📌🔒🟡 รวมข่าวจากเวบ SecurityOnline 🟡🔒📌 #รวมข่าวIT #20251124 #securityonline 🐍 PyPI ปลอมแพ็กเกจ Python แฝง RAT หลายชั้น นักวิจัยจาก HelixGuard พบแพ็กเกจอันตรายบน PyPI ที่ชื่อว่า spellcheckers ซึ่งพยายามเลียนแบบไลบรารีจริง “pyspellchecker” ที่มีคนใช้มากกว่า 18 ล้านครั้ง แต่ตัวปลอมนี้แอบซ่อน Remote Access Trojan (RAT) หลายชั้นไว้ภายใน นี่เป็นการโจมตี supply chain ที่อันตราย เพราะนักพัฒนาที่ติดตั้งแพ็กเกจนี้อาจถูกเจาะระบบโดยไม่รู้ตัว และมีการเชื่อมโยงกับกลุ่มที่เคยใช้วิธีหลอกเป็น “Recruiter” เพื่อขโมยคริปโตมาก่อน 🔗 url: https://securityonline.info/pypi-typosquat-delivers-multi-layer-python-rat-bypassing-scanners-with-xor-encryption 💻 Tsundere Botnet: Node.js + Blockchain C2 นักวิจัยจาก Kaspersky พบ บอทเน็ตใหม่ชื่อ Tsundere ที่เติบโตเร็วมากและมีลูกเล่นแปลกใหม่ ใช้ Node.js implants และดึงที่อยู่เซิร์ฟเวอร์ควบคุม (C2) จาก Ethereum smart contract ทำให้แทบจะ “ฆ่าไม่ตาย” เพราะข้อมูลบนบล็อกเชนลบไม่ได้ กระจายตัวผ่าน เกมเถื่อน และการใช้ Remote Monitoring & Management (RMM) และที่น่ากลัวคือมันสามารถรันโค้ด JavaScript จากระยะไกล ทำให้แฮกเกอร์สั่งขโมยข้อมูล, ติดตั้งมัลแวร์เพิ่ม, หรือใช้เครื่องเหยื่อเป็น proxy ได้ 🔗 url: https://securityonline.info/tsundere-botnet-uncovered-node-js-malware-uses-ethereum-smart-contract-for-unkillable-c2-and-runs-cybercrime-marketplace 🛡️ ความโปร่งใสบนโลกโซเชียล แพลตฟอร์ม X (เดิม Twitter) เพิ่มเครื่องมือใหม่ชื่อว่า “About This Account” เพื่อช่วยผู้ใช้ตรวจสอบความน่าเชื่อถือของบัญชีต่าง ๆ โดยจะแสดงข้อมูลเบื้องหลัง เช่น ประเทศที่สร้างบัญชี, วิธีการเข้าถึง (ผ่านเว็บหรือแอป), และจำนวนครั้งที่เปลี่ยนชื่อบัญชี ฟีเจอร์นี้ยังมีระบบตรวจจับ VPN เพื่อแจ้งเตือนว่าข้อมูลประเทศอาจไม่ถูกต้อง จุดประสงค์คือทำให้ผู้ใช้มั่นใจมากขึ้นว่าเนื้อหาที่เห็นมาจากใครจริง ๆ 🔗 https://securityonline.info/x-launches-about-this-account-tool-to-boost-transparency-and-fight-fakes 🍏 Apple ยังอยู่ภายใต้การนำของ Cook มีรายงานจาก Financial Times ว่า Tim Cook อาจก้าวลงจากตำแหน่ง CEO ของ Apple ในปี 2026 แต่ Mark Gurman จาก Bloomberg ออกมายืนยันว่าไม่จริง และไม่มีสัญญาณใด ๆ จากภายในบริษัท Cook ซึ่งเข้ามาเป็น CEO ตั้งแต่ปี 2011 ได้พา Apple เติบโตจากมูลค่า 350 พันล้านดอลลาร์ ไปสู่กว่า 4 ล้านล้านดอลลาร์ เขายังมีสิทธิ์ที่จะเลือกอนาคตของตัวเอง โดยผู้สืบทอดที่ถูกจับตามองคือ John Ternus หัวหน้าฝ่ายวิศวกรรมฮาร์ดแวร์ 🔗 https://securityonline.info/tim-cook-stepping-down-next-year-rumors-firmly-dismissed-by-mark-gurman ⚖️ การต่อสู้ด้านกฎหมายครั้งใหญ่ กระทรวงยุติธรรมสหรัฐ (DOJ) และ Google กำลังเข้าสู่ช่วงสุดท้ายของคดีผูกขาดธุรกิจโฆษณาออนไลน์ ผู้พิพากษา Leonie Brinkema แสดงท่าทีว่าจะตัดสินเร็ว โดย DOJ กล่าวหาว่า Google ครองตลาดอย่างไม่เป็นธรรม ขณะที่ Google โต้ว่า การบังคับให้ขายธุรกิจโฆษณาออกไปเป็นการแก้ไขที่รุนแรงเกินไป นอกจากนี้ Google ยังถูกปรับกว่า 3.5 พันล้านดอลลาร์ในยุโรปจากคดีคล้ายกัน ทำให้บริษัทเผชิญแรงกดดันจากหลายประเทศพร้อมกัน 🔗 https://securityonline.info/doj-vs-google-ad-tech-antitrust-battle-enters-final-stage-with-quick-ruling-expected 📱💻 ปีแห่งการบำรุงรักษาซอฟต์แวร์ หลังจาก iOS 26 เปิดตัวดีไซน์ “Liquid Glass” ที่หวือหวา Apple ตัดสินใจเปลี่ยนแนวทาง โดย iOS 27 และ macOS 27 ที่จะออกในปี 2026 จะเน้นการแก้บั๊ก ปรับปรุงประสิทธิภาพ และทำให้ระบบเสถียรมากขึ้น คล้ายกับการอัปเดต Snow Leopard ในอดีต อย่างไรก็ตาม Apple ยังเตรียมเพิ่มฟีเจอร์ด้าน AI เช่น Health Agent และระบบค้นหาใหม่ รวมถึงปรับปรุงเล็ก ๆ น้อย ๆ ให้ Liquid Glass ใช้งานได้ดียิ่งขึ้น 🔗 https://securityonline.info/ios-27-macos-27-apple-shifts-to-stability-and-performance-over-new-features 🕵️ มัลแวร์ปลอมตัวเป็นแอปจริง หน่วยวิจัยของ Acronis พบการโจมตีครั้งใหญ่ชื่อว่า “TamperedChef” ที่ใช้โฆษณาและ SEO หลอกให้ผู้ใช้ดาวน์โหลดแอปปลอม เช่น โปรแกรมอ่านคู่มือหรือเกมง่าย ๆ แอปเหล่านี้ถูกเซ็นด้วยใบรับรองจริงที่ซื้อผ่านบริษัทเชลล์ในสหรัฐฯ ทำให้ดูน่าเชื่อถือ เมื่อผู้ใช้ติดตั้ง แอปจะสร้างงานตามเวลาและฝัง backdoor ที่ซ่อนตัวอย่างแนบเนียนเพื่อควบคุมเครื่องระยะยาว เหยื่อส่วนใหญ่พบในสหรัฐฯ โดยเฉพาะในอุตสาหกรรมสุขภาพ ก่อสร้าง และการผลิต 🔗 https://securityonline.info/tamperedchef-malvertising-uses-us-shell-companies-to-sign-trojanized-apps-with-valid-certificates-deploying-stealth-backdoor ⚙️ AI Framework เจอช่องโหว่ร้ายแรง มีการค้นพบช่องโหว่ใน vLLM ซึ่งเป็น framework สำหรับการทำงานของโมเดลภาษา ช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีส่ง prompt embeddings ที่ถูกปรับแต่งมาเพื่อรันโค้ดอันตรายบนระบบ (Remote Code Execution) โดยไม่ต้องมีสิทธิ์พิเศษ ทำให้เสี่ยงต่อการถูกควบคุมระบบจากภายนอก นักวิจัยเตือนว่าผู้ใช้งานควรอัปเดตเวอร์ชันล่าสุดทันทีเพื่อป้องกันการโจมตี 🔗 https://securityonline.info/vllm-flaw-cve-2025-62164-risks-remote-code-execution-via-malicious-prompt-embeddings 🐉 การโจมตีไซเบอร์ข้ามพรมแดน กลุ่มแฮกเกอร์ APT24 จากจีนถูกเปิดโปงว่าใช้มัลแวร์ใหม่ชื่อ “BADAUDIO” แฝงตัวผ่านซัพพลายเชนของไต้หวัน ส่งผลกระทบต่อกว่า 1,000 โดเมน มัลแวร์นี้มีความสามารถในการซ่อนตัวและควบคุมระบบจากระยะไกล ทำให้เกิดความเสี่ยงต่อธุรกิจที่พึ่งพาโครงสร้างพื้นฐานของไต้หวันอย่างมาก 🔗 https://securityonline.info/chinas-apt24-launches-stealth-badaudio-malware-hitting-1000-domains-via-taiwanese-supply-chain-hack 📲 มัลแวร์แพร่กระจายผ่านแชท มีการค้นพบ worm ที่แพร่กระจายบน WhatsApp โดยใช้ข้อความหลอกว่าเป็น “View Once” เพื่อให้ผู้ใช้เปิดดู เมื่อเหยื่อคลิก มัลแวร์จะขโมย session และติดตั้ง Astaroth Banking Trojan เพื่อเจาะข้อมูลทางการเงิน จุดเด่นคือ worm นี้สามารถส่งต่อไปยังรายชื่อผู้ติดต่อโดยอัตโนมัติ ทำให้แพร่กระจายได้รวดเร็ว 🔗 https://securityonline.info/sophisticated-whatsapp-worm-uses-fake-view-once-lure-to-hijack-sessions-and-deploy-astaroth-banking-trojan 📡 ภัยคุกคามต่ออุปกรณ์เครือข่ายบ้านและองค์กร CERT/CC ออกคำเตือนเกี่ยวกับช่องโหว่ command injection ในเราเตอร์ Tenda รุ่น 4G03 Pro และ N300 (CVE-2025-13207, CVE-2024-24481) ที่ยังไม่ได้รับการแก้ไข ช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีเข้าถึงระดับ root และควบคุมอุปกรณ์ได้เต็มรูปแบบ ผู้ใช้ถูกแนะนำให้ปิดการใช้งาน remote management และติดตามการอัปเดต firmware อย่างใกล้ชิด 🔗 https://securityonline.info/cert-cc-warns-of-unpatched-root-level-command-injection-flaws-in-tenda-4g03-pro-and-n300-routers-cve-2025-13207-cve-2024-24481 🏭 ภัยต่อระบบอุตสาหกรรม ABB แจ้งเตือนช่องโหว่ร้ายแรงใน Edgenius Management Portal (เวอร์ชัน 3.2.0.0 และ 3.2.1.1) ที่เปิดโอกาสให้ผู้โจมตีส่งข้อความพิเศษเพื่อเข้าถึงระบบโดยไม่ต้องยืนยันตัวตน สามารถติดตั้ง/ถอนการติดตั้งแอป และแก้ไขการตั้งค่าได้เต็มที่ ถือเป็นภัยใหญ่ต่อระบบ OT ในโรงงานและอุตสาหกรรม ABB ได้ออกแพตช์เวอร์ชัน 3.2.2.0 และแนะนำให้ผู้ใช้ที่ยังอัปเดตไม่ได้ปิดการใช้งาน Portal ชั่วคราว 🔗 https://securityonline.info/critical-abb-flaw-cve-2025-10571-cvss-9-6-allows-unauthenticated-rce-and-admin-takeover-on-edgenius

🤖 ช่องโหว่ Isaac-GROOT: ภัยต่อหุ่นยนต์ยุคใหม่ NVIDIA ได้ออกประกาศเตือนเกี่ยวกับช่องโหว่ร้ายแรงในแพลตฟอร์ม Isaac-GROOT ซึ่งเป็น foundation model สำหรับการ reasoning และทักษะของหุ่นยนต์ humanoid ช่องโหว่ที่ถูกค้นพบคือ CVE-2025-33183 และ CVE-2025-33184 โดยทั้งคู่มีคะแนนความรุนแรงสูง (CVSS 7.8) และเกิดจากการจัดการโค้ดในคอมโพเนนต์ Python ที่ไม่ปลอดภัย 🧩 กลไกการโจมตี ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อทำ Code Injection ซึ่งจะเปิดทางให้รันโค้ดอันตรายบนระบบที่ใช้ Isaac-GROOT ได้ทันที ผลลัพธ์คือการ ยกระดับสิทธิ์ (Privilege Escalation), การเปิดเผยข้อมูล (Information Disclosure) และ การแก้ไขข้อมูล (Data Tampering) ซึ่งอาจกระทบต่อการทำงานของหุ่นยนต์และระบบที่เชื่อมต่อ 🌐 ผลกระทบต่อวงการ Robotics เนื่องจาก Isaac-GROOT ถูกใช้เป็นฐานในการพัฒนาหุ่นยนต์รุ่นใหม่ ช่องโหว่นี้จึงเป็นภัยต่อทั้งนักวิจัยและนักพัฒนาในอุตสาหกรรมหุ่นยนต์ หากระบบถูกโจมตี หุ่นยนต์อาจถูกควบคุมจากระยะไกลหรือทำงานผิดพลาด ซึ่งอาจนำไปสู่ความเสี่ยงด้านความปลอดภัยทั้งในโรงงาน, การแพทย์, โลจิสติกส์ และการใช้งานทั่วไป 🔒 แนวทางแก้ไข NVIDIA แนะนำให้ผู้ใช้ อัปเดต Isaac-GROOT ไปยังเวอร์ชันที่มี commit 7f53666 ซึ่งเป็นการแก้ไขช่องโหว่แล้ว และควรตรวจสอบระบบที่ใช้งานอยู่เพื่อป้องกันการถูกโจมตีเพิ่มเติม 📌 สรุปสาระสำคัญและคำเตือน ✅ รายละเอียดช่องโหว่ ➡️ CVE-2025-33183 และ CVE-2025-33184 ➡️ เกิดจากคอมโพเนนต์ Python ที่ไม่ปลอดภัย ✅ ผลกระทบ ➡️ รันโค้ดอันตรายผ่าน Code Injection ➡️ ยกระดับสิทธิ์, เปิดเผยข้อมูล, แก้ไขข้อมูล ✅ แนวทางแก้ไข ➡️ อัปเดต Isaac-GROOT ให้รวม commit 7f53666 ➡️ ตรวจสอบระบบที่ใช้งานอยู่ ‼️ คำเตือน ⛔ หุ่นยนต์ที่ใช้ Isaac-GROOT เสี่ยงถูกควบคุมจากระยะไกล ⛔ อุตสาหกรรมที่พึ่งพาหุ่นยนต์ เช่น โลจิสติกส์และการแพทย์ อาจได้รับผลกระทบ ⛔ หากไม่อัปเดต อาจเกิดการโจมตีซ้ำและข้อมูลรั่วไหล https://securityonline.info/code-injection-flaws-threaten-nvidias-isaac-groot-robotics-platform/

