส่วนโดเมน dark web และ mirror domain แสดงข้อความ “504 Gateway Timeout” ✅ XSS.IS เป็นฟอรั่มอาชญากรรมไซเบอร์ที่มีสมาชิกกว่า 50,000 คน ➡️ ต้องผ่านการตรวจสอบและบางรายต้องจ่ายเงินเพื่อสมัครสมาชิก ✅ ฟอรั่มนี้เป็นแหล่งซื้อขายข้อมูลที่ถูกขโมย, ransomware, และช่องทางสื่อสารแบบเข้ารหัส ➡️ สร้างรายได้หลายล้านดอลลาร์จากค่าธรรมเนียมและโฆษณา ✅ เดิมชื่อ DaMaGeLaB ก่อนเปลี่ยนเป็น XSS ในปี 2018 เพื่อสร้างภาพลักษณ์ใหม่ ➡️ ชื่อใหม่อ้างอิงจากช่องโหว่ cross-site scripting ที่คุ้นเคยในวงการแฮกเกอร์ ✅ Europol ระบุว่าข้อมูลผู้ใช้ถูกยึดและกำลังถูกวิเคราะห์เพื่อใช้ในการสืบสวนต่อ ➡️ เพื่อขยายผลการจับกุมและติดตามเครือข่ายอาชญากรรมไซเบอร์ทั่วโลก https://hackread.com/xss-is-cybercrime-forum-seized-ukraine-arrested-admin/

🎙️ เรื่องเล่าจากช่องโหว่ที่ไม่มีใครรู้: เมื่อ SharePoint กลายเป็นประตูหลังของการจารกรรมไซเบอร์ Microsoft ระบุว่า: - ช่องโหว่นี้เกิดใน SharePoint เวอร์ชัน on-premises (ที่องค์กรติดตั้งเอง) ไม่ใช่เวอร์ชัน cloud - กลุ่มแฮกเกอร์จีนที่ถูกกล่าวหาคือ Linen Typhoon, Violent Typhoon และ Storm-2603 - ช่องโหว่ถูกใช้ตั้งแต่วันที่ 7 กรกฎาคม 2025 ก่อนที่ Microsoft จะเปิดเผยต่อสาธารณะ - แฮกเกอร์สามารถ bypass authentication และปลอมตัวเป็นผู้ใช้ที่ได้รับสิทธิ์ Google CTO ก็ออกมายืนยันว่าอย่างน้อยหนึ่งกลุ่มมีความเชื่อมโยงกับจีน และ Microsoft ประเมินว่า “กลุ่มอื่น ๆ จะเร่งนำช่องโหว่นี้ไปใช้ต่อ” แม้สถานทูตจีนจะออกแถลงการณ์ปฏิเสธข้อกล่าวหาอย่างหนักแน่นว่า “ไม่มีหลักฐาน” และ “จีนต่อต้านอาชญากรรมไซเบอร์ทุกรูปแบบ” แต่ Microsoft ยังคงเดินหน้าปล่อยแพตช์ฉุกเฉินเพื่ออุดช่องโหว่ และเตือนผู้ใช้ให้ตรวจสอบระบบอย่างเร่งด่วน ✅ Microsoft พบช่องโหว่ zero-day ใน SharePoint เวอร์ชัน on-premises ที่ถูกใช้โจมตีองค์กรทั่วโลก ➡️ กลุ่มแฮกเกอร์สามารถปลอมตัวเป็นผู้ใช้ที่ได้รับสิทธิ์โดยไม่ต้องยืนยันตัวตน ✅ กลุ่มที่ถูกกล่าวหาคือ Linen Typhoon, Violent Typhoon และ Storm-2603 ➡️ มีประวัติเกี่ยวข้องกับ ransomware และการจารกรรมไซเบอร์ ✅ ช่องโหว่ถูกใช้ตั้งแต่วันที่ 7 กรกฎาคม ก่อนที่ Microsoft จะเปิดเผยต่อสาธารณะ ➡️ แสดงถึงการโจมตีแบบ targeted และมีการเตรียมการล่วงหน้า ✅ SharePoint เวอร์ชัน cloud-hosted ไม่ได้รับผลกระทบจากช่องโหว่นี้ ➡️ ปัญหาเกิดเฉพาะในระบบที่องค์กรติดตั้งและดูแลเอง ✅ Microsoft ปล่อยแพตช์ฉุกเฉินและเตือนผู้ใช้ให้ตรวจสอบระบบทันที ➡️ พร้อมประเมินว่ากลุ่มแฮกเกอร์อื่นจะนำช่องโหว่นี้ไปใช้ต่อ ✅ Google CTO ยืนยันว่ามีความเชื่อมโยงกับจีนในอย่างน้อยหนึ่งกลุ่ม ➡️ เพิ่มน้ำหนักให้กับข้อกล่าวหาของ Microsoft https://wccftech.com/microsoft-accuses-chinese-hackers-of-exploiting-critical-sharepoint-zero-day-vulnerability-in-massive-global-cyberattack-targeting-government-agencies-businesses-and-sensitive-infrastructure/

