📌📰🟠 รวมข่าวจากเวบ SecurityOnline 🟠📰📌 #รวมข่าวIT #20251120 #securityonline 🕵️‍♂️ Lazarus Group เปิดตัว RAT ใหม่ชื่อ ScoringMathTea กลุ่มแฮกเกอร์ Lazarus จากเกาหลีเหนือถูกเปิดโปงว่าได้พัฒนาเครื่องมือสอดแนมใหม่ชื่อ ScoringMathTea RAT ซึ่งมีความสามารถซับซ้อนมาก ใช้เทคนิคการโหลดปลั๊กอินแบบสะท้อน (Reflective Plugin Loader) และเข้ารหัสด้วยวิธีเฉพาะที่ยากต่อการตรวจจับ เครื่องมือนี้สามารถควบคุมเครื่องเป้าหมายจากระยะไกลได้เต็มรูปแบบ ทั้งการรันคำสั่งและโหลดปลั๊กอินในหน่วยความจำ จุดเด่นคือการซ่อนร่องรอยการสื่อสารกับเซิร์ฟเวอร์ควบคุม (C2) ทำให้ยากต่อการตรวจสอบ นักวิจัยพบว่า RAT นี้ถูกใช้ในปฏิบัติการโจมตีบริษัทที่เกี่ยวข้องกับเทคโนโลยี UAV ของยูเครน 🔗 https://securityonline.info/lazarus-groups-new-scoringmathtea-rat-uses-reflective-plugin-loader-and-custom-polyalphabetic-crypto-for-espionage 💻 Akira Ransomware ใช้ CAPTCHA หลอกลวงจนบริษัทใหญ่ล่มใน 42 วัน มีรายงานว่าเพียงการคลิก CAPTCHA ปลอมครั้งเดียวของพนักงานบริษัทด้านโครงสร้างพื้นฐาน ทำให้เกิดการโจมตีที่ยืดเยื้อถึง 42 วัน กลุ่มแฮกเกอร์ Howling Scorpius ใช้เทคนิคนี้เพื่อติดตั้ง SectopRAT และค่อย ๆ ยึดระบบทีละขั้น จนสามารถลบข้อมูลสำรองบนคลาวด์และปล่อย Akira ransomware ทำให้บริษัทหยุดทำงานเกือบทั้งหมด แม้บริษัทจะมีระบบ EDR แต่กลับไม่สามารถตรวจจับได้ทันเวลา 🔗 https://securityonline.info/one-click-42-days-akira-ransomware-used-captcha-decoy-to-destroy-cloud-backups-and-cripple-storage-firm 🎩 “The Gentlemen” Ransomware RaaS โผล่ใหม่ โจมตี 48 เหยื่อใน 3 เดือน กลุ่มใหม่ชื่อ The Gentlemen เปิดตัวแพลตฟอร์ม Ransomware-as-a-Service (RaaS) ที่มีความซับซ้อนสูง ใช้การเข้ารหัสแบบ XChaCha20 และกลยุทธ์ “สองชั้น” คือทั้งเข้ารหัสไฟล์และขู่เปิดเผยข้อมูลที่ขโมยมา ภายในเวลาเพียง 3 เดือน พวกเขามีเหยื่อถึง 48 ราย จุดเด่นคือการพัฒนาอย่างรวดเร็ว รองรับทั้ง Windows, Linux และ ESXi พร้อมเทคนิคการแพร่กระจายที่มีประสิทธิภาพ ทำให้ถูกจับตามองว่าอาจกลายเป็นภัยคุกคามระดับท็อปในวงการ 🔗 https://securityonline.info/sophisticated-the-gentlemen-ransomware-raas-emerges-with-xchacha20-encryption-and-48-victims-in-3-months ☁️ มัลแวร์ยุคใหม่ซ่อนการสื่อสารเป็น API ของ LLM บน Tencent Cloud นักวิจัยจาก Akamai พบมัลแวร์ที่มีวิธีพรางตัวแปลกใหม่ โดยมันซ่อนการสื่อสารกับเซิร์ฟเวอร์ควบคุม (C2) ให้ดูเหมือนการเรียกใช้งาน API ของ Large Language Model (LLM) บน Tencent Cloud ทำให้การตรวจจับยากขึ้นมาก เพราะทราฟฟิกดูเหมือนการใช้งาน AI ปกติจริง ๆ เมื่อถอดรหัสแล้วพบว่าเป็นคำสั่งควบคุมเครื่องแบบ RAT เต็มรูปแบบ พร้อมเครื่องมือ Proxy ที่ช่วยให้แฮกเกอร์ใช้เครื่องเหยื่อเป็นจุดผ่านในการโจมตีต่อ 🔗 