📱 มัลแวร์ WhatsApp Worm: ล่อด้วย “View Once” ปลอม นักวิจัยจาก Sophos รายงานการโจมตีที่ซับซ้อนในบราซิล โดยผู้โจมตีส่งข้อความ WhatsApp ที่ดูเหมือน “View Once” พร้อมไฟล์ ZIP แนบมา เมื่อผู้ใช้เปิดไฟล์นั้น จะพบว่าเป็นสคริปต์ VBS หรือ HTA ที่ทำหน้าที่ดาวน์โหลด payload อันตรายเข้าสู่เครื่องคอมพิวเตอร์ 🧩 กลไกการทำงาน มัลแวร์ใช้ PowerShell เพื่อดึง payload จากเซิร์ฟเวอร์ควบคุม (C2) โดยในช่วงแรกใช้ IMAP ดึงไฟล์จากบัญชีอีเมลของผู้โจมตี แต่ต่อมาเปลี่ยนเป็นการสื่อสารผ่าน HTTP เพื่อเพิ่มความยืดหยุ่น Payload ที่สองจะใช้ Selenium และ WPPConnect library เพื่อ ขโมย session ของ WhatsApp Web และรายชื่อผู้ติดต่อ จากนั้นแพร่กระจายไฟล์ ZIP อันตรายไปยังเหยื่อรายใหม่ 🏦 การติดตั้ง Astaroth Banking Trojan ในขั้นตอนต่อมา มัลแวร์จะปล่อยไฟล์ MSI ที่ติดตั้ง Astaroth Banking Trojan ซึ่งมีความสามารถในการ: 🎗️ เขียนไฟล์หลายตัวลงดิสก์ 🎗️ สร้าง registry key เพื่อคงอยู่ในระบบ 🎗️ รันสคริปต์ AutoIt ที่ปลอมเป็นไฟล์ log เมื่อฝังตัวสำเร็จ มัลแวร์จะเชื่อมต่อกับเซิร์ฟเวอร์ C2 เพื่อขโมยข้อมูลทางการเงินและข้อมูลผู้ใช้ต่อไป 🚨 ผลกระทบและความเสี่ยง แคมเปญนี้มีชื่อว่า STAC3150 และเริ่มต้นตั้งแต่กันยายน 2025 โดยมีผู้ใช้มากกว่า 250 รายในบราซิลที่ได้รับผลกระทบ การโจมตีรูปแบบนี้อันตรายมากเพราะใช้ความเชื่อใจของผู้ใช้ต่อ WhatsApp และฟีเจอร์ “View Once” ที่ควรจะปลอดภัย 📌 สรุปสาระสำคัญและคำเตือน ✅ วิธีการโจมตี ➡️ ใช้ข้อความ “View Once” ปลอมใน WhatsApp ➡️ แนบไฟล์ ZIP ที่มี VBS/HTA อันตราย ✅ กลไกการแพร่กระจาย ➡️ ใช้ PowerShell ดึง payload จาก C2 ➡️ ขโมย session WhatsApp Web และรายชื่อผู้ติดต่อ ✅ การติดตั้ง Astaroth Trojan ➡️ ใช้ไฟล์ MSI ติดตั้งมัลแวร์ ➡️ สร้าง persistence ผ่าน registry และ AutoIt script ‼️ คำเตือน ⛔ การเปิดไฟล์ ZIP จาก WhatsApp เสี่ยงต่อการติดมัลแวร์ ⛔ Session WhatsApp อาจถูกขโมยและใช้แพร่กระจายต่อ ⛔ ข้อมูลทางการเงินและบัญชีธนาคารเสี่ยงถูกโจรกรรม https://securityonline.info/sophisticated-whatsapp-worm-uses-fake-view-once-lure-to-hijack-sessions-and-deploy-astaroth-banking-trojan/

🕵️‍♂️ มัลแวร์ Xillen Stealer v4/v5: ภัยคุกคามไซเบอร์ยุคใหม่ นักวิจัยจาก Darktrace เปิดเผยว่า Xillen Stealer v4 และ v5 เป็นมัลแวร์ขโมยข้อมูลที่มีความสามารถกว้างขวางที่สุดในปี 2025 โดยมันสามารถเจาะระบบได้ทั้ง เบราว์เซอร์กว่า 100 ตัว (เช่น Chrome, Brave, Tor, Arc) และ กระเป๋าเงินคริปโตมากกว่า 70 รายการ (เช่น MetaMask, Ledger, Phantom, Trezor) รวมถึงเครื่องมือจัดการรหัสผ่านและสภาพแวดล้อมนักพัฒนาอย่าง VS Code และ JetBrains 🧩 เทคนิคการหลบเลี่ยงและการโจมตี Xillen Stealer ใช้ Polymorphic Engine ที่เขียนด้วย Rust เพื่อสร้างโค้ดที่เปลี่ยนแปลงตลอดเวลา ทำให้การตรวจจับด้วย signature-based antivirus ยากขึ้น นอกจากนี้ยังมีโมดูล AI Evasion Engine ที่เลียนแบบพฤติกรรมผู้ใช้ เช่น การขยับเมาส์ปลอม การสร้างไฟล์สุ่ม และการจำลองการใช้งาน CPU/RAM ให้เหมือนโปรแกรมทั่วไป เพื่อหลบเลี่ยงระบบตรวจจับที่ใช้ AI/ML 🌐 การเจาะระบบ DevOps และการซ่อนข้อมูล มัลแวร์นี้ไม่เพียงแต่ขโมยข้อมูลผู้ใช้ทั่วไป แต่ยังเจาะเข้าไปในระบบ DevOps และ Cloud เช่น Docker, Kubernetes, Git credentials และ API keys ซึ่งทำให้บริษัทซอฟต์แวร์และทีม SRE เสี่ยงต่อการถูกยึดระบบ นอกจากนี้ยังใช้เทคนิค Steganography ซ่อนข้อมูลที่ขโมยมาในไฟล์รูปภาพ, metadata หรือพื้นที่ว่างของดิสก์ ก่อนส่งออกไปยังเซิร์ฟเวอร์ควบคุม (C2) ผ่าน CloudProxy และแม้กระทั่งฝังคำสั่งในธุรกรรม blockchain เพื่อเพิ่มความยืดหยุ่นในการสื่อสาร 🚨 ภัยคุกคามต่อองค์กรและผู้ใช้ทั่วไป สิ่งที่ทำให้ Xillen Stealer น่ากังวลคือมันถูกเผยแพร่ใน Telegram พร้อมระบบ subscription และแดชบอร์ดสำหรับผู้โจมตี ทำให้แม้แต่ผู้ที่ไม่มีทักษะสูงก็สามารถเข้าถึงและใช้งานได้ง่าย ส่งผลให้ความเสี่ยงต่อทั้งบุคคลและองค์กรเพิ่มขึ้นอย่างมาก 📌 สรุปสาระสำคัญและคำเตือน ✅ ความสามารถของ Xillen Stealer ➡️ ขโมยข้อมูลจากเบราว์เซอร์กว่า 100 ตัวและกระเป๋าเงินคริปโต 70+ ➡️ เจาะระบบ DevOps, Cloud, และเครื่องมือพัฒนา ✅ เทคนิคการหลบเลี่ยง ➡️ ใช้ Polymorphic Engine สร้างโค้ดเปลี่ยนแปลงตลอดเวลา ➡️ AI Evasion Engine เลียนแบบพฤติกรรมผู้ใช้เพื่อหลบการตรวจจับ ✅ การซ่อนและส่งข้อมูล ➡️ ใช้ Steganography ซ่อนข้อมูลในรูปภาพและ metadata ➡️ ส่งข้อมูลผ่าน CloudProxy และ blockchain ‼️ คำเตือน ⛔ ผู้ใช้ทั่วไปเสี่ยงจากการดาวน์โหลดไฟล์หรือโปรแกรมที่ไม่ปลอดภัย ⛔ องค์กรเสี่ยงต่อการสูญเสียข้อมูล DevOps และ Cloud Credentials ⛔ การเผยแพร่ผ่าน Telegram ทำให้มัลแวร์เข้าถึงง่ายและแพร่กระจายเร็ว https://securityonline.info/next-gen-threat-xillen-stealer-v4-targets-100-browsers-70-wallets-with-polymorphic-evasion-and-devops-theft/

⚠️ ช่องโหว่ Markdown to PDF: RCE ผ่าน Front-Matter นักวิจัยด้านความปลอดภัยเปิดเผยช่องโหว่ CVE-2025-65108 ที่มีคะแนนความรุนแรงสูงสุด CVSS 10.0 ในแพ็กเกจ npm “Markdown to PDF” ซึ่งมีการใช้งานมากกว่า 47,000 ครั้งต่อสัปดาห์ ช่องโหว่นี้เกิดจากการที่ไลบรารี gray-matter ซึ่งใช้ในการประมวลผล front-matter ของไฟล์ Markdown เปิดโหมดประเมินค่า JavaScript โดยอัตโนมัติหากพบตัวแบ่งพิเศษ เช่น ---js หรือ ---javascript 🧩 วิธีการโจมตี ผู้โจมตีสามารถสร้างไฟล์ Markdown ที่มี front-matter ฝังโค้ด JavaScript เมื่อไฟล์ถูกนำไปแปลงเป็น PDF โดยเครื่องมือ md-to-pdf โค้ดดังกล่าวจะถูกประมวลผลและรันบนระบบทันที ตัวอย่าง PoC ที่เผยแพร่แสดงให้เห็นว่าเพียงแค่เปิดไฟล์ Markdown ที่มี payload ก็สามารถสั่งให้ระบบรันคำสั่ง OS เช่นเปิดโปรแกรม calc.exe ได้ 🌐 ผลกระทบต่อระบบ ช่องโหว่นี้ส่งผลกระทบต่อทุกระบบที่ใช้ md-to-pdf ในการประมวลผลไฟล์ Markdown ไม่ว่าจะเป็น เซิร์ฟเวอร์, CI/CD pipeline, หรือเครื่อง desktop หากมีการนำไฟล์จากผู้ใช้ที่ไม่น่าเชื่อถือมาแปลงเป็น PDF ระบบอาจถูกยึดครองได้ทันที ถือเป็นภัยร้ายแรงต่อซัพพลายเชนซอฟต์แวร์ที่ใช้แพ็กเกจนี้ 🔒 แนวทางแก้ไข ผู้ใช้ควรอัปเดตแพ็กเกจ md-to-pdf เป็นเวอร์ชัน 5.2.5 หรือใหม่กว่า โดยด่วน และหลีกเลี่ยงการประมวลผลไฟล์ Markdown ที่ไม่ได้รับการตรวจสอบจากแหล่งที่เชื่อถือได้ นอกจากนี้องค์กรควรเพิ่มการตรวจสอบความปลอดภัยใน pipeline เพื่อป้องกันการโจมตีลักษณะนี้ 📌 สรุปสาระสำคัญและคำเตือน ✅ รายละเอียดช่องโหว่ ➡️ CVE-2025-65108 ในแพ็กเกจ Markdown to PDF ➡️ คะแนน CVSS 10.0 (สูงสุด) ✅ วิธีการโจมตี ➡️ ใช้ front-matter ที่มี delimiter ---javascript ➡️ โค้ด JS ถูกประมวลผลและรันทันที ✅ ผลกระทบ ➡️ กระทบต่อเซิร์ฟเวอร์, CI/CD pipeline, desktop tools ➡️ เสี่ยงต่อการยึดครองระบบจากไฟล์ Markdown ปลอม ✅ แนวทางแก้ไข ➡️ อัปเดต md-to-pdf เป็นเวอร์ชัน 5.2.5 ขึ้นไป ➡️ หลีกเลี่ยงการประมวลผลไฟล์จากแหล่งที่ไม่น่าเชื่อถือ ‼️ คำเตือน ⛔ การเปิดไฟล์ Markdown ที่ไม่ปลอดภัยอาจทำให้ระบบถูกยึดครอง ⛔ ซัพพลายเชนซอฟต์แวร์ที่ใช้แพ็กเกจนี้เสี่ยงต่อการโจมตี ⛔ ต้องเพิ่มการตรวจสอบความปลอดภัยใน pipeline https://securityonline.info/critical-markdown-to-pdf-flaw-cve-2025-65108-cvss-10-0-allows-rce-via-js-injection-in-markdown-front-matter/