🎙️ เรื่องเล่าจากโลกไซเบอร์: เมื่ออดีตทหารแฮก AT&T ขู่รัฐบาลด้วยข้อมูลโทรศัพท์ Cameron John Wagenius ใช้นามแฝง “kiberphant0m” และ “cyb3rph4nt0m” ในการเจาะระบบคลาวด์ของ AT&T และ Verizon ระหว่างเดือนเมษายน 2023 ถึงธันวาคม 2024 โดยบางส่วนของการโจมตียังเกิดขึ้นขณะเขายังรับราชการในกองทัพสหรัฐฯ เขาเข้าถึงข้อมูลการโทรและข้อความของผู้ใช้นับล้านคน รวมถึงข้อมูลของเจ้าหน้าที่ระดับสูง เช่น ประธานาธิบดี Donald Trump ซึ่งเขาเคยโอ้อวดบนโลกออนไลน์จนถูกจับใกล้ฐานทัพในรัฐเท็กซัสเมื่อปลายปี 2024 Wagenius ยอมรับสารภาพในข้อหาหลายกระทง ได้แก่: - การฉ้อโกงผ่านระบบสื่อสาร (wire fraud) - การขู่กรรโชก (extortion) - การขโมยข้อมูลส่วนบุคคล (identity theft) - การโอนข้อมูลโทรศัพท์อย่างผิดกฎหมาย เขาอาจต้องรับโทษจำคุกสูงสุดถึง 27 ปี โดยจะเริ่มพิจารณาโทษในวันที่ 6 ตุลาคม 2025 ข้อมูลที่ถูกขโมยมาจากระบบคลาวด์ของ Snowflake ซึ่งเป็นแพลตฟอร์มที่ AT&T ใช้จัดเก็บข้อมูล โดยบริษัทออกมายืนยันว่าข้อมูลของลูกค้าเกือบทั้งหมดได้รับผลกระทบ ✅ Cameron John Wagenius แฮกระบบคลาวด์ของ AT&T และ Verizon ➡️ ใช้นามแฝง “kiberphant0m” และ “cyb3rph4nt0m” ระหว่างปี 2023–2024 ✅ ขโมยข้อมูลการโทรและข้อความของผู้ใช้นับล้าน ➡️ รวมถึงข้อมูลของเจ้าหน้าที่ระดับสูง เช่น ประธานาธิบดี Trump ✅ ถูกจับใกล้ฐานทัพในรัฐเท็กซัสหลังโอ้อวดบนโลกออนไลน์ ➡️ นำไปสู่การสอบสวนและจับกุมโดยหน่วยงานกลาง ✅ ยอมรับสารภาพในข้อหาฉ้อโกง ขู่กรรโชก และขโมยข้อมูล ➡️ อาจต้องรับโทษจำคุกสูงสุด 27 ปี เริ่มพิจารณาโทษ 6 ตุลาคม 2025 ✅ ข้อมูลถูกขโมยจากระบบคลาวด์ Snowflake ที่ AT&T ใช้งาน ➡️ บริษัทยืนยันว่าข้อมูลลูกค้าเกือบทั้งหมดได้รับผลกระทบ ✅ เจ้าหน้าที่ความปลอดภัยยกให้เป็น “ชัยชนะครั้งใหญ่” ในการต่อสู้กับอาชญากรรมไซเบอร์ ➡️ เป็นหนึ่งในการจับกุมที่เร็วที่สุดในระดับรัฐบาลกลาง ‼️ การใช้ระบบคลาวด์โดยไม่มีการป้องกันที่เพียงพอเสี่ยงต่อการถูกเจาะ ⛔ โดยเฉพาะเมื่อจัดเก็บข้อมูลสำคัญของผู้ใช้งานจำนวนมาก ‼️ การโอ้อวดหรือเปิดเผยข้อมูลที่แฮกได้บนโลกออนไลน์อาจนำไปสู่การจับกุม ⛔ แต่ก็แสดงถึงความประมาทของผู้ก่อเหตุที่อาจทำให้การสืบสวนง่ายขึ้น ‼️ การขู่กรรโชกเจ้าหน้าที่ระดับสูงเป็นภัยต่อความมั่นคงของประเทศ ⛔ อาจนำไปสู่การเพิ่มมาตรการควบคุมข้อมูลในระดับรัฐบาล ‼️ ผู้ใช้บริการโทรคมนาคมอาจสูญเสียความเชื่อมั่นในผู้ให้บริการ ⛔ โดยเฉพาะเมื่อข้อมูลส่วนตัวถูกละเมิดในระดับใหญ่ https://wccftech.com/ex-army-soldier-pleads-guilty-to-att-cloud-hack-massive-call-data-breach-and-500k-extortion-threat-targeting-high-level-government-officials/

ส่งสำนวน "คลิปเสียงฮุน เซน" ถึงอัยการสูงสุด! สอท.1 ชี้เข้าข่ายผิด ม.116 ความมั่นคงฯ https://www.thai-tai.tv/news/20257/ . #คลิปเสียงฮุนเซน #อัยการสูงสุด #สอท1 #แพทองธาร #ฮุนเซน #ความมั่นคง #มาตรา116 #พรบคอมพิวเตอร์ #การเมืองไทย #อาชญากรรมไซเบอร์ #SamdechHunSenOfCambodia