https://securityonline.info/next-gen-stealth-malware-hides-c2-traffic-as-fake-llm-api-requests-on-tencent-cloud 🗄️ Ransomware เจาะ AWS S3 ผ่านการตั้งค่าผิดพลาด ทำลบข้อมูลถาวร รายงานจาก Trend Research เตือนว่ามีการพัฒนา ransomware รุ่นใหม่ที่มุ่งเป้าไปยัง Amazon S3 โดยอาศัยการตั้งค่าที่ผิดพลาด เช่น ไม่มีการเปิด versioning หรือ object lock ทำให้แฮกเกอร์สามารถเข้ารหัสหรือลบข้อมูลได้แบบถาวรโดยไม่สามารถกู้คืนได้ มีการระบุถึง 5 วิธีการโจมตีที่อันตราย เช่น การลบ KMS key ที่ใช้เข้ารหัสไฟล์ ซึ่งจะทำให้ข้อมูลสูญหายไปตลอดกาล 🔗 https://securityonline.info/next-gen-ransomware-targets-aws-s3-five-cloud-native-variants-exploit-misconfigurations-for-irreversible-data-destruction 💻 Windows 11 เตรียมซ่อนหน้าจอ BSOD บนจอสาธารณะ Microsoft ประกาศว่าจะปรับปรุง Windows 11 โดย ซ่อนหน้าจอ Blue Screen of Death (BSOD) บนจอที่ใช้ในที่สาธารณะ เช่นสนามบินหรือห้างสรรพสินค้า เพื่อไม่ให้ผู้ใช้ทั่วไปเห็นภาพระบบล่มที่อาจสร้างความตื่นตระหนก การเปลี่ยนแปลงนี้ช่วยให้ประสบการณ์ใช้งานดูเป็นมืออาชีพมากขึ้น โดยยังคงบันทึกข้อมูลการ crash ไว้ให้ผู้ดูแลระบบตรวจสอบได้ตามปกติ 🔗 https://securityonline.info/no-more-public-bsods-windows-11-will-hide-crash-screens-on-public-displays 🛡️ Microsoft เตรียมยกเลิกสิทธิ์ OEM Driver ระดับ Kernel หลังเหตุการณ์ CrowdStrike ที่ทำให้ระบบล่มทั่วโลก Microsoft วางแผนจะ ยกเลิกสิทธิ์พิเศษของ OEM driver ที่ทำงานในระดับ Kernel เพื่อลดความเสี่ยงจากการที่ผู้ผลิตฮาร์ดแวร์ใช้สิทธิ์สูงเกินไป การเปลี่ยนแปลงนี้จะช่วยเพิ่มความปลอดภัยของระบบ Windows โดยบังคับให้ผู้ผลิตใช้วิธีที่ปลอดภัยกว่าในการเชื่อมต่อกับระบบปฏิบัติการ 🔗 https://securityonline.info/post-crowdstrike-microsoft-to-phase-out-oem-kernel-level-driver-privileges 🌐 Seraphic เปิดตัว Browser Security สำหรับแอป Electron บริษัท Seraphic เปิดตัวโซลูชันใหม่ที่เป็น Secure Enterprise Browser ตัวแรกที่สามารถปกป้องแอปพลิเคชันที่สร้างบน Electron ได้ จุดเด่นคือการเพิ่มชั้นความปลอดภัยให้กับแอปที่มักถูกใช้ในองค์กร เช่น Slack หรือ Teams ซึ่งเดิมที Electron มีช่องโหว่ด้านความปลอดภัยอยู่บ่อยครั้ง การแก้ปัญหานี้ช่วยให้องค์กรมั่นใจมากขึ้นในการใช้งานแอป Electron 🔗 https://securityonline.info/seraphic-becomes-the-first-and-only-secure-enterprise-browser-solution-to-protect-electron-based-applications 🔒 Comet Browser ถูกวิจารณ์หนัก หลังพบ API ลับ MCP มีการค้นพบว่า Comet Browser มี API ที่ชื่อ MCP ซึ่งเปิดช่องให้ผู้พัฒนา AI browser สามารถเข้าถึงและควบคุมอุปกรณ์ของผู้ใช้ได้เต็มรูปแบบโดยไม่แจ้งเตือน ทำให้เกิดการละเมิดความเชื่อมั่นของผู้ใช้ นักวิจัยเตือนว่าช่องโหว่นี้อาจถูกใช้เพื่อควบคุมเครื่องจากระยะไกลโดยไม่ได้รับอนุญาต 