🕵️‍♂️ มัลแวร์ Python แฝงตัวในไฟล์ PNG ปลอม เจาะระบบด้วยความแนบเนียน นักวิจัยด้านความปลอดภัยพบมัลแวร์ใหม่ที่ใช้ภาษา Python ถูกซ่อนอยู่ในไฟล์ RAR ที่ปลอมตัวเป็นไฟล์ PNG เพื่อหลอกให้ผู้ใช้และระบบรักษาความปลอดภัยเชื่อว่าเป็นไฟล์รูปภาพธรรมดา แต่แท้จริงแล้วเป็นกลไกในการปล่อยโค้ดอันตรายเข้าสู่เครื่องคอมพิวเตอร์ โดยมัลแวร์นี้มีการเข้ารหัสหลายชั้นและใช้เทคนิคการปลอมแปลงไฟล์ระบบ Windows เพื่อให้ดูเหมือนถูกต้องตามมาตรฐาน เมื่อไฟล์ถูกเปิดใช้งาน มัลแวร์จะสร้างโครงสร้างไดเรกทอรีปลอมที่มีไฟล์ชื่อคล้ายกับไฟล์ระบบ เช่น ntoskrnl.exe แต่แท้จริงคือ Python runtime ที่บรรจุ payload อันตรายไว้ภายใน จากนั้นมัลแวร์จะทำการถอดรหัส payload ผ่านหลายขั้นตอน เช่น Base64 → BZ2 → Zlib → marshal.loads ก่อนจะฉีดโค้ดเข้าไปในโปรเซสที่ถูกเซ็นรับรองโดย Microsoft อย่าง cvtres.exe เพื่อให้การทำงานดูเหมือนถูกต้องและยากต่อการตรวจจับ สิ่งที่น่ากังวลคือ หลังจากมัลแวร์ฝังตัวสำเร็จ มันจะเชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C2) ผ่านการสื่อสารแบบเข้ารหัส ทำให้ผู้โจมตีสามารถสั่งงานจากระยะไกลได้ เช่น การขโมยไฟล์ การสอดแนมระบบ และการควบคุมเครื่องอย่างต่อเนื่อง แม้โปรเซสหลักจะถูกปิดไปแล้วก็ตาม จากข้อมูลเพิ่มเติมในวงการไซเบอร์ พบว่าการใช้ไฟล์รูปภาพหรือเอกสารปลอมเพื่อซ่อนมัลแวร์เป็นเทคนิคที่ถูกใช้บ่อยขึ้นในช่วงไม่กี่ปีที่ผ่านมา โดยเฉพาะการโจมตีที่อาศัยความเชื่อใจของผู้ใช้ต่อไฟล์ที่ดู “ปลอดภัย” เช่น PNG, PDF หรือ DOCX ซึ่งทำให้ผู้ใช้ทั่วไปตกเป็นเป้าหมายได้ง่ายขึ้น และเป็นสัญญาณเตือนว่าการตรวจสอบไฟล์ต้องเข้มงวดมากกว่าเดิม 📌 สรุปสาระสำคัญและคำเตือน ✅ เทคนิคการโจมตีที่ใช้ไฟล์ปลอม ➡️ มัลแวร์ถูกซ่อนในไฟล์ RAR ที่ปลอมตัวเป็น PNG ➡️ ใช้ชื่อไฟล์ระบบ Windows ปลอมเพื่อหลอกผู้ใช้ ✅ กลไกการทำงานของมัลแวร์ ➡️ ถอดรหัส payload หลายชั้น (Base64 → BZ2 → Zlib → marshal.loads) ➡️ ฉีดโค้ดเข้าไปในโปรเซส Microsoft ที่ถูกเซ็นรับรอง (cvtres.exe) ✅ ความสามารถของมัลแวร์ ➡️ เชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C2) ผ่านการเข้ารหัส ➡️ สั่งงานระยะไกล เช่น ขโมยไฟล์และควบคุมเครื่อง ‼️ คำเตือนต่อผู้ใช้ทั่วไป ⛔ ไฟล์ที่ดูปลอดภัย เช่น PNG หรือ PDF อาจซ่อนมัลแวร์ได้ ⛔ การเปิดไฟล์จากแหล่งที่ไม่น่าเชื่อถือเสี่ยงต่อการติดเชื้อ ⛔ ต้องใช้ระบบรักษาความปลอดภัยที่สามารถตรวจจับการปลอมแปลงไฟล์ขั้นสูง https://securityonline.info/extreme-stealth-python-malware-hides-inside-png-disguised-rar-injects-payload-into-cvtres-exe/

📰 Google ทดลองโฆษณาใน Gemini AI Search Google กำลังทดสอบการแสดง Sponsored Ads ภายในผลลัพธ์โหมด AI ของ Gemini โดยโฆษณาจะปรากฏที่ด้านล่างของคำตอบที่ AI สร้างขึ้น และมีลักษณะคล้ายกับลิงก์ปกติ ทำให้ผู้ใช้แทบแยกไม่ออกว่าเป็นโฆษณา Google เริ่มทดสอบการใส่โฆษณาแบบ Sponsored Links ลงในผลลัพธ์ที่สร้างโดย Gemini AI Search โดยโฆษณาจะถูกแสดงในตำแหน่งท้ายสุดของคำตอบที่ AI สร้างขึ้น และมีรูปแบบใกล้เคียงกับลิงก์ทั่วไป ทำให้ผู้ใช้ต้องสังเกตคำว่า “Sponsored” เพื่อแยกออกจากผลลัพธ์จริง ⚡ เหตุผลเบื้องหลังการทดสอบ นักวิเคราะห์ชี้ว่า การแสดงโฆษณาในโหมด AI เป็นสิ่งที่หลีกเลี่ยงไม่ได้ เนื่องจากค่าใช้จ่ายในการประมวลผล AI มีราคาสูงมาก การเพิ่มโฆษณาจึงเป็นวิธีการสร้างรายได้เพื่อรองรับการให้บริการฟรีแก่ผู้ใช้ เช่นเดียวกับที่แพลตฟอร์มอื่น ๆ อย่าง X และ OpenAI กำลังพิจารณาแนวทางคล้ายกัน 📊 ความแตกต่างจาก Google Search แบบเดิม ใน Google Search แบบดั้งเดิม ผู้ใช้สามารถเลื่อนผ่าน Sponsored Results ได้ แต่ใน Gemini AI Mode โฆษณาจะถูกฝังอยู่ในคำตอบ ทำให้ไม่สามารถเลี่ยงได้ง่าย นี่ถือเป็นการเปลี่ยนแปลงเชิงโครงสร้างที่อาจกระทบต่อประสบการณ์ผู้ใช้และความโปร่งใสของข้อมูล 🌍 ผลกระทบต่ออนาคตของ AI Search หากการทดสอบนี้ถูกนำมาใช้จริง จะเป็นการยืนยันว่า ยุคของ AI ฟรีกำลังจะสิ้นสุดลง และผู้ใช้จะต้องเผชิญกับโฆษณาที่ผสานเข้ากับคำตอบ AI อย่างแนบเนียน ซึ่งอาจสร้างทั้งโอกาสทางธุรกิจใหม่ให้ Google และความกังวลด้านความโปร่งใสแก่ผู้ใช้ 📌 สรุปสาระสำคัญ ✅ Google ทดสอบ Sponsored Ads ใน Gemini AI Search ➡️ โฆษณาปรากฏที่ด้านล่างของผลลัพธ์ AI ➡️ รูปแบบคล้ายลิงก์ปกติ แยกออกยาก ✅ เหตุผลในการทดสอบ ➡️ ค่าใช้จ่าย AI สูง จำเป็นต้องสร้างรายได้ ➡️ แพลตฟอร์มอื่น ๆ เช่น X และ OpenAI ก็พิจารณาแนวทางคล้ายกัน ✅ ความแตกต่างจาก Search แบบเดิม ➡️ ผู้ใช้ไม่สามารถเลื่อนผ่านโฆษณาได้ง่าย ➡️ โฆษณาถูกฝังในคำตอบ AI โดยตรง ✅ ผลกระทบต่ออนาคต ➡️ ยุค AI ฟรีอาจสิ้นสุดลง ➡️ สร้างโอกาสทางธุรกิจใหม่ แต่เพิ่มความกังวลเรื่องโปร่งใส ‼️ คำเตือนด้านข้อมูล ⛔ ผู้ใช้ต้องระวังการแยกแยะข้อมูลจริงกับโฆษณา ⛔ การฝังโฆษณาในคำตอบ AI อาจกระทบต่อความน่าเชื่อถือของผลลัพธ์ https://securityonline.info/google-testing-sponsored-ads-inside-gemini-ai-search-results/

👥 Meta เปิดให้ใช้ชื่อเล่นใน Groups Meta ปรับนโยบายชื่อจริงบน Facebook โดยอนุญาตให้สมาชิกใน Facebook Groups ใช้ ชื่อเล่น (nickname) และ อวาตาร์ แทนชื่อจริงได้ เพื่อเพิ่มความยืดหยุ่นและลดความกังวลด้านความเป็นส่วนตัว แต่ยังคงต้องอยู่ภายใต้กฎชุมชนและการอนุมัติจากผู้ดูแลกลุ่ม Meta เคยยึดมั่นนโยบาย “Real Name” มายาวนาน แต่ล่าสุดได้ปรับเปลี่ยน โดยอนุญาตให้สมาชิกใน Facebook Groups สามารถตั้งชื่อเล่นและใช้อวาตาร์แทนชื่อจริงได้เมื่อเข้าร่วมสนทนาในกลุ่ม การเปลี่ยนแปลงนี้ช่วยให้ผู้ใช้รู้สึกปลอดภัยและเป็นกันเองมากขึ้น โดยเฉพาะในกลุ่มที่เน้นการแลกเปลี่ยนความคิดเห็น 🛡️ เงื่อนไขการใช้งาน 💠 การใช้ชื่อเล่นต้องเปิดใช้งานโดย ผู้ดูแลกลุ่ม (admins) 💠 บางกรณีอาจต้องได้รับการอนุมัติแบบ manual 💠 ชื่อเล่นและอวาตาร์ยังคงต้องปฏิบัติตาม Community Standards ของ Meta 💠 ผู้ใช้สามารถสลับไปมาระหว่างชื่อจริงและชื่อเล่นได้ตามต้องการ 🎨 อวาตาร์และการมีส่วนร่วม Meta เปิดตัวชุดอวาตาร์ธีมสัตว์น่ารัก เช่น “สัตว์ใส่แว่นกันแดด” เพื่อให้ผู้ใช้เลือกใช้ร่วมกับชื่อเล่น การเพิ่มฟีเจอร์นี้ถูกมองว่าเป็นการลดแรงกดดันทางสังคม และช่วยให้ผู้ใช้เข้าร่วมสนทนาได้ง่ายขึ้น โดยไม่ต้องกังวลเรื่องการเปิดเผยตัวตนมากเกินไป 🌍 ความหมายเชิงกลยุทธ์ การปรับนโยบายครั้งนี้สะท้อนว่า Meta กำลังพยายามทำให้ Facebook Groups เป็นพื้นที่ที่ดึงดูดผู้ใช้รุ่นใหม่มากขึ้น หลังจากที่เปิดฟีเจอร์ฟีดกิจกรรมท้องถิ่น และการเปลี่ยนกลุ่มส่วนตัวเป็นสาธารณะในปีที่ผ่านมา การอนุญาตให้ใช้ชื่อเล่นจึงเป็นอีกก้าวสำคัญในการสร้างชุมชนที่มีความยืดหยุ่นและเป็นมิตร 📌 สรุปสาระสำคัญ ✅ Meta ปรับนโยบาย Real Name ➡️ อนุญาตให้ใช้ชื่อเล่นและอวาตาร์ใน Facebook Groups ➡️ ผู้ใช้สามารถสลับระหว่างชื่อจริงและชื่อเล่นได้ ✅ เงื่อนไขการใช้งาน ➡️ ต้องเปิดใช้งานโดยผู้ดูแลกลุ่ม ➡️ ต้องปฏิบัติตาม Community Standards ✅ อวาตาร์และการมีส่วนร่วม ➡️ มีชุดอวาตาร์ธีมสัตว์น่ารักให้เลือก ➡️ ลดแรงกดดันทางสังคมและเพิ่มการมีส่วนร่วม ✅ ความหมายเชิงกลยุทธ์ ➡️ ช่วยดึงดูดผู้ใช้รุ่นใหม่เข้าสู่ Facebook Groups ➡️ เป็นส่วนหนึ่งของการปรับปรุงฟีเจอร์เพื่อเพิ่มการใช้งาน ‼️ คำเตือนด้านข้อมูล ⛔ การใช้ชื่อเล่นอาจทำให้เกิดการแอบอ้างหรือการละเมิดกฎชุมชน ⛔ ผู้ดูแลกลุ่มต้องตรวจสอบอย่างเข้มงวดเพื่อป้องกันการใช้ในทางที่ผิด https://securityonline.info/meta-shifts-real-name-policy-facebook-groups-now-allow-custom-nicknames-avatars/

📧 Google ปฏิเสธข่าวลือ Gmail ถูกใช้ฝึก AI Google ออกแถลงการณ์ปฏิเสธข่าวลือที่ว่า Gmail ของผู้ใช้ถูกนำไปใช้ฝึกโมเดล AI Gemini โดยยืนยันว่า ไม่มีการเปลี่ยนแปลงนโยบาย และ Gmail ยังคงทำงานด้วยระบบ Smart Features ที่ใช้การประมวลผลอัตโนมัติเท่านั้น ไม่ได้ใช้เนื้อหาอีเมลเพื่อฝึก AI เมื่อไม่นานมานี้มีข่าวลือแพร่บนโซเชียลมีเดียว่า Google ได้ปรับนโยบายเพื่อใช้ข้อความและไฟล์แนบใน Gmail ไปฝึกโมเดล AI Gemini แต่ Google ได้ออกมาปฏิเสธอย่างชัดเจน โดยระบุว่าข่าวดังกล่าวเป็น “misleading” และไม่มีการเปลี่ยนแปลงใด ๆ ในการตั้งค่าของผู้ใช้ ⚙️ Smart Features ของ Gmail Google ชี้แจงว่า Gmail มีฟีเจอร์อัจฉริยะ เช่น spell-check, การติดตามพัสดุ, และการเพิ่มข้อมูลเที่ยวบินลงใน Google Calendar ซึ่งทั้งหมดทำงานด้วยการประมวลผลอัตโนมัติภายในระบบ ไม่ได้ถูกนำไปใช้ฝึกโมเดล Gemini การอนุญาตที่ผู้ใช้ให้กับ Smart Features เป็นเพียงการปรับปรุงประสบการณ์ใช้งานใน Google Workspace เท่านั้น 🔍 ความเข้าใจผิดจากการตั้งค่า บางรายงานระบุว่าผู้ใช้พบการตั้งค่าบางอย่างถูกเปิดใช้งานใหม่โดยไม่ตั้งใจ ซึ่ง Google ชี้แจงว่าเป็นผลจากการอัปเดตการแยกการตั้งค่าระหว่าง Workspace และบริการอื่น ๆ เช่น Maps และ Wallet ไม่ใช่การบังคับให้ข้อมูล Gmail ถูกนำไปใช้ฝึก AI 🌍 ผลกระทบต่อผู้ใช้ แม้ Google จะยืนยันว่าไม่มีการใช้ Gmail ในการฝึก AI แต่เหตุการณ์นี้สะท้อนถึงความกังวลของผู้ใช้เกี่ยวกับความเป็นส่วนตัวและการใช้ข้อมูลส่วนบุคคลในยุคที่ AI กำลังเติบโตอย่างรวดเร็ว 📌 สรุปสาระสำคัญ ✅ Google ปฏิเสธข่าวลือ ➡️ ยืนยันว่า Gmail ไม่ถูกใช้ฝึกโมเดล Gemini ➡️ ไม่มีการเปลี่ยนแปลงนโยบายผู้ใช้ ✅ Smart Features ของ Gmail ➡️ ใช้ประมวลผลอัตโนมัติ เช่น spell-check และการติดตามพัสดุ ➡️ ข้อมูลถูกใช้เพื่อปรับปรุง Workspace เท่านั้น ✅ ความเข้าใจผิดจากการตั้งค่า ➡️ การอัปเดตแยกการตั้งค่าระหว่าง Workspace และบริการอื่น ๆ ➡️ ไม่ใช่การบังคับให้ Gmail ถูกใช้ฝึก AI ✅ ผลกระทบต่อผู้ใช้ ➡️ สะท้อนความกังวลด้านความเป็นส่วนตัวในยุค AI ➡️ ผู้ใช้ควรตรวจสอบการตั้งค่าบัญชีให้ตรงกับความต้องการ https://securityonline.info/google-denies-rumors-gmail-messages-not-used-to-train-gemini-ai-models/

📰 X เปิดตลาดชื่อผู้ใช้ Premium+ X (Twitter เดิม) เปิดตลาดซื้อขายชื่อผู้ใช้ (username marketplace) ให้กับสมาชิก Premium+ โดยแบ่งชื่อออกเป็นสองประเภทคือ Priority และ Rare ซึ่งชื่อ Rare เช่น @memelord, @phone หรือ @AIchat มีมูลค่าสูงถึงหลักล้านดอลลาร์ และมีเงื่อนไขการใช้งานเข้มงวดมาก X ประกาศเปิดตลาดซื้อขายชื่อผู้ใช้สำหรับสมาชิก Premium+ ที่จ่าย $40/เดือน หรือ $395/ปี โดยสามารถขอชื่อที่เคยถูกใช้งานแต่ปัจจุบันไม่ active แล้ว ระบบแบ่งชื่อออกเป็นสองกลุ่มคือ Priority และ Rare ซึ่งมีวิธีการเข้าถึงแตกต่างกัน 🎯 ความแตกต่างระหว่าง Priority และ Rare Priority usernames: ชื่อที่ใกล้เคียงกับชื่อจริง เช่น @kbell หรือ @karissa สามารถขอได้ทันที แต่มีข้อจำกัดว่าผู้ใช้จะมีสิทธิ์ขอเพียงครั้งเดียวตลอดอายุบัญชี Rare usernames: ชื่อสั้น ๆ หรือคำเดี่ยว เช่น @memelord, @phone, @AIchat ถูกจัดเป็นสินทรัพย์ดิจิทัลที่มีค่ามากที่สุด ต้องผ่านกระบวนการพิเศษ เช่น public drops, merit-based application หรือการซื้อแบบเชิญเท่านั้น โดยราคามีตั้งแต่ $2,500 จนถึงหลายล้านดอลลาร์ ⚠️ เงื่อนไขการใช้งานเข้มงวด ผู้ที่ได้ชื่อผู้ใช้ใหม่ต้องรักษาสถานะ Premium+, โพสต์เนื้อหาสม่ำเสมอ และห้ามปล่อยบัญชีให้ dormant หากละเมิดเงื่อนไข X มีสิทธิ์ยึดชื่อคืนได้ทันที ทั้งนี้ X ย้ำว่าชื่อผู้ใช้ทั้งหมดถือเป็นทรัพย์สินของแพลตฟอร์ม ไม่ใช่ของผู้ใช้ 🌍 ผลกระทบและข้อถกเถียง การเปิดตลาดนี้อาจสร้างรายได้ใหม่ให้ X แต่ก็มีข้อถกเถียงเรื่องความโปร่งใสและความเสี่ยงในการเก็งกำไรชื่อผู้ใช้ โดยเฉพาะเมื่อราคาสูงถึงหลักล้านดอลลาร์ และมีเงื่อนไขที่เข้มงวดซึ่งอาจทำให้ผู้ใช้ลังเลที่จะลงทุน 📌 สรุปสาระสำคัญ ✅ ตลาดชื่อผู้ใช้ Premium+ ➡️ ค่าสมัคร $40/เดือน หรือ $395/ปี ➡️ เปิดให้ขอชื่อที่ inactive ได้ ✅ ประเภทชื่อผู้ใช้ ➡️ Priority: ชื่อใกล้เคียงชื่อจริง ขอได้ทันที ➡️ Rare: ชื่อสั้น/คำเดี่ยว ราคาสูงถึงหลักล้าน ✅ เงื่อนไขการใช้งาน ➡️ ต้องรักษาสถานะ Premium+ และโพสต์สม่ำเสมอ ➡️ X มีสิทธิ์ยึดชื่อคืนได้ทุกเมื่อ ✅ ผลกระทบ ➡️ สร้างรายได้ใหม่ให้แพลตฟอร์ม ➡️ อาจเกิดการเก็งกำไรและข้อถกเถียงเรื่องความโปร่งใส ‼️ คำเตือนด้านข้อมูล ⛔ การลงทุนซื้อชื่อ Rare มีความเสี่ยงสูงและอาจถูกยึดคืน ⛔ ราคาที่สูงเกินจริงอาจทำให้เกิดการเก็งกำไรและตลาดที่ไม่ยั่งยืน https://securityonline.info/x-opens-username-marketplace-to-premium-users-rare-handles-cost-millions/

🔐 ทำไมการหาสาเหตุหลักของการโจมตีไซเบอร์ยังคงเป็นเรื่องยาก รายงานจาก Foundry’s Security Priorities study ระบุว่า 57% ของผู้นำด้านความปลอดภัยยอมรับว่าองค์กรของตนไม่สามารถหาสาเหตุรากของเหตุการณ์ที่เกิดขึ้นในปีที่ผ่านมาได้ ส่งผลให้มีความเสี่ยงสูงที่จะถูกโจมตีซ้ำอีกครั้ง ปัญหาหลักคือการมุ่งเน้นไปที่การ “ดับไฟ” หรือแก้ปัญหาเฉพาะหน้า มากกว่าการทำ postmortem analysis ที่จริงจัง ผู้เชี่ยวชาญด้านความปลอดภัย เช่นจาก Huntress และ BlueVoyant เตือนว่า การไม่ทำ forensic investigation อย่างเป็นระบบ ทำให้องค์กรเหมือน “ป้องกันตัวเองแบบปิดตา” และพลาดโอกาสในการเรียนรู้เพื่อเสริมความแข็งแกร่งในอนาคต 🛠️ ความท้าทายที่ทำให้องค์กรพลาดการเรียนรู้ 💠 ขาดทรัพยากรและบุคลากรที่มีทักษะด้าน forensics 💠 แรงกดดันจากธุรกิจ ที่ต้องการให้ระบบกลับมาออนไลน์เร็วที่สุด ทำให้หลักฐานถูกทำลาย 💠 เครื่องมือที่แยกส่วนกัน (siloed tools) ทำให้ไม่สามารถ reconstruct เส้นทางการโจมตีได้ครบถ้วน 💠 การข้ามขั้นตอน postmortem หรือทำแบบไม่เป็นทางการ ส่งผลให้บทเรียนไม่ถูกนำไปใช้จริง ผู้เชี่ยวชาญจาก Trend Micro และ Semperis เน้นว่า การสร้าง resilience ต้องอาศัยการวิเคราะห์เชิงลึกและการเก็บข้อมูลอย่างเป็นระบบ ไม่ใช่แค่การกู้คืนระบบให้กลับมาใช้งานได้ 🌍 แนวทางแก้ไขเพื่อสร้าง Resilience 💠 เตรียมเครื่องมือ forensics ล่วงหน้า เช่น SIEM ที่สามารถเก็บ log ได้ยาวนาน 💠 ทำ incident response แบบครบวงจร: ตรวจจับ → วิเคราะห์ → กักกัน → กู้คืน → postmortem 💠 ฝึกซ้อมด้วย tabletop exercise เพื่อให้ทีมพร้อมรับมือจริง 💠 ใช้แนวคิด forensic readiness เพื่อให้มั่นใจว่าหลักฐานจะไม่สูญหาย 💠 บูรณาการ threat intelligence เพื่อเชื่อมโยงเหตุการณ์กับแคมเปญการโจมตีที่ใหญ่กว่า 📌 สรุปสาระสำคัญ ✅ ปัญหาที่พบในองค์กร ➡️ 57% ไม่สามารถหาสาเหตุรากของการโจมตีได้ ➡️ มุ่งเน้นการแก้ปัญหาเฉพาะหน้าแทนการเรียนรู้ ✅ ความท้าทาย ➡️ ขาดบุคลากรด้าน forensics ➡️ เครื่องมือแยกส่วนและแรงกดดันทางธุรกิจ ➡️ หลักฐานถูกทำลายเพราะรีบกู้ระบบ ✅ แนวทางแก้ไข ➡️ ใช้ SIEM และเครื่องมือเก็บ log ➡️ ทำ incident response ครบวงจรและ postmortem analysis ➡️ ฝึกซ้อมและสร้าง forensic readiness ‼️ คำเตือน ⛔ หากไม่หาสาเหตุราก องค์กรจะเสี่ยงต่อการถูกโจมตีซ้ำ ⛔ การกู้ระบบโดยไม่เก็บหลักฐานทำให้สูญเสียโอกาสเรียนรู้ ⛔ การข้ามขั้นตอน postmortem เท่ากับ “รักษาอาการ” แต่ไม่แก้ปัญหาที่แท้จริง https://www.csoonline.com/article/4093403/root-causes-of-security-breaches-remain-elusive-jeopardizing-resilience.html

🕵️‍♂️ Trojanized VPN Installer ปล่อย Backdoor NKNShell นักวิจัยจาก AhnLab SEcurity Intelligence Center (ASEC) พบการโจมตีใหม่ที่ใช้ ตัวติดตั้ง VPN ปลอม ซึ่งถูกฝังมัลแวร์หลายชนิด โดยเฉพาะ NKNShell ที่เขียนด้วยภาษา Go และมีความสามารถขั้นสูงในการติดต่อกับเซิร์ฟเวอร์ควบคุมผ่าน P2P Blockchain-style networking และ MQTT (โปรโตคอล IoT) ทำให้การตรวจจับยากขึ้นมาก เมื่อผู้ใช้ดาวน์โหลดไฟล์ติดตั้งจากเว็บไซต์ที่ถูกแฮก ตัวติดตั้งจะทำงานเหมือนปกติ แต่เบื้องหลังจะรัน PowerShell script เพื่อดาวน์โหลด payload เพิ่มเติม เช่น MeshAgent, gs-netcat และ SQLMap malware โดยมีการใช้เทคนิค AMSI bypass, UAC bypass และ WMI persistence เพื่อให้มัลแวร์อยู่รอดแม้รีบูตเครื่องใหม่ 🌐 เทคนิคการซ่อนตัวที่ล้ำสมัย NKNShell ใช้ NKN (New Kind of Network) ซึ่งเป็นโปรโตคอล P2P แบบกระจายศูนย์ที่ได้รับแรงบันดาลใจจาก Blockchain ร่วมกับ MQTT ที่นิยมใช้ในอุปกรณ์ IoT เพื่อส่งข้อมูลระบบไปยังผู้โจมตีผ่าน broker สาธารณะ เช่น broker.emqx.io และ broker.mosquitto.org วิธีนี้ทำให้ผู้โจมตีสามารถดึงข้อมูลจากเครื่องที่ติดเชื้อได้โดยไม่ต้องเชื่อมต่อโดยตรง นอกจากนี้ NKNShell ยังมีชุดคำสั่งที่กว้างมาก เช่น การอัปโหลด/ดาวน์โหลดไฟล์, การขโมย token, DLL sideloading, DDoS, การฉีดโค้ด, การจับภาพหน้าจอ และการรัน PowerShell/Python ซึ่งทำให้มันเป็น backdoor ที่ทรงพลังและยืดหยุ่นสูง ⚠️ ภัยคุกคามต่อผู้ใช้ VPN และองค์กร กลุ่มผู้โจมตีที่ถูกติดตามในชื่อ Larva-24010 มีประวัติการโจมตีผู้ใช้ VPN ในเกาหลีใต้มาตั้งแต่ปี 2023 และยังคงพัฒนาเทคนิคใหม่ ๆ อย่างต่อเนื่อง โดยครั้งนี้มีหลักฐานว่าใช้ Generative AI ในการสร้างสคริปต์ PowerShell ที่ซับซ้อนขึ้น ซึ่งสะท้อนให้เห็นว่าอาชญากรไซเบอร์กำลังใช้ AI เพื่อเพิ่มประสิทธิภาพการโจมตี นี่เป็นสัญญาณเตือนว่า การดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่ปลอดภัย แม้จะดูเหมือนเป็นของจริง ก็อาจนำไปสู่การติดมัลแวร์ขั้นร้ายแรงที่ยากต่อการตรวจจับและกำจัด 📌 สรุปสาระสำคัญ ✅ การโจมตีผ่านตัวติดตั้ง VPN ปลอม ➡️ ฝัง NKNShell และมัลแวร์อื่น ๆ เช่น MeshAgent, gs-netcat, SQLMap ➡️ ใช้ PowerShell script พร้อม AMSI bypass และ WMI persistence ✅ คุณสมบัติของ NKNShell ➡️ ใช้ P2P Blockchain (NKN) และ MQTT protocol ในการสื่อสาร ➡️ มีคำสั่งหลากหลาย: อัปโหลดไฟล์, ขโมย token, DDoS, screenshot, code injection ✅ กลุ่มผู้โจมตี Larva-24010 ➡️ มีประวัติการโจมตี VPN provider ในเกาหลีใต้ตั้งแต่ปี 2023 ➡️ ใช้ Generative AI สร้างสคริปต์เพื่อเพิ่มความซับซ้อน ‼️ คำเตือนสำหรับผู้ใช้ VPN ⛔ หลีกเลี่ยงการดาวน์โหลดไฟล์ติดตั้งจากเว็บไซต์ที่ไม่น่าเชื่อถือ ⛔ ตรวจสอบลายเซ็นดิจิทัลของไฟล์ก่อนติดตั้ง ⛔ อัปเดตระบบรักษาความปลอดภัยและใช้เครื่องมือ EDR/AV ที่ทันสมัย https://securityonline.info/trojanized-vpn-installer-deploys-nknshell-backdoor-using-p2p-blockchain-and-mqtt-protocols-for-covert-c2/