🔗 https://securityonline.info/obscure-mcp-api-in-comet-browser-breaches-user-trust-enabling-full-device-control-via-ai-browsers 📜 CredShields จับมือ Checkmarx เสริมความปลอดภัย Smart Contract บริษัท CredShields ประกาศความร่วมมือกับ Checkmarx เพื่อนำเทคโนโลยีตรวจสอบความปลอดภัยของ Smart Contract เข้าสู่โปรแกรม AppSec ขององค์กร จุดมุ่งหมายคือช่วยให้องค์กรที่ใช้ blockchain และ smart contract สามารถตรวจสอบช่องโหว่ได้อย่างเป็นระบบ ลดความเสี่ยงจากการโจมตีที่อาจทำให้สูญเสียทรัพย์สินดิจิทัล 🔗 https://securityonline.info/credshields-joins-forces-with-checkmarx-to-bring-smart-contract-security-to-enterprise-appsec-programs 🛠️ Windows 11 เพิ่มเครื่องมือใหม่ Point-in-Time Restore Microsoft เปิดตัวฟีเจอร์ใหม่ใน Windows 11 ได้แก่ Point-in-Time Restore และ Network-Enabled Recovery Environment เพื่อช่วยผู้ใช้กู้คืนระบบได้ง่ายขึ้น ฟีเจอร์นี้ทำให้สามารถย้อนกลับไปยังสถานะก่อนหน้าที่กำหนดไว้ได้ทันที และยังรองรับการกู้คืนผ่านเครือข่าย ช่วยให้ผู้ดูแลระบบสามารถซ่อมแซมเครื่องจากระยะไกลได้สะดวกขึ้น 🔗 https://securityonline.info/new-windows-11-tools-point-in-time-restore-network-enabled-recovery-environment 💰 ความกังวลฟองสบู่ AI: Microsoft & NVIDIA ลงทุนหนักใน Anthropic มีรายงานว่าทั้ง Microsoft และ NVIDIA ลงทุนหลายพันล้านดอลลาร์ในบริษัท AI อย่าง Anthropic จนเกิดความกังวลว่าการลงทุนแบบหมุนเวียนระหว่างบริษัทใหญ่ ๆ อาจสร้าง “ฟองสบู่ AI” ที่ไม่ยั่งยืน การทุ่มเงินจำนวนมหาศาลนี้ถูกมองว่าอาจทำให้ตลาด AI เติบโตเกินจริงและเสี่ยงต่อการแตกในอนาคต 🔗 https://securityonline.info/ai-bubble-fear-microsoft-nvidia-pour-billions-into-anthropic-fueling-circular-investment 🇺🇸 Google ทุ่ม 78 พันล้านดอลลาร์สร้างโครงสร้างพื้นฐาน AI ในสหรัฐฯ Google ประกาศโครงการ Investing in America 2025 ด้วยงบประมาณมหาศาลถึง 78 พันล้านดอลลาร์ เพื่อสร้างศูนย์ข้อมูล AI และโครงสร้างพื้นฐานทั่วสหรัฐฯ รวมถึงการลงทุนในพลังงานแสงอาทิตย์ 600 MW ที่ Arkansas โครงการนี้สะท้อนถึงการเร่งขยายกำลังการผลิต AI และการสนับสนุนเศรษฐกิจในประเทศ 🔗 https://securityonline.info/google-pledges-78-billion-for-investing-in-america-2025-ai-infrastructure 🧠 Grok 4.1 แซง Google Gemini 2.5 Pro บน LMArena แพลตฟอร์มทดสอบ AI LMArena รายงานว่า Grok 4.1 Thinking ได้คะแนนสูงสุด แซงหน้า Google Gemini 2.5 Pro ในการจัดอันดับล่าสุด จุดเด่นของ Grok คือความสามารถในการใช้เหตุผลเชิงลึกและการตอบสนองที่แม่นยำ ทำให้มันถูกจับตามองว่าอาจเป็นคู่แข่งสำคัญในตลาดโมเดล AI ระดับสูง 🔗 https://securityonline.info/grok-4-1-thinking-steals-1-spot-on-lmarena-surpassing-google-gemini-2-5-pro 🎨 Google เปิดตัว