🛡️ SonicWall ออกแพตช์แก้ช่องโหว่ร้ายแรง CVE-2025-40604 และ CVE-2025-40605 SonicWall ประกาศอัปเดตซอฟต์แวร์เพื่อแก้ไขช่องโหว่สองรายการในอุปกรณ์ Email Security ได้แก่ CVE-2025-40604 และ CVE-2025-40605 โดยช่องโหว่แรกมีความรุนแรงสูง (CVSS 7.2) เนื่องจากระบบโหลดไฟล์ root filesystem โดยไม่ตรวจสอบลายเซ็น ทำให้ผู้โจมตีสามารถฝังโค้ดอันตรายและคงอยู่ในระบบแม้รีบูตใหม่ ส่วนช่องโหว่ที่สองเป็นการโจมตีแบบ Path Traversal (CVSS 4.9) ที่เปิดโอกาสให้เข้าถึงไฟล์นอกเส้นทางที่กำหนดได้ นอกจาก Email Security แล้ว SonicWall ยังพบช่องโหว่ใน SonicOS SSLVPN (CVE-2025-40601) ซึ่งอาจทำให้ Firewall รุ่น Gen7 และ Gen8 ถูกโจมตีจนระบบล่มได้ทันที แม้ยังไม่มีรายงานการโจมตีจริง แต่บริษัทเตือนให้ผู้ใช้รีบอัปเดตเป็นเวอร์ชันล่าสุดเพื่อป้องกันความเสียหาย ในภาพรวมปี 2025 โลกไซเบอร์กำลังเผชิญภัยคุกคามที่ซับซ้อนมากขึ้น เช่น AI-driven phishing, deepfake social engineering และ ransomware ที่ถูกทำให้เป็นอุตสาหกรรมเต็มรูปแบบ การโจมตีเกิดขึ้นรวดเร็วขึ้นมาก โดยเฉลี่ยผู้โจมตีใช้เวลาเพียง 48 นาทีในการเคลื่อนย้ายภายในระบบหลังเจาะเข้ามาได้สำเร็จ ซึ่งเป็นความท้าทายใหญ่ของฝ่ายป้องกัน ดังนั้น การอัปเดตระบบและใช้แนวทาง Zero Trust พร้อม MFA ที่ต้านการฟิชชิ่ง จึงเป็นมาตรการสำคัญที่องค์กรต้องเร่งดำเนินการ เพื่อไม่ให้ตกเป็นเหยื่อของการโจมตีที่กำลังพัฒนาอย่างต่อเนื่อง 📌 สรุปสาระสำคัญ ✅ ช่องโหว่ใน SonicWall Email Security ➡️ CVE-2025-40604: โหลดไฟล์ระบบโดยไม่ตรวจสอบลายเซ็น → เสี่ยงโค้ดอันตรายถาวร ➡️ CVE-2025-40605: Path Traversal → เข้าถึงไฟล์นอกเส้นทางที่กำหนด ✅ ช่องโหว่ใน SonicOS SSLVPN ➡️ CVE-2025-40601: Buffer Overflow → Firewall Gen7/Gen8 อาจถูกโจมตีจนระบบล่ม ✅ แนวโน้มภัยไซเบอร์ปี 2025 ➡️ AI-driven phishing และ deepfake → เพิ่มความสมจริงในการหลอกลวง ➡️ Ransomware ถูกทำให้เป็นอุตสาหกรรม → การโจมตีมีความเป็นระบบมากขึ้น ‼️ คำเตือนสำหรับผู้ใช้งาน SonicWall ⛔ หากไม่อัปเดตทันที อาจถูกฝังโค้ดอันตรายที่คงอยู่แม้รีบูต ⛔ Firewall ที่ไม่ได้แพตช์เสี่ยงถูกโจมตีจนระบบล่ม ⛔ การโจมตีไซเบอร์สมัยใหม่เกิดขึ้นรวดเร็วเกินกว่าการป้องกันแบบเดิมจะรับมือได้ https://securityonline.info/sonicwall-patches-two-vulnerabilities-in-email-security-appliances-including-code-execution-flaw-cve-2025-40604/

📌📰🔵 รวมข่าวจากเวบ SecurityOnline 🔵📰📌 #รวมข่าวIT #20251121 #securityonline 🖥️ Chrome ทดลองฟีเจอร์ "Vertical Tabs" Google กำลังทดสอบฟีเจอร์ใหม่ใน Chrome Canary ที่ให้ผู้ใช้จัดเรียงแท็บในแนวตั้งทางด้านซ้ายของหน้าต่าง เหมือนกับที่ Microsoft Edge และ Firefox เคยมีมาแล้ว ฟีเจอร์นี้ยังอยู่ในช่วงเริ่มต้น ดูไม่ค่อยสมบูรณ์ แต่สามารถใช้งานได้ เช่น การค้นหาแท็บ การจัดกลุ่ม และการเปลี่ยนชื่อกลุ่ม คาดว่ากว่าจะถึงเวอร์ชันเสถียรอาจต้องใช้เวลาอีกหลายเดือน 🔗 https://securityonline.info/chrome-testing-vertical-tabs-new-ui-feature-spotted-in-canary-build 👥 OpenAI เปิดตัว Group Chat ใน ChatGPT ทั่วโลก OpenAI เพิ่มฟีเจอร์ใหม่ให้ ChatGPT คือการสร้างห้องแชทกลุ่มที่เชิญเพื่อนได้สูงสุด 20 คน ใช้ได้ทั้งผู้ใช้ฟรีและเสียเงิน จุดเด่นคือสามารถใช้ ChatGPT ร่วมกันในกลุ่มเพื่อวางแผน ทำโปรเจกต์ หรือถกเถียงเรื่องต่าง ๆ โดยระบบถูกออกแบบให้เข้าใจบริบทการสนทนาในกลุ่ม และยังสามารถใช้ @mention เพื่อเรียกให้ ChatGPT ตอบได้ ฟีเจอร์นี้ช่วยให้การใช้งาน AI มีความเป็นสังคมมากขึ้น 🔗 https://securityonline.info/openai-rolls-out-group-chat-globally-collaborate-with-up-to-20-people-in-chatgpt 🎨 Google เปิดตัว Nano Banana Pro รุ่นใหม่ Google เปิดตัวโมเดลสร้างภาพเวอร์ชันใหม่ชื่อ Nano Banana Pro ที่ทำงานบน Gemini 3 Pro จุดเด่นคือสามารถใส่ข้อความในภาพได้อย่างคมชัดและรองรับหลายภาษา รวมถึงมีเครื่องมือแก้ไขภาพ เช่น ปรับมุมกล้อง สี แสง และสามารถส่งออกภาพความละเอียดสูงถึง 4K อีกทั้งยังมีระบบตรวจสอบภาพที่สร้างด้วย AI โดยใส่วอเตอร์มาร์กเพื่อแยกจากภาพจริง 🔗 https://securityonline.info/googles-nano-banana-pro-model-solves-ai-image-text-rendering-with-gemini-3-pro 🔐 Salesforce รีบถอน Access Tokens หลังพบปัญหา Gainsight Salesforce ออกประกาศเตือนด้านความปลอดภัย หลังพบกิจกรรมผิดปกติในแอป Gainsight ที่เชื่อมต่อกับแพลตฟอร์มของตน อาจทำให้ข้อมูลลูกค้าบางส่วนถูกเข้าถึงโดยไม่ได้รับอนุญาต ทาง Salesforce จึงรีบเพิกถอน access tokens ทั้งหมดและถอดแอปออกจาก AppExchange ขณะนี้ Gainsight กำลังร่วมมือกับ Salesforce เพื่อหาสาเหตุและแก้ไขปัญหา 🔗 https://securityonline.info/salesforce-revokes-access-tokens-gainsight-app-breach-may-have-exposed-customer-data 📱 Trojan ใหม่ "Sturnus" โจมตี Android นักวิจัยพบมัลแวร์ใหม่ชื่อ Sturnus ที่อันตรายมาก เพราะสามารถเข้าควบคุมเครื่อง Android ได้เต็มรูปแบบ และยังสามารถดักข้อความจากแอปเข้ารหัสอย่าง WhatsApp, Telegram และ Signal โดยใช้ Accessibility Service เพื่อดูข้อความหลังจากถูกถอดรหัสแล้ว นอกจากนี้ยังสามารถทำการโจมตีแบบ Overlay หลอกให้ผู้ใช้กรอกข้อมูลธนาคาร และทำธุรกรรมลับ ๆ โดยปิดหน้าจอให้ผู้ใช้ไม่เห็น 🔗 https://securityonline.info/sturnus-trojan-bypasses-whatsapp-signal-encryption-takes-over-android-devices ⚠️ มัลแวร์ Sturnus Trojan โจมตี Android นักวิจัยด้านความปลอดภัยพบมัลแวร์ใหม่ชื่อ Sturnus Trojan ที่สามารถเจาะระบบ Android ได้อย่างรุนแรง โดยมันสามารถข้ามการเข้ารหัสของ WhatsApp และ Signal เพื่อดักจับข้อความ รวมถึงเข้าควบคุมเครื่องจากระยะไกลได้เต็มรูปแบบ จุดที่น่ากังวลคือมันใช้ Accessibility Service เพื่อหลอกผู้ใช้กรอกข้อมูลสำคัญ เช่น รหัสธนาคาร และยังสามารถทำธุรกรรมโดยที่ผู้ใช้ไม่รู้ตัว 🔗 https://securityonline.info/sturnus-trojan-bypasses-whatsapp-signal-encryption-takes-over-android-devices 🛡️ ช่องโหว่ WSUS RCE ถูกโจมตีจริง มีการรายงานว่า ช่องโหว่ WSUS RCE (CVE-2025-59287) ถูกใช้โจมตีจริงแล้ว โดยแฮกเกอร์ใช้ช่องโหว่นี้ในการติดตั้ง ShadowPad Backdoor ลงในระบบ ทำให้ผู้โจมตีสามารถเข้าถึงและควบคุมเซิร์ฟเวอร์ได้อย่างลับ ๆ ช่องโหว่นี้ถือว่าอันตรายมากเพราะ WSUS เป็นระบบที่ใช้กระจายอัปเดต Windows ในองค์กร หากถูกเจาะจะกระทบวงกว้าง 🔗 https://securityonline.info/critical-wsus-rce-cve-2025-59287-actively-exploited-to-deploy-shadowpad-backdoor 🔒 SonicWall เตือนช่องโหว่ SSLVPN ร้ายแรง SonicWall ออกประกาศเตือนเกี่ยวกับช่องโหว่ใหม่ใน SonicOS SSLVPN (CVE-2025-40601) ที่สามารถถูกโจมตีได้โดยไม่ต้องยืนยันตัวตน (Pre-Auth Buffer Overflow) ช่องโหว่นี้อาจเปิดทางให้ผู้โจมตีเข้าควบคุมระบบ VPN ได้ทันที ทำให้ข้อมูลและการเชื่อมต่อขององค์กรเสี่ยงต่อการถูกเจาะ 🔗 https://securityonline.info/sonicwall-warns-of-new-sonicos-sslvpn-pre-auth-buffer-overflow-vulnerability-cve-2025-40601 📊 Grafana อุดช่องโหว่ SCIM ระดับวิกฤติ Grafana ได้ปล่อยแพตช์แก้ไขช่องโหว่ SCIM (CVE-2025-41115) ที่มีคะแนนความรุนแรงสูงสุด CVSS 10 ช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีสามารถยกระดับสิทธิ์และสวมรอยเป็นผู้ใช้คนอื่นได้ ซึ่งถือว่าอันตรายมากสำหรับระบบที่ใช้ Grafana ในการจัดการข้อมูลและการแสดงผล 🔗 https://securityonline.info/grafana-patches-critical-scim-flaw-cve-2025-41115-cvss-10-allowing-privilege-escalation-and-user-impersonation 💰 NVIDIA ทำลายความกังวล "AI Bubble" ด้วยรายได้สถิติ NVIDIA ประกาศผลประกอบการล่าสุด ทำรายได้สูงถึง 57 พันล้านดอลลาร์ ซึ่งเป็นสถิติใหม่ ทำให้ความกังวลเรื่องฟองสบู่ AI ลดลงทันที รายได้มหาศาลนี้สะท้อนถึงความต้องการชิป GPU ที่ยังคงพุ่งสูงจากการใช้งานด้าน AI และ Data Center 🔗 https://securityonline.info/nvidia-crushes-ai-bubble-fears-with-record-57b-revenue 🎓 OpenAI เปิดตัว ChatGPT ฟรีสำหรับครู K–12 OpenAI ประกาศให้บริการ ChatGPT เวอร์ชันฟรีสำหรับครูระดับ K–12 โดยออกแบบให้สอดคล้องกับกฎหมาย FERPA เพื่อปกป้องข้อมูลนักเรียน ใช้ได้จนถึงปี 2027 จุดประสงค์คือช่วยครูในการเตรียมการสอน วางแผนบทเรียน และสร้างสื่อการเรียนรู้ โดยไม่ต้องเสียค่าใช้จ่าย 🔗 https://securityonline.info/openai-launches-free-ferpa-compliant-chatgpt-for-k-12-teachers-until-2027 🌍 Google Accelerator รายงานผลกระทบระดับโลก Google Accelerator เผยรายงานล่าสุดว่ามีการระดมทุนได้มากถึง 31.2 พันล้านดอลลาร์ เพื่อสนับสนุนโครงการนวัตกรรมทั่วโลก รายงานนี้ชี้ให้เห็นถึงผลกระทบเชิงบวกต่อสตาร์ทอัพและธุรกิจที่เข้าร่วม โดยช่วยสร้างงานและขยายโอกาสในหลายประเทศ 🔗 https://securityonline.info/31-2-billion-raised-google-accelerator-reveals-massive-global-impact-report 📧 Thunderbird 145 รองรับ Microsoft Exchange แบบเนทีฟ Thunderbird อัปเดตเวอร์ชันใหม่ Thunderbird 145 ที่เพิ่มการรองรับ Microsoft Exchange แบบเนทีฟ ทำให้ผู้ใช้สามารถย้ายจาก Outlook มาใช้งาน Thunderbird ได้ง่ายขึ้น โดยไม่ต้องใช้ปลั๊กอินเสริม ฟีเจอร์นี้ช่วยให้การจัดการอีเมลและปฏิทินสะดวกขึ้นสำหรับองค์กรที่ต้องการทางเลือกนอกเหนือจาก Outlook 🔗 https://securityonline.info/thunderbird-145-native-microsoft-exchange-support-makes-outlook-migration-easy 🇪🇺 EU เปิดการสอบสวน DMA ต่อ AWS และ Azure สหภาพยุโรป (EU) เริ่มสอบสวนภายใต้กฎหมาย Digital Markets Act (DMA) ว่า AWS และ Azure อาจเข้าข่ายเป็น “Gatekeeper” หรือไม่ หากพบว่ามีการผูกขาดหรือกีดกันการแข่งขัน อาจต้องมีมาตรการควบคุมเพิ่มเติม ซึ่งจะส่งผลต่อการดำเนินธุรกิจคลาวด์ในยุโรปอย่างมาก 🔗 https://securityonline.info/eu-launches-dma-probes-is-gatekeeper-status-next-for-aws-azure-cloud 🎓 Google ขยายสิทธิ์ AI Pro ฟรีสำหรับนักเรียน Google ประกาศขยายสิทธิ์การใช้งาน AI Pro Subscription ฟรีสำหรับนักเรียน ไปจนถึงปี 2027 เพื่อสนับสนุนการเรียนรู้และการเข้าถึงเครื่องมือ AI ขั้นสูง นักเรียนสามารถใช้ฟีเจอร์เต็มรูปแบบโดยไม่เสียค่าใช้จ่าย ถือเป็นการลงทุนเพื่ออนาคตด้านการศึกษาและเทคโนโลยี ​​​​​​​🔗 https://securityonline.info/google-extends-free-ai-pro-subscription-for-students-until-2027

📧 “จาก Hype สู่ความจริง: คำแนะนำถึงผู้ขายโซลูชันไซเบอร์” บทความ Selling to the CISO: An open letter to the cybersecurity industry โดย Tyler Farrar (CISO ของ Nextracker) วิจารณ์ว่าอุตสาหกรรมไซเบอร์เต็มไปด้วย “เสียงรบกวน” และการขายที่เน้นการตลาดมากกว่าการแก้ปัญหาจริง เขาเรียกร้องให้ผู้ขายกลับไปสู่พื้นฐานที่พิสูจน์แล้ว เช่น การจัดการแพตช์ การควบคุมสิทธิ์ และการแบ่งเครือข่าย 📢 อุตสาหกรรมไซเบอร์: เสียงดังแต่ไร้สาระ Tyler Farrar ระบุว่า ตลาดไซเบอร์เต็มไปด้วยผลิตภัณฑ์ที่สร้างขึ้นเพื่อการระดมทุนมากกว่าการใช้งานจริง หลายโซลูชันสัญญาว่าจะ “ปฏิวัติความปลอดภัย” แต่ไม่สามารถอธิบายได้ชัดเจนว่ากำลังแก้ปัญหาอะไร ผลลัพธ์คือ CISO ต้องเผชิญกับการนำเสนอที่ไม่ตอบโจทย์ ขณะที่ช่องโหว่พื้นฐานยังคงถูกละเลย ⚖️ บทบาทของ CISO: การเล่นเกมที่ไม่มีวันชนะ เขาเปรียบงานของ CISO ว่าเป็น เกมที่ไม่มีวันชนะ เพราะแม้จะปิดช่องโหว่ทั้งหมด ค่าใช้จ่ายก็สูงจนทำให้ธุรกิจหยุดชะงัก ดังนั้นหน้าที่ของ CISO ไม่ใช่การสร้างระบบที่ “ปลอดภัยสมบูรณ์” แต่คือการ หาสมดุลระหว่างความเสี่ยงและการดำเนินธุรกิจ โดยเลือกลงทุนในสิ่งที่ลดความเสี่ยงได้จริง เช่น การมองเห็นระบบ (visibility), การจัดการสิทธิ์ (identity), และการทำงานอัตโนมัติที่ช่วยทีมทำงานเร็วขึ้น 🔑 กลับสู่พื้นฐานที่พิสูจน์แล้ว Farrar ย้ำว่า องค์กรส่วนใหญ่ไม่ต้องการเครื่องมือใหม่ แต่ต้องการทำพื้นฐานให้ถูกต้อง เช่น: 🎗️ การแพตช์ระบบอย่างสม่ำเสมอ 🎗️ การควบคุมสิทธิ์การเข้าถึง 🎗️ การแบ่งเครือข่ายเพื่อป้องกันการเคลื่อนที่ด้านข้างของผู้โจมตี เขาเตือนว่าการละเลยพื้นฐานเพราะ “ไม่ตื่นเต้นพอสำหรับนักลงทุน” เป็นสาเหตุที่ทำให้ช่องโหว่เดิม ๆ ยังคงสร้างความเสียหายซ้ำแล้วซ้ำเล่า 📌 สรุปประเด็นสำคัญ ✅ ปัญหาในตลาดไซเบอร์ ➡️ ผลิตภัณฑ์จำนวนมากถูกสร้างเพื่อการตลาด ไม่ใช่การแก้ปัญหาจริง ➡️ CISO ต้องเผชิญกับการขายที่เต็มไปด้วย hype ✅ บทบาทของ CISO ➡️ ไม่ใช่การสร้างระบบที่ปลอดภัยสมบูรณ์ แต่คือการหาสมดุลระหว่างความเสี่ยงและธุรกิจ ➡️ ลงทุนใน visibility, identity, automation ที่ช่วยลดความเสี่ยงจริง ✅ พื้นฐานที่สำคัญ ➡️ การแพตช์ การควบคุมสิทธิ์ และการแบ่งเครือข่าย ➡️ สิ่งเหล่านี้ลดพื้นที่โจมตีได้มากกว่าซอฟต์แวร์ใหม่ ๆ ‼️ คำเตือนต่ออุตสาหกรรม ⛔ การไล่ตาม hype ทำให้ละเลยพื้นฐานที่พิสูจน์แล้ว ⛔ หากไม่เปลี่ยนแนวทาง การโจมตีเดิม ๆ จะยังคงสร้างความเสียหายต่อไป https://www.csoonline.com/article/4089738/selling-to-the-ciso-an-open-letter-to-the-cybersecurity-industry.html

🛡️ เบื้องหลังไฟร์วอลล์: ความท้าทายของผู้เชี่ยวชาญไซเบอร์ที่มีความพิการ บทความจาก CSO Online เปิดเผยเรื่องราวของผู้เชี่ยวชาญด้านไซเบอร์ที่มีความพิการหรือภาวะทางระบบประสาท (neurodivergent) ซึ่งยังคงเผชิญกับอคติและอุปสรรคในที่ทำงาน แม้ว่าอุตสาหกรรมจะพูดถึงความหลากหลายและการมีส่วนร่วมมากขึ้นก็ตาม 👩‍💻 เรื่องราวของ Daisy Wong Daisy Wong หัวหน้าฝ่าย Security Awareness ที่ Medibank เล่าว่าเมื่อเริ่มต้นในสายงาน เธอถูกตั้งคำถามเรื่องความสามารถทางกายภาพมากกว่าประสบการณ์จริง เช่น ผู้จัดการสนใจว่าเธอสามารถ “ชงชาแล้วเดินกลับโต๊ะได้หรือไม่” มากกว่าทักษะด้านไซเบอร์ ความไม่เข้าใจนี้ทำให้เธอต้องสร้าง personal brand เพื่อพิสูจน์ตัวเอง และปัจจุบันเธอกลายเป็นผู้นำที่ผลักดันการสร้างวัฒนธรรมการเข้าถึง (Accessibility) ในองค์กร 💉 ประสบการณ์ของ Jacob Griffiths Jacob Griffiths นักวิเคราะห์ความเสี่ยงไซเบอร์ที่ Procare Cyber ต้องจัดการกับโรคเบาหวานชนิดที่ 1 ซึ่งส่งผลต่อสมาธิและพลังงาน เขาเล่าว่าการทำงานในอุตสาหกรรมที่แข่งขันสูงทำให้การดูแลสุขภาพเป็นเรื่องยาก แต่โชคดีที่มีผู้จัดการที่เข้าใจและให้ความยืดหยุ่น อย่างไรก็ตาม เขาเตือนว่าระบบทุนนิยมยังคงกดดันให้คนทำงานต้องผลิตผลงานโดยไม่คำนึงถึงข้อจำกัดด้านสุขภาพ ⚡ จุดแข็งของ Angelina Liu Angelina Liu ผู้จัดการฝ่ายขายเชิงพาณิชย์ที่ SentinelOne พบว่า ADHD กลายเป็น “ซูเปอร์พาวเวอร์” ของเธอ เพราะช่วยให้คิดเร็ว มองเห็นรูปแบบที่คนอื่นอาจพลาด และปรับตัวได้ไวในสถานการณ์วิกฤติ แม้จะเคยเผชิญกับสภาพแวดล้อมการทำงานที่ไม่เป็นมิตร แต่เธอใช้ประสบการณ์นั้นมาเป็นแรงผลักดันในการสร้างพื้นที่ปลอดภัยทางจิตใจให้กับทีม และสนับสนุนการมีส่วนร่วมของผู้หญิงและผู้ที่มีความแตกต่างทางระบบประสาทในวงการไซเบอร์ 📌 สรุปประเด็นสำคัญ ✅ อุปสรรคที่พบในอุตสาหกรรมไซเบอร์ ➡️ ผู้เชี่ยวชาญที่มีความพิการยังถูกตั้งคำถามเรื่องความสามารถทางกายภาพมากกว่าทักษะจริง ➡️ การขาดความเข้าใจทำให้โอกาสความก้าวหน้าถูกจำกัด ✅ ตัวอย่างแรงบันดาลใจ ➡️ Daisy Wong ใช้ personal brand สร้างความน่าเชื่อถือและผลักดัน Accessibility ➡️ Jacob Griffiths แสดงให้เห็นความสำคัญของผู้จัดการที่มี empathy ➡️ Angelina Liu ใช้ ADHD เป็นจุดแข็งในการทำงานและสนับสนุนทีม ‼️ คำเตือนต่อองค์กร ⛔ หากไม่สร้างวัฒนธรรมที่ยืดหยุ่นและปลอดภัย อาจสูญเสียบุคลากรที่มีศักยภาพสูง ⛔ การละเลยความหลากหลายทำให้ทีมขาดมุมมองที่สำคัญต่อการแก้ปัญหาซับซ้อน https://www.csoonline.com/article/4089055/behind-the-firewall-the-hidden-struggles-of-cyber-professionals-with-a-disability.html

⚠️ ช่องโหว่ WSUS RCE ถูกใช้โจมตีเพื่อติดตั้ง ShadowPad นักวิจัยจาก AhnLab Security Intelligence Center (ASEC) รายงานว่าแฮกเกอร์ได้ใช้ช่องโหว่ Remote Code Execution (RCE) ใน WSUS เพื่อรันคำสั่ง PowerShell และติดตั้ง ShadowPad ซึ่งเป็นมัลแวร์ที่ถูกใช้ในหลายการโจมตีระดับชาติ ตั้งแต่ปี 2017 เป็นต้นมา หลังจากที่โค้ด PoC (Proof-of-Concept) ถูกเผยแพร่สาธารณะเมื่อวันที่ 22 ตุลาคม 2025 แฮกเกอร์ก็รีบปรับใช้เพื่อโจมตีทันที โดยเริ่มจากการใช้ PowerCat เพื่อเปิด shell ระดับ SYSTEM จากนั้นใช้เครื่องมือ Windows ที่ถูกต้อง เช่น curl.exe และ certutil.exe ในการดาวน์โหลดและถอดรหัสไฟล์มัลแวร์ ShadowPad ให้ทำงานบนเซิร์ฟเวอร์เป้าหมาย ShadowPad ไม่ได้ทำงานเป็นไฟล์เดี่ยว แต่จะซ่อนตัวอยู่หลังโปรแกรมที่ถูกต้อง โดยไฟล์ .tmp ที่ถูกถอดรหัสจะบรรจุข้อมูลการตั้งค่าและโมดูลการทำงานของ backdoor ทำให้ผู้โจมตีสามารถควบคุมระบบได้อย่างลึกซึ้งและยาวนาน 📌 สรุปสาระสำคัญ ✅ รายละเอียดช่องโหว่ CVE-2025-59287 ➡️ เป็น Remote Code Execution (RCE) ใน WSUS ➡️ คะแนน CVSS สูงมาก (Critical) ✅ วิธีการโจมตีที่พบ ➡️ ใช้ PowerCat เพื่อเปิด SYSTEM shell ➡️ ใช้ curl.exe และ certutil.exe เพื่อติดตั้ง ShadowPad ‼️ ความเสี่ยงต่อองค์กร ⛔ ผู้โจมตีสามารถควบคุม Windows Server ได้เต็มรูปแบบ ⛔ ShadowPad ถูกใช้ในหลายการโจมตีระดับชาติและการสอดแนม ‼️ ข้อควรระวังสำหรับผู้ดูแลระบบ ⛔ รีบอัปเดตแพตช์ล่าสุดจาก Microsoft ⛔ จำกัดการเข้าถึง WSUS เฉพาะจาก Microsoft Update เท่านั้น ⛔ บล็อกการเข้าถึง TCP 8530 และ 8531 จากแหล่งที่ไม่เกี่ยวข้อง ⛔ ตรวจสอบประวัติการรัน PowerShell, certutil.exe และ curl.exe https://securityonline.info/critical-wsus-rce-cve-2025-59287-actively-exploited-to-deploy-shadowpad-backdoor/