Canvas และ Agentic Booking ใน AI Mode Google อัปเกรด AI Mode โดยเพิ่มฟีเจอร์ Canvas สำหรับการวางแผน และ Agentic Booking สำหรับการจองที่พักหรือร้านอาหารแบบอัตโนมัติ ฟีเจอร์เหล่านี้ช่วยให้ผู้ใช้สามารถใช้ AI ในการจัดการงานประจำวันได้สะดวกขึ้น เช่น วางแผนทริปหรือจองโต๊ะอาหารโดยไม่ต้องทำเอง 🔗 https://securityonline.info/ai-mode-upgraded-google-launches-canvas-for-planning-and-agentic-booking-for-reservations 📡 เราเตอร์ D-Link DIR-878 หมดอายุการสนับสนุน พร้อมช่องโหว่ RCE ร้ายแรง D-Link ประกาศว่าเราเตอร์รุ่น DIR-878 เข้าสู่สถานะ End-of-Life (EOL) และจะไม่ได้รับการอัปเดตอีกต่อไป ทั้งที่ยังมีช่องโหว่ร้ายแรงถึง 3 จุดซึ่งเปิดโอกาสให้ผู้โจมตีสามารถรันคำสั่งจากระยะไกลได้โดยไม่ต้องยืนยันตัวตน ทำให้ผู้ใช้ที่ยังใช้อุปกรณ์รุ่นนี้เสี่ยงต่อการถูกยึดระบบอย่างมาก 🔗 https://securityonline.info/d-link-dir-878-reaches-eol-3-unpatched-rce-flaws-allow-unauthenticated-remote-command-execution ⚙️ ช่องโหว่ร้ายแรงใน METZ CONNECT Controller เปิดทาง RCE และยึดระบบ มีการค้นพบช่องโหว่ในอุปกรณ์ควบคุมอุตสาหกรรมของ METZ CONNECT ที่มีคะแนน CVSS สูงถึง 9.8 ช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีสามารถรันคำสั่งจากระยะไกลและเข้ายึดสิทธิ์ผู้ดูแลระบบได้โดยไม่ต้องยืนยันตัวตน ถือเป็นภัยคุกคามต่อระบบควบคุมอุตสาหกรรมที่ใช้กันในโรงงานและโครงสร้างพื้นฐานสำคัญ 🔗 https://securityonline.info/critical-metz-connect-flaws-cvss-9-8-allow-unauthenticated-rce-and-admin-takeover-on-industrial-controllers 🖥️ SolarWinds Serv-U พบช่องโหว่ใหม่ เปิดทาง RCE และ Path Bypass นักวิจัยด้านความปลอดภัยรายงานช่องโหว่ร้ายแรงใน SolarWinds Serv-U ที่ทำให้ผู้โจมตีที่มีสิทธิ์ผู้ดูแลระบบสามารถรันคำสั่งจากระยะไกลและเลี่ยงการตรวจสอบเส้นทางไฟล์ได้ ช่องโหว่นี้มีคะแนน CVSS 9.1 และถูกจัดว่าเป็นภัยคุกคามระดับสูงต่อองค์กรที่ใช้ Serv-U ในการจัดการไฟล์และระบบเครือข่าย 🔗 https://securityonline.info/critical-solarwinds-serv-u-flaws-cvss-9-1-allow-authenticated-admin-rce-and-path-bypass 🪙 การโจมตีซัพพลายเชน npm ด้วย CAPTCHA ปลอมและ Adspect Cloaking มีการตรวจพบการโจมตีซัพพลายเชนใน npm โดยแฮกเกอร์ใช้เทคนิค Adspect Cloaking และ CAPTCHA ปลอมที่เกี่ยวข้องกับคริปโตเพื่อหลอกนักพัฒนาและผู้ใช้ให้ดาวน์โหลดแพ็กเกจอันตราย การโจมตีนี้ทำให้ทั้งผู้ใช้ทั่วไปและนักวิจัยด้านความปลอดภัยถูกหลอกได้ง่ายขึ้น และเป็นสัญญาณเตือนถึงความเสี่ยงในระบบซัพพลายเชนโอเพนซอร์ส 🔗 https://securityonline.info/npm-supply-chain-attack-hackers-use-adspect-cloaking-and-fake-crypto-captcha-to-deceive-victims-and-researchers 🖥️ ASUSTOR พบช่องโหว่ DLL Hijacking ร้ายแรง (CVE-2025-13051) ASUSTOR ออกประกาศเตือนถึงช่องโหว่ DLL hijacking ในซอฟต์แวร์ Backup Plan (ABP) และ EZSync (AES) บน Windows ที่เปิดโอกาสให้ผู้โจมตีในเครื่องสามารถแทนที่ DLL และรันโค้ดด้วยสิทธิ์ SYSTEM ได้ ช่องโหว่นี้มีคะแนน CVSS 9.3 และถูกจัดว่าเป็นภัยร้ายแรงต่อทั้งผู้ใช้บ้านและองค์กร โดยมีการออกแพตช์แก้ไขแล้วในเวอร์ชันใหม่ 🔗 https://securityonline.info/critical-asustor-flaw-cve-2025-13051-allows-local-dll-hijacking-for-system-privilege-escalation ⚠️ ช่องโหว่ joserfc (CVE-2025-65015) ทำให้เซิร์ฟเวอร์ล่มด้วย JWT ขนาดใหญ่ มีการค้นพบช่องโหว่ร้ายแรงในไลบรารี joserfc ที่เกี่ยวข้องกับการจัดการ JSON Web Token (JWT) โดยหากผู้โจมตีส่ง JWT ที่มีขนาดใหญ่ผิดปกติ จะทำให้เซิร์ฟเวอร์ใช้ทรัพยากรมากเกินไปจนล่มได้ ช่องโหว่นี้ถูกจัดว่าเป็นการโจมตีแบบ Denial of Service (DoS) และมีผลกระทบต่อระบบที่ใช้ joserfc ในการตรวจสอบสิทธิ์หรือการเข้ารหัสข้อมูล 🔗 https://securityonline.info/critical-cve-2025-65015-vulnerability-in-joserfc-could-let-attackers-exhaust-server-resources-via-oversized-jwt-tokens 🌍 หน่วยงาน CISA/FBI/NSA ร่วมกันจัดการโครงสร้าง Bulletproof Hosting สามหน่วยงานด้านความมั่นคงของสหรัฐฯ ได้แก่ CISA, FBI และ NSA ได้ร่วมมือกันออกคู่มือใหม่เพื่อจัดการกับโครงสร้าง Bulletproof Hosting ที่ถูกใช้โดยอาชญากรไซเบอร์ทั่วโลก Bulletproof Hosting คือบริการโฮสติ้งที่ออกแบบมาเพื่อปกป้องผู้โจมตีจากการถูกปิดกั้นหรือสืบสวน การร่วมมือครั้งนี้ถือเป็นก้าวสำคัญในการสร้างแนวทางป้องกันภัยไซเบอร์ระดับโลก 🔗 https://securityonline.info/cisa-fbi-nsa-unite-to-dismantle-bulletproof-hosting-ecosystem-with-new-global-defense-guide

🖥️ ช่องโหว่ DLL Hijacking ใน ASUSTOR ASUSTOR ออกประกาศเตือนว่าซอฟต์แวร์ ABP เวอร์ชัน ≤ 2.0.7.9050 และ AES เวอร์ชัน ≤ 1.0.6.8290 มีช่องโหว่ที่ทำให้ผู้โจมตีสามารถวาง DLL ปลอมในไดเรกทอรีที่ผู้ใช้ทั่วไปสามารถเขียนได้ เมื่อบริการถูกรีสตาร์ท DLL ปลอมจะถูกโหลดและรันด้วยสิทธิ์ LocalSystem ส่งผลให้ผู้โจมตีสามารถเข้าควบคุมเครื่องได้เต็มรูปแบบ ⚠️ ความเสี่ยงที่เกิดขึ้น ช่องโหว่นี้จัดอยู่ในระดับ Important Severity เนื่องจากการโจมตีสามารถทำได้ง่ายหากผู้โจมตีมีสิทธิ์เข้าถึงเครื่องในระดับผู้ใช้ทั่วไป การโจมตีลักษณะนี้อาจถูกใช้เพื่อ ยกระดับสิทธิ์ (Privilege Escalation) และเปิดทางให้มัลแวร์หรือแฮกเกอร์เข้าควบคุมระบบโดยสมบูรณ์ 🔒 การแก้ไขและแพตช์ ASUSTOR ได้ออกแพตช์แก้ไขแล้ว โดยแนะนำให้ผู้ใช้รีบอัปเดตเป็นเวอร์ชันล่าสุด: 🎗️ ABP (Backup Plan) → 2.0.7.10171 หรือใหม่กว่า 🎗️ AES (EZSync) → 1.1.0.10312 หรือใหม่กว่า 🔮 แนวโน้มและคำแนะนำ DLL Hijacking เป็นเทคนิคที่พบได้บ่อยใน Windows และมักถูกใช้ในการโจมตีจริง ผู้เชี่ยวชาญแนะนำให้ผู้ใช้ อัปเดตซอฟต์แวร์ทันที และตรวจสอบสิทธิ์การเขียนไฟล์ในไดเรกทอรีที่สำคัญ เพื่อป้องกันไม่ให้ผู้โจมตีสามารถวาง DLL ปลอมได้ 📌 สรุปสาระสำคัญ ✅ ข้อมูลจากข่าว ➡️ ช่องโหว่ CVE-2025-13051 พบใน ABP ≤ 2.0.7.9050 และ AES ≤ 1.0.6.8290 ➡️ ช่องโหว่เกิดจาก DLL Hijacking ทำให้ผู้โจมตีสามารถรันโค้ดด้วยสิทธิ์ LocalSystem ➡️ ASUSTOR ออกแพตช์แก้ไขใน ABP ≥ 2.0.7.10171 และ AES ≥ 1.1.0.10312 ‼️ คำเตือนจากข่าว ⛔ หากไม่อัปเดตแพตช์ ผู้ใช้เสี่ยงต่อการถูกโจมตีและเข้าควบคุมเครื่องได้เต็มรูปแบบ ⛔ DLL Hijacking เป็นเทคนิคที่ทำได้ง่ายหากผู้โจมตีมีสิทธิ์เข้าถึงเครื่อง https://securityonline.info/critical-asustor-flaw-cve-2025-13051-allows-local-dll-hijacking-for-system-privilege-escalation/

🛡️ ช่องโหว่ RCE ใน Apache Causeway Apache Causeway ซึ่งเป็นเฟรมเวิร์กสำหรับการพัฒนาแอปพลิเคชันเชิงโดเมนด้วย Java ถูกพบช่องโหว่ร้ายแรง CVE-2025-64408 ที่อนุญาตให้ผู้โจมตีที่ล็อกอินแล้วสามารถส่ง payload ผ่าน URL parameters เพื่อให้ระบบทำการ deserialize ข้อมูลที่ควบคุมได้ และนำไปสู่การรันโค้ดอันตรายบนเซิร์ฟเวอร์ ⚙️ รายละเอียดช่องโหว่ ช่องโหว่นี้เกิดขึ้นในฟีเจอร์ ViewModel ของ Causeway ซึ่งใช้ในการสร้าง web interface และ REST API แบบไดนามิก โดยผู้โจมตีสามารถฝัง object ที่มีโค้ดอันตรายลงใน serialized data และเมื่อระบบทำการ deserialize จะทำให้โค้ดนั้นถูกรันในสิทธิ์ของแอปพลิเคชันทันที ส่งผลให้เกิด Remote Code Execution (RCE) 🔒 การแก้ไขและแพตช์ ทีม Apache Causeway ได้ออกเวอร์ชัน 3.5.0 เพื่อแก้ไขปัญหานี้ โดยแนะนำให้ผู้ใช้ที่ยังอยู่ในเวอร์ชัน 2.0.0 ถึง 3.4.0 และ 4.0.0-M1 รีบอัปเดตทันที เนื่องจากช่องโหว่นี้ถูกจัดอยู่ในระดับ Critical Severity และอาจถูกนำไปใช้โจมตีในระบบ production ได้ 🔮 แนวโน้มและคำแนะนำ การโจมตีแบบ Java Deserialization เป็นหนึ่งในช่องโหว่ที่พบได้บ่อยในเฟรมเวิร์ก Java หลายตัว และมักถูกใช้ในการโจมตีจริงในองค์กร ผู้เชี่ยวชาญแนะนำให้ ตรวจสอบการใช้ serialized objects ในระบบทั้งหมด และใช้วิธีการ serialize ที่ปลอดภัย เช่น JSON หรือ Protocol Buffers แทน 📌 สรุปสาระสำคัญ ✅ ข้อมูลจากข่าว ➡️ ช่องโหว่ CVE-2025-64408 พบใน Apache Causeway ➡️ เกิดจากการ deserialize ข้อมูลที่ควบคุมได้ผ่าน URL parameters ➡️ ส่งผลให้ผู้โจมตีที่ล็อกอินแล้วสามารถทำ RCE ได้ ➡️ แก้ไขแล้วในเวอร์ชัน 3.5.0 ‼️ คำเตือนจากข่าว ⛔ ผู้ใช้ที่ยังใช้เวอร์ชัน 2.0.0 → 3.4.0 และ 4.0.0-M1 เสี่ยงต่อการถูกโจมตี ⛔ หากไม่อัปเดตแพตช์ อาจทำให้ระบบ production ถูกเข้าควบคุมได้ ⛔ การใช้ Java Deserialization โดยไม่ตรวจสอบความปลอดภัยเป็นช่องโหว่ที่อันตรายมาก https://securityonline.info/critical-apache-causeway-rce-flaw-cve-2025-64408-allows-authenticated-code-execution-via-java-deserialization/

🧠 ข่าวใหญ่: Work IQ ยกระดับ Copilot ให้ฉลาดขึ้น Microsoft เปิดตัว Work IQ ซึ่งเป็นชั้นเชิงปัญญาใหม่ที่ช่วยให้ Copilot เข้าใจบริบทการทำงานของผู้ใช้ได้ลึกขึ้น เช่น อีเมล เอกสาร การประชุม และรูปแบบการทำงานร่วมกัน ฟีเจอร์นี้ทำให้ Copilot สามารถ คาดการณ์ขั้นตอนถัดไป และแนะนำตัวแทน (agent) ที่เหมาะสมในการทำงานแทนผู้ใช้ได้ 📊 Agent Mode ในแอป Office Microsoft เปิดตัว Agent Mode ที่ให้ผู้ใช้เลือกโมเดล reasoning จาก OpenAI หรือ Anthropic เพื่อทำงานในแอปต่าง ๆ เช่น 🎗️ Excel: ใช้โมเดล reasoning เพื่อจัดการการคำนวณซับซ้อน 🎗️ Word / PowerPoint: สร้างเอกสารและงานนำเสนอคุณภาพสูง (PowerPoint รองรับในโปรแกรม Frontier) 🎗️ Outlook: รองรับคำสั่งเสียงและ quick actions เช่น “summarize and reply” โดยเวอร์ชันใหม่ในปี 2026 จะเข้าใจเนื้อหาในกล่องจดหมายและปฏิทิน 🎥 Sora 2 และการสร้างวิดีโอ Microsoft ยังผสาน Sora 2 ซึ่งเป็นโมเดลสร้างวิดีโอรุ่นใหม่เข้ากับ Copilot เพื่อให้ผู้ใช้สามารถสร้างวิดีโอสำหรับการตลาดหรือโซเชียลมีเดียได้โดยตรงผ่านฟีเจอร์ Create ถือเป็นการขยาย Copilot จากงานเอกสารไปสู่สื่อมัลติมีเดีย 🛡️ Microsoft Agent 365 และความปลอดภัย ด้วยการคาดการณ์ว่าองค์กรจะใช้ AI agents กว่า 1.3 พันล้านตัวภายในปี 2028 Microsoft จึงเปิดตัว Microsoft Agent 365 สำหรับการจัดการและรักษาความปลอดภัยของ AI agents โดยรวม Defender, Entra และ Purview เพื่อป้องกันไม่ให้ AI agents กลายเป็น “shadow IT” ภายในองค์กร 📌 สรุปสาระสำคัญ ✅ ข้อมูลจากข่าว ➡️ เปิดตัว Work IQ เพื่อให้ Copilot เข้าใจบริบทการทำงานและคาดการณ์ขั้นตอนถัดไป ➡️ Agent Mode รองรับโมเดล reasoning จาก OpenAI และ Anthropic ใน Excel, Word, PowerPoint, Outlook ➡️ ผสาน Sora 2 สำหรับการสร้างวิดีโอในงานการตลาดและโซเชียลมีเดีย ➡️ เปิดตัว Microsoft Agent 365 สำหรับการจัดการและรักษาความปลอดภัย AI agents ➡️ เปิดแพ็กเกจ Microsoft 365 Copilot Business ราคา 21 USD/ผู้ใช้/เดือน สำหรับ SME ‼️ คำเตือนจากข่าว ⛔ การใช้ AI agents จำนวนมากอาจสร้างความเสี่ยงด้านความปลอดภัยและการจัดการ ⛔ หากไม่มีการควบคุม อาจเกิด “shadow IT” ที่องค์กรไม่สามารถตรวจสอบได้ ⛔ การพึ่งพาโมเดลจากหลายค่ายอาจทำให้เกิดความซับซ้อนในการบูรณาการและการดูแล https://securityonline.info/copilot-gets-brains-microsoft-unveils-work-iq-agent-mode-integration-with-gpt-5-and-anthropic/

🖥️ Microsoft ปรับมาตรฐานไดรเวอร์ใหม่ หลังเหตุการณ์ CrowdStrike driver crash Microsoft ประกาศว่าจะ ยกเลิกสิทธิ์ OEM ในการฉีดโค้ดเข้าสู่ kernel โดยตรง เพื่อป้องกันไม่ให้ไดรเวอร์ที่ผิดพลาดทำให้ระบบล่มทั้งเครื่องอีกต่อไป โดยจะบังคับให้ผู้ผลิตฮาร์ดแวร์และซอฟต์แวร์ต้องใช้ Windows-native drivers และ standardized APIs แทน ซึ่งจะช่วยลดโค้ดที่ทำงานใน kernel mode และเพิ่มความเสถียรของระบบ 🔒 การป้องกันและมาตรการใหม่ สำหรับไดรเวอร์ที่ยังจำเป็นต้องทำงานใน kernel เช่น GPU drivers หรือ anti-cheat modules Microsoft จะเพิ่มมาตรการความปลอดภัย เช่น 🎗️ Compiler-level security constraints 🎗️ Driver isolation เพื่อลดผลกระทบหากเกิดความผิดพลาด 🎗️ DMA remapping เพื่อป้องกันการเข้าถึงหน่วยความจำ kernel โดยไม่ได้รับอนุญาต 🌐 ผลกระทบต่อผู้ผลิตและผู้ใช้ การเปลี่ยนแปลงนี้จะบังคับให้ผู้ผลิตฮาร์ดแวร์ต้องปรับตัว โดยย้าย logic จาก kernel mode ไปยัง user mode หรือใช้ standardized drivers ของ Windows แทน แม้จะเพิ่มความปลอดภัย แต่ก็อาจทำให้การพัฒนาไดรเวอร์เฉพาะทางซับซ้อนขึ้น อย่างไรก็ตาม ผู้ใช้ทั่วไปจะได้ประโยชน์จากระบบที่เสถียรขึ้นและลดความเสี่ยงจากการ crash แบบทั่วโลก 🔮 แนวโน้มในอนาคต Microsoft ยืนยันว่าจะยังคงรองรับ third-party kernel drivers ในบางกรณี แต่เป้าหมายคือการลดจำนวนโค้ดที่ทำงานใน kernel ให้เหลือน้อยที่สุด แนวโน้มนี้สะท้อนการผลักดันไปสู่ ระบบปฏิบัติการที่ปลอดภัยและเสถียรมากขึ้น โดยเฉพาะในยุคที่การโจมตีไซเบอร์และความผิดพลาดของซอฟต์แวร์สามารถสร้างผลกระทบระดับโลกได้ 📌 สรุปสาระสำคัญ ✅ ข้อมูลจากข่าว ➡️ Microsoft เตรียมยกเลิกสิทธิ์ OEM kernel-level driver privileges ➡️ ผู้ผลิตต้องใช้ Windows-native drivers และ standardized APIs ➡️ GPU drivers และ anti-cheat modules ยังทำงานใน kernel mode แต่มีมาตรการป้องกันเพิ่ม ➡️ มาตรการใหม่: compiler-level constraints, driver isolation, DMA remapping ‼️ คำเตือนจากข่าว ⛔ ผู้ผลิตฮาร์ดแวร์ต้องปรับตัว อาจทำให้การพัฒนาไดรเวอร์ซับซ้อนขึ้น ⛔ หากไม่ปรับตามมาตรฐานใหม่ อาจเสี่ยงต่อการไม่รองรับใน Windows รุ่นอนาคต ⛔ การเปลี่ยนแปลงอาจกระทบต่อไดรเวอร์เฉพาะทางที่ยังไม่มี standardized driver https://securityonline.info/post-crowdstrike-microsoft-to-phase-out-oem-kernel-level-driver-privileges/

🌐 MCP API ใน Comet Browser สั่นคลอนความเชื่อมั่น นักวิจัยจาก SquareX พบว่า Comet Browser มีการฝัง MCP API (chrome.perplexity.mcp.addStdioServer) ที่เปิดโอกาสให้ส่วนขยายฝังตัวสามารถรันคำสั่งบนเครื่องผู้ใช้ได้โดยตรง โดยไม่ต้องขออนุญาตหรือยืนยันจากผู้ใช้ ซึ่งต่างจากเบราว์เซอร์ทั่วไปที่ต้องใช้ Native Messaging API และการอนุญาตจากผู้ใช้เสมอ ⚠️ ความเสี่ยงที่เกิดขึ้น แม้ยังไม่มีหลักฐานว่า Perplexity.ai ใช้ API นี้ในทางที่ผิด แต่หากเกิดการโจมตี เช่น XSS, Phishing หรือ Insider Threat ก็สามารถทำให้ผู้โจมตีเข้าควบคุมเครื่องผู้ใช้ได้ทันที SquareX สาธิตการโจมตีโดยใช้ Extension Stomping เพื่อปลอมตัวเป็น Analytics Extension และรันมัลแวร์ WannaCry ผ่าน API นี้ได้สำเร็จ 🔒 ปัญหาการซ่อนส่วนขยาย สิ่งที่น่ากังวลคือ Comet Browser ได้ซ่อนส่วนขยายที่เกี่ยวข้องกับ Agentic และ Analytics จากแดชบอร์ด ทำให้ผู้ใช้ไม่สามารถปิดหรือควบคุมได้