🔐 ข่าวใหญ่: SonicWall เตือนช่องโหว่ SSLVPN ใหม่ CVE-2025-40601 SonicWall ได้เผยแพร่คำเตือนด้านความปลอดภัยเกี่ยวกับช่องโหว่ Pre-authentication Stack-based Buffer Overflow ในบริการ SSLVPN ของ SonicOS โดยผู้โจมตีสามารถส่งคำสั่งที่ออกแบบมาเฉพาะเพื่อทำให้ไฟร์วอลล์ที่เปิดใช้งาน SSLVPN ล่มทันที (Denial of Service) โดยไม่จำเป็นต้องเข้าสู่ระบบหรือมีสิทธิ์ใด ๆ ช่องโหว่นี้ส่งผลกระทบต่อทั้ง Gen7 และ Gen8 Firewalls รวมถึงรุ่น Virtual (NSv) ที่ทำงานบน ESX, KVM, Hyper-V, AWS และ Azure โดยมีเวอร์ชันที่ได้รับผลกระทบ เช่น 7.3.0-7012 และเก่ากว่า (สำหรับ Gen7) และ 8.0.2-8011 และเก่ากว่า (สำหรับ Gen8) ขณะที่สาขา 7.0.1 ไม่ได้รับผลกระทบ เพื่อแก้ไขปัญหา SonicWall ได้ออกแพตช์สำหรับทุกแพลตฟอร์มที่ได้รับผลกระทบ พร้อมแนะนำวิธีการป้องกันชั่วคราว เช่น จำกัดการเข้าถึง SSLVPN เฉพาะจากแหล่งที่เชื่อถือได้ หรือ ปิดการใช้งาน SSLVPN จากอินเทอร์เน็ตที่ไม่ปลอดภัย โดยปรับแต่งกฎการเข้าถึงใน SonicOS การค้นพบนี้สะท้อนถึงความเสี่ยงที่องค์กรต้องเผชิญ เนื่องจาก SSLVPN เป็นช่องทางสำคัญในการเชื่อมต่อระยะไกล หากถูกโจมตีจนไฟร์วอลล์ล่ม อาจทำให้ธุรกิจหยุดชะงักและสูญเสียการเข้าถึงระบบเครือข่ายที่สำคัญ 📌 สรุปสาระสำคัญ ✅ รายละเอียดช่องโหว่ CVE-2025-40601 ➡️ เป็น Pre-authentication Buffer Overflow ใน SonicOS SSLVPN ➡️ คะแนน CVSS 7.5 (High Severity) ✅ ระบบที่ได้รับผลกระทบ ➡️ Gen7 Firewalls (TZ270, TZ370, TZ470, TZ570, TZ670, NSa series, NSsp series) ➡️ Gen8 Firewalls (TZ80–TZ680, NSa 2800–5800) ➡️ Gen7 Virtual Firewalls (NSv270, NSv470, NSv870 บน ESX, KVM, Hyper-V, AWS, Azure) ‼️ ความเสี่ยงต่อองค์กร ⛔ ผู้โจมตีสามารถทำให้ไฟร์วอลล์ล่มโดยไม่ต้องยืนยันตัวตน ⛔ อาจทำให้ธุรกิจหยุดชะงักและสูญเสียการเชื่อมต่อเครือข่ายสำคัญ ‼️ ข้อควรระวังและการป้องกัน ⛔ รีบอัปเดตแพตช์ที่ SonicWall ปล่อยออกมา ⛔ จำกัดการเข้าถึง SSLVPN เฉพาะจากแหล่งที่เชื่อถือได้ หรือปิดการใช้งานจากอินเทอร์เน็ตที่ไม่ปลอดภัย https://securityonline.info/sonicwall-warns-of-new-sonicos-sslvpn-pre-auth-buffer-overflow-vulnerability-cve-2025-40601/

⚠️ Grafana ออกแพตช์แก้ไขช่องโหว่ SCIM ร้ายแรง Grafana Enterprise ได้ออก การอัปเดตฉุกเฉิน เพื่อแก้ไขช่องโหว่ในระบบ SCIM (System for Cross-domain Identity Management) ที่ใช้สำหรับจัดการวงจรชีวิตผู้ใช้ในองค์กร ช่องโหว่นี้เกิดจากการที่ระบบอนุญาตให้ SCIM client ที่ถูกโจมตีสามารถส่งค่า externalId แบบตัวเลข ซึ่งไปแมปกับ internal user ID โดยตรง ทำให้สามารถสวมรอยเป็นบัญชีผู้ใช้ที่มีสิทธิ์สูง เช่น Admin ได้ ช่องโหว่นี้มีความร้ายแรงสูงสุดด้วยคะแนน CVSS 10.0 และส่งผลเฉพาะกับ Grafana Enterprise เวอร์ชัน 12.0.0 ถึง 12.2.1 ที่เปิดใช้งาน SCIM และตั้งค่า enableSCIM = true และ user_sync_enabled = true โดยผู้ใช้ Grafana OSS และ Grafana Cloud ไม่ได้รับผลกระทบ เพื่อแก้ไขปัญหา Grafana ได้ออกแพตช์ในเวอร์ชัน 12.3.0, 12.2.1, 12.1.3 และ 12.0.6 พร้อมแนะนำให้ผู้ดูแลระบบรีบอัปเดตทันที เนื่องจากการโจมตีสามารถทำได้ง่ายหากมีการเข้าถึง SCIM client ที่ถูกปรับแต่งหรือถูกบุกรุก การค้นพบนี้สะท้อนถึงความเสี่ยงของการใช้ระบบจัดการผู้ใช้แบบอัตโนมัติในองค์กร หากไม่มีการตรวจสอบอย่างเข้มงวด อาจเปิดช่องให้ผู้โจมตีเข้าถึงสิทธิ์ระดับสูงและควบคุมระบบได้ทั้งหมด 📌 สรุปสาระสำคัญ ✅ รายละเอียดช่องโหว่ CVE-2025-41115 ➡️ เกิดจากการแมป externalId แบบตัวเลขไปยัง internal user ID ➡️ อาจทำให้ผู้โจมตีสวมรอยเป็น Admin ได้ ✅ ระบบที่ได้รับผลกระทบ ➡️ Grafana Enterprise เวอร์ชัน 12.0.0 → 12.2.1 ➡️ ต้องเปิดใช้งาน SCIM และ user_sync_enabled ‼️ ความเสี่ยงร้ายแรง ⛔ คะแนน CVSS 10.0 สูงสุด ⛔ อาจนำไปสู่การยกระดับสิทธิ์และการสวมรอยผู้ใช้ ‼️ ข้อควรระวังสำหรับผู้ดูแลระบบ ⛔ รีบอัปเดตเป็นเวอร์ชันที่มีแพตช์ (12.3.0, 12.2.1, 12.1.3, 12.0.6) ⛔ ตรวจสอบการตั้งค่า SCIM และปิดใช้งานหากไม่จำเป็น https://securityonline.info/grafana-patches-critical-scim-flaw-cve-2025-41115-cvss-10-allowing-privilege-escalation-and-user-impersonation/

📧 Thunderbird 145 รองรับ Microsoft Exchange แบบ Native Mozilla Foundation เปิดตัว Thunderbird 145.0 โดยเพิ่มฟีเจอร์สำคัญคือการรองรับ Microsoft Exchange Web Services (EWS) แบบ Native ซึ่งก่อนหน้านี้ผู้ใช้ต้องพึ่งพา ปลั๊กอินเสริม หรือใช้โปรโตคอล IMAP/POP ที่มีข้อจำกัด ทำให้การใช้งานในองค์กรที่ใช้ Microsoft 365 หรือ Office 365 ไม่สะดวกนัก ด้วยการรองรับ Native Exchange ผู้ใช้สามารถ ซิงค์โฟลเดอร์, จัดการข้อความ, และไฟล์แนบได้โดยตรง ทั้งในเครื่องและบนเซิร์ฟเวอร์ โดยไม่ต้องติดตั้งปลั๊กอินเพิ่มเติม อีกทั้งยังรองรับการตรวจสอบสิทธิ์ด้วย OAuth2 ทำให้การเข้าสู่ระบบปลอดภัยและง่ายขึ้นมาก การเปลี่ยนแปลงนี้ถือเป็น ก้าวสำคัญสำหรับผู้ที่ต้องการย้ายจาก Outlook ไปใช้ Thunderbird เพราะระบบสามารถตรวจจับและตั้งค่าบัญชีอัตโนมัติ ลดขั้นตอนที่ซับซ้อนในการย้ายข้อมูลและตั้งค่าอีเมล Mozilla ยังเผยแผนในอนาคตว่าจะเพิ่มฟีเจอร์เสริม เช่น การซิงค์ปฏิทิน, การเชื่อมต่อสมุดที่อยู่, การกรองข้อความขั้นสูง และการรองรับ Microsoft Graph API เพื่อให้ Thunderbird กลายเป็นตัวเลือกที่แข็งแกร่งสำหรับผู้ใช้ในองค์กรที่ต้องการความยืดหยุ่นและความเป็น Open-source 📌 สรุปสาระสำคัญ ✅ ฟีเจอร์ใหม่ใน Thunderbird 145 ➡️ รองรับ Microsoft Exchange Web Services (EWS) แบบ Native ➡️ ซิงค์โฟลเดอร์, ข้อความ และไฟล์แนบได้โดยตรง ✅ ประโยชน์ต่อผู้ใช้ ➡️ ย้ายจาก Outlook ไป Thunderbird ได้ง่ายขึ้น ➡️ รองรับการตรวจสอบสิทธิ์ด้วย OAuth2 ปลอดภัยกว่าเดิม ‼️ ข้อจำกัดและความท้าทาย ⛔ ฟีเจอร์เสริม เช่น ปฏิทินและสมุดที่อยู่ ยังไม่พร้อมใช้งาน ⛔ การพัฒนา Microsoft Graph API ยังอยู่ระหว่างดำเนินการ ‼️ สิ่งที่ควรระวังสำหรับองค์กร ⛔ ต้องทดสอบการทำงานกับระบบ Exchange ที่ซับซ้อนก่อนใช้งานจริง ⛔ อาจมีการเปลี่ยนแปลงฟีเจอร์ในอนาคตที่กระทบการตั้งค่า https://securityonline.info/thunderbird-145-native-microsoft-exchange-support-makes-outlook-migration-easy/

🚀 Google Accelerator สร้างผลกระทบระดับโลก Google ได้เผยแพร่รายงานผลกระทบครั้งที่สองของโครงการ Google Accelerator ซึ่งเริ่มต้นตั้งแต่ปี 2016 โดยมุ่งสนับสนุนสตาร์ทอัพและองค์กรด้านสังคมทั่วโลก ผ่านการให้คำปรึกษา, การสนับสนุนทางเทคนิค และเครือข่ายผู้เชี่ยวชาญ ผลลัพธ์ที่ได้คือการระดมทุนรวมกว่า 31.2 พันล้านดอลลาร์ และการสร้างงานใหม่กว่า 109,000 ตำแหน่ง รายงานยังชี้ให้เห็นถึงความสำเร็จในแต่ละภูมิภาค เช่น เอเชีย ที่มีการระดมทุนสูงสุดกว่า 12.4 พันล้านดอลลาร์ จาก 318 บริษัท, ละตินอเมริกา ที่สร้างงานกว่า 44,600 ตำแหน่ง และมีสตาร์ทอัพระดับ Unicorn เกิดขึ้นถึง 9 ราย ขณะที่ สหรัฐฯ และแคนาดา มีการระดมทุนกว่า 1.8 พันล้านดอลลาร์ โดยใช้ประโยชน์จาก AI และเทคโนโลยีคลาวด์ของ Google นอกจากนี้ Google ยังเน้น 3 เสาหลักในการสนับสนุน ได้แก่ Deep-tech support (โซลูชัน AI และ Cloud เฉพาะด้าน), Infrastructure & mentorship (คำปรึกษาจากผู้เชี่ยวชาญของ Google), และ Equity-free support (การสนับสนุนโดยไม่ต้องแลกหุ้น) ซึ่งช่วยให้สตาร์ทอัพสามารถเติบโตได้โดยไม่เสียความเป็นเจ้าของ รายงานยังยกตัวอย่างโครงการที่สร้างผลกระทบจริง เช่น การใช้ Smart Sensors ในเอเชียเพื่อลดการใช้พลังงานกว่า 40% และการสร้าง แพลตฟอร์มสุขภาพบนมือถือในแอฟริกา ที่เข้าถึงผู้ใช้นับล้านคน สะท้อนถึงการนำเทคโนโลยีไปแก้ปัญหาสังคมและสิ่งแวดล้อมในระดับโลก 📌 สรุปสาระสำคัญ ✅ ผลลัพธ์จาก Google Accelerator ➡️ ระดมทุนรวมกว่า 31.2 พันล้านดอลลาร์ ➡️ สร้างงานใหม่กว่า 109,000 ตำแหน่ง ✅ ความสำเร็จในภูมิภาคต่าง ๆ ➡️ เอเชีย: 318 บริษัท ระดมทุนกว่า 12.4 พันล้านดอลลาร์ ➡️ ละตินอเมริกา: 9 Unicorn และงานกว่า 44,600 ตำแหน่ง ➡️ สหรัฐฯ/แคนาดา: 1.8 พันล้านดอลลาร์ และงานกว่า 8,200 ตำแหน่ง ‼️ความท้าทายและข้อควรระวัง ⛔ การพึ่งพาเทคโนโลยีจากบริษัทใหญ่ อาจทำให้สตาร์ทอัพขาดความเป็นอิสระ ⛔ ความเหลื่อมล้ำระหว่างภูมิภาคยังคงมีอยู่ โดยบางพื้นที่เข้าถึงทรัพยากรได้น้อยกว่า https://securityonline.info/31-2-billion-raised-google-accelerator-reveals-massive-global-impact-report/

📱 Sturnus Trojan มัลแวร์ที่ข้ามการเข้ารหัสและยึดครอง Android นักวิจัยจาก ThreatFabric รายงานการค้นพบมัลแวร์ Sturnus Trojan ซึ่งถูกออกแบบมาเพื่อโจมตีผู้ใช้ Android โดยเฉพาะ จุดเด่นของมันคือการใช้ Android Accessibility Service เพื่อดักจับข้อมูลบนหน้าจอหลังจากที่แอปแชทเข้ารหัสได้ทำการถอดรหัสข้อความแล้ว ทำให้ผู้โจมตีสามารถเห็นข้อความ, รายชื่อผู้ติดต่อ และเนื้อหาการสนทนาแบบเรียลไทม์ นอกจากการดักจับข้อความแล้ว Sturnus ยังมีความสามารถในการทำ Overlay Attack โดยสร้างหน้าจอปลอมเลียนแบบแอปธนาคารเพื่อหลอกให้ผู้ใช้กรอกข้อมูลเข้าสู่ระบบ จากนั้นข้อมูลเหล่านี้จะถูกส่งไปยังผู้โจมตีทันที นอกจากนี้ยังมีฟีเจอร์ Black Screen Overlay ที่สามารถปิดหน้าจอของเหยื่อไว้ชั่วคราวเพื่อซ่อนการทำธุรกรรมที่ผู้โจมตีกำลังดำเนินการอยู่เบื้องหลัง สิ่งที่ทำให้ Sturnus อันตรายยิ่งขึ้นคือมันสามารถทำ Device Takeover (DTO) ได้เต็มรูปแบบ ผู้โจมตีสามารถควบคุมอุปกรณ์จากระยะไกล ทั้งการคลิก, พิมพ์ข้อความ, และสั่งงานต่าง ๆ โดยใช้การสตรีมหน้าจอแบบ Pixel-based และ UI-tree control ที่ใช้แบนด์วิดท์ต่ำและไม่ถูกตรวจจับง่าย ๆ แม้จะยังอยู่ในช่วง Pre-deployment แต่ Sturnus ถูกออกแบบมาอย่างสมบูรณ์และมีความซับซ้อนมากกว่ามัลแวร์ตระกูลเดิม ๆ โดยเป้าหมายหลักคือสถาบันการเงินในยุโรปตอนใต้และตอนกลาง ซึ่งบ่งชี้ว่าอาจมีการขยายการโจมตีในวงกว้างในอนาคต 📌 สรุปสาระสำคัญ ✅ ความสามารถหลักของ Sturnus Trojan ➡️ ดักจับข้อความจาก WhatsApp, Telegram และ Signal หลังการถอดรหัส ➡️ ทำ Overlay Attack หลอกขโมยข้อมูลธนาคาร ➡️ ใช้ Black Screen Overlay เพื่อซ่อนธุรกรรมที่ผิดกฎหมาย ✅ การควบคุมอุปกรณ์เต็มรูปแบบ ➡️ ทำ Device Takeover (DTO) ได้ทั้งการคลิกและพิมพ์ข้อความ ➡️ ใช้ Pixel-based streaming และ UI-tree control เพื่อหลบเลี่ยงการตรวจจับ ‼️ ความเสี่ยงต่อผู้ใช้ Android ⛔ ข้อมูลการสนทนาและธุรกรรมทางการเงินถูกเปิดเผยต่อผู้โจมตี ⛔ การปิดกั้นการลบสิทธิ์ Device Administrator ทำให้กำจัดมัลแวร์ยากมาก ‼️ ข้อควรระวังในการใช้งาน ⛔ หลีกเลี่ยงการติดตั้งแอปจากแหล่งที่ไม่น่าเชื่อถือ ⛔ ตรวจสอบสิทธิ์การเข้าถึง Accessibility Service ของแอปที่ติดตั้ง https://securityonline.info/sturnus-trojan-bypasses-whatsapp-signal-encryption-takes-over-android-devices/

🛡️ สหรัฐฯ และพันธมิตรนานาชาติร่วมกันจัดการ Bulletproof Hosting Bulletproof Hosting (BPH) คือผู้ให้บริการโครงสร้างพื้นฐานอินเทอร์เน็ตที่ ตั้งใจเปิดพื้นที่ให้กลุ่มอาชญากรไซเบอร์เช่าใช้งาน โดยไม่สนใจคำร้องเรียนหรือคำสั่งจากหน่วยงานบังคับใช้กฎหมาย ทำให้แฮกเกอร์สามารถใช้เซิร์ฟเวอร์เหล่านี้ในการกระจายมัลแวร์, ควบคุม Command-and-Control (C2), ส่งอีเมล Phishing และแม้กระทั่งโฮสต์เนื้อหาผิดกฎหมายได้อย่างปลอดภัย คู่มือใหม่ที่ชื่อว่า “Bulletproof Defense: Mitigating Risks From Bulletproof Hosting Providers” ถือเป็นความร่วมมือครั้งใหญ่ที่สุดระหว่างหน่วยงานด้านความมั่นคงของสหรัฐฯ และพันธมิตรยุโรป-เอเชีย โดยมีการแนะนำวิธีการตรวจจับและปิดกั้นโครงสร้าง BPH เช่น การวิเคราะห์ทราฟฟิกที่ผิดปกติ, การสร้างรายการ IP/ASN ที่มีความเสี่ยงสูง และการแชร์ข้อมูลข่าวกรองระหว่างผู้ให้บริการอินเทอร์เน็ต (ISP) สิ่งที่น่ากังวลคือ BPH มักจะ แฝงตัวอยู่ในระบบคลาวด์ที่ถูกต้องตามกฎหมาย ทำให้การบล็อกแบบกว้าง ๆ อาจกระทบผู้ใช้งานทั่วไป คู่มือจึงเน้นการใช้ การกรองแบบแม่นยำ (Precision Filtering) เพื่อลดผลกระทบต่อผู้ใช้ที่ไม่เกี่ยวข้อง พร้อมทั้งแนะนำให้ ISP ใช้นโยบาย “Know Your Customer” เพื่อตรวจสอบข้อมูลลูกค้าอย่างเข้มงวดก่อนให้บริการ การเคลื่อนไหวครั้งนี้สะท้อนถึงความจริงที่ว่า โครงสร้างพื้นฐาน BPH คือหัวใจของอาชญากรรมไซเบอร์สมัยใหม่ หากสามารถลดพื้นที่ปลอดภัยของแฮกเกอร์ได้ ก็จะช่วยลดการโจมตีต่อระบบสำคัญ เช่น ธนาคาร, โรงพยาบาล และโครงสร้างพื้นฐานด้านพลังงาน 📌 สรุปสาระสำคัญ ✅ การเปิดตัวคู่มือ Bulletproof Defense ➡️ ร่วมมือระหว่าง CISA, FBI, NSA และพันธมิตรนานาชาติ ➡️ เน้นการตรวจจับและปิดกั้นโครงสร้าง BPH ✅ บทบาทของ ISP ➡️ ต้องสร้างรายการ IP/ASN ที่มีความเสี่ยงสูง ➡️ ใช้นโยบาย “Know Your Customer” เพื่อตรวจสอบลูกค้า ‼️ ความเสี่ยงจาก BPH ⛔ สนับสนุนการโจมตี Ransomware, Phishing และการกระจายมัลแวร์ ⛔ มักแฝงตัวอยู่ในระบบคลาวด์ที่ถูกต้อง ทำให้ยากต่อการบล็อก ‼️ ข้อควรระวังในการป้องกัน ⛔ การบล็อกแบบกว้างอาจกระทบผู้ใช้ทั่วไป ⛔ ต้องใช้การกรองแบบแม่นยำและแชร์ข้อมูลข่าวกรองอย่างต่อเนื่อง https://securityonline.info/cisa-fbi-nsa-unite-to-dismantle-bulletproof-hosting-ecosystem-with-new-global-defense-guide/

🛡️ ส่วนขยาย VPN ฟรีบน Chrome กลายเป็นมัลแวร์ดักข้อมูล นักวิจัยจาก LayerX Security เปิดเผยการรณรงค์ที่ดำเนินมากว่า 6 ปี โดยมีการปล่อยส่วนขยาย VPN และ Ad-blocker ปลอมใน Chrome Web Store ภายใต้ชื่อที่ดูน่าเชื่อถือ เช่น “VPN Professional – Free Secure and Unlimited VPN Proxy” และ “Free Unlimited VPN” ซึ่งถูกติดตั้งไปแล้วกว่า 9 ล้านครั้งทั่วโลก สิ่งที่ดูเหมือนเครื่องมือเพื่อความเป็นส่วนตัว กลับถูกออกแบบให้เป็น Browser Implant ที่สามารถควบคุมการท่องเว็บของผู้ใช้ได้ทั้งหมด ส่วนขยายเหล่านี้ใช้เทคนิค PAC Proxy Injection เพื่อบังคับให้ทราฟฟิกทั้งหมดวิ่งผ่านเซิร์ฟเวอร์ของผู้โจมตี ทำให้สามารถดักจับข้อมูลการเข้าชมเว็บไซต์, รายการส่วนขยายที่ติดตั้ง, และแม้กระทั่งแก้ไขประวัติการเข้าชมเพื่อปกปิดร่องรอย แม้ Google จะลบออกจาก Chrome Web Store หลายครั้ง แต่ผู้โจมตีก็กลับมาอีกด้วยเวอร์ชันใหม่ที่มีการปรับปรุงโค้ดให้สะอาดขึ้นและหลบเลี่ยงการตรวจสอบได้ดีกว่าเดิม ล่าสุดในเดือนกรกฎาคม 2025 ยังมีเวอร์ชันใหม่ที่ถูกอัปโหลดและมีผู้ใช้งานกว่า 31,000 ราย สิ่งที่น่ากังวลคือ ส่วนขยายเหล่านี้ไม่ได้จำกัดแค่ VPN เท่านั้น แต่ยังรวมถึง Ad-blocker และ Music Downloader ที่ใช้โค้ดอันตรายแบบเดียวกัน ทำให้ผู้ใช้ที่คิดว่ากำลังป้องกันตัวเอง กลับถูกเปิดช่องให้ถูกสอดแนมและควบคุมการใช้งานโดยไม่รู้ตัว 📌 สรุปสาระสำคัญ ✅ การค้นพบมัลแวร์ใน Chrome Extensions ➡️ ส่วนขยาย VPN และ Ad-blocker ปลอมถูกติดตั้งกว่า 9 ล้านครั้ง ➡️ ใช้เทคนิค PAC Proxy Injection เพื่อควบคุมทราฟฟิกทั้งหมด ✅ พฤติกรรมที่อันตราย ➡️ ดักจับข้อมูลการเข้าชมและส่วนขยายที่ติดตั้ง ➡️ แก้ไขประวัติการเข้าชมเพื่อปกปิดร่องรอย ‼️ ความเสี่ยงต่อผู้ใช้ ⛔ ข้อมูลส่วนตัวและกิจกรรมออนไลน์ถูกส่งไปยังเซิร์ฟเวอร์ของผู้โจมตี ⛔ ส่วนขยายยังสามารถปิดการทำงานของ Proxy หรือ Security Tools อื่น ๆ ‼️ ข้อควรระวังในการใช้งาน ⛔ อย่าติดตั้ง VPN หรือ Ad-blocker ที่ไม่น่าเชื่อถือ ⛔ ตรวจสอบสิทธิ์และรีวิวของส่วนขยายก่อนติดตั้งทุกครั้ง https://securityonline.info/9-million-installs-malicious-chrome-vpn-extensions-hijack-user-traffic-via-remote-pac-proxy-injection/

🌐 EU เปิดการสอบสวน AWS และ Azure ภายใต้ DMA คณะกรรมาธิการยุโรปประกาศเปิดการสอบสวน 3 กรณีเกี่ยวกับบริการคลาวด์ โดยหนึ่งในนั้นคือการตรวจสอบว่า Amazon AWS และ Microsoft Azure มีคุณสมบัติเป็น Gatekeeper ตามกฎหมาย DMA หรือไม่ แม้ปัจจุบันยังไม่เข้าเกณฑ์อย่างเป็นทางการ แต่ EU มองว่าทั้งสองแพลตฟอร์มมีบทบาทสำคัญในฐานะตัวกลางระหว่างธุรกิจและผู้บริโภค ซึ่งอาจมีอิทธิพลต่อการแข่งขันในตลาด การสอบสวนนี้สะท้อนถึงความกังวลว่า ผู้ให้บริการคลาวด์ในยุโรปยังตามหลังคู่แข่งจากสหรัฐฯ อย่างมาก หากไม่มีมาตรการควบคุม อาจกระทบต่อเป้าหมายด้าน Digital Sovereignty ของยุโรปที่ต้องการสร้างความเป็นอิสระทางเทคโนโลยีและลดการพึ่งพาบริษัทต่างชาติ นอกจากนี้ EU ยังตั้งคำถามว่า ข้อกำหนดใน DMA ที่มีอยู่เพียงพอหรือไม่ ในการจัดการกับพฤติกรรมที่อาจไม่เป็นธรรม เช่น การจำกัดการเข้าถึงข้อมูลลูกค้าองค์กร การบังคับใช้เงื่อนไขสัญญาที่ไม่สมดุล หรือการผูกบริการคลาวด์หลายรูปแบบเข้าด้วยกัน ซึ่งอาจทำให้ผู้ใช้ขาดทางเลือกที่แท้จริง หากผลการสอบสวนชี้ว่า AWS และ Azure มีคุณสมบัติเป็น Gatekeeper จริง จะทำให้บริการคลาวด์ถูกเพิ่มเข้าไปในรายการแพลตฟอร์มที่ต้องปฏิบัติตามข้อบังคับเข้มงวดของ DMA เช่นเดียวกับบริการอื่น ๆ ที่ Amazon และ Microsoft ถูกจัดเป็น Gatekeeper อยู่แล้ว 📌 สรุปสาระสำคัญ ✅ การสอบสวนใหม่ของ EU ➡️ ตรวจสอบ AWS และ Azure ว่ามีคุณสมบัติเป็น Gatekeeper หรือไม่ ➡️ ครอบคลุมประเด็นการแข่งขัน ความเป็นธรรม และการเข้าถึงข้อมูล ✅ ผลกระทบต่อยุโรป ➡️ ผู้ให้บริการคลาวด์ในยุโรปยังตามหลังคู่แข่งสหรัฐฯ ➡️ อาจกระทบต่อเป้าหมาย Digital Sovereignty ของยุโรป ‼️ ความเสี่ยงด้านการแข่งขัน ⛔ การผูกบริการคลาวด์หลายรูปแบบเข้าด้วยกัน ⛔ เงื่อนไขสัญญาที่ไม่สมดุลและจำกัดการเข้าถึงข้อมูลลูกค้า ‼️ ข้อควรระวังในอนาคต ⛔ หากถูกจัดเป็น Gatekeeper จะต้องปฏิบัติตามข้อบังคับ DMA ที่เข้มงวด ⛔ อาจส่งผลต่อราคาบริการและทางเลือกของผู้ใช้ในยุโรป https://securityonline.info/eu-launches-dma-probes-is-gatekeeper-status-next-for-aws-azure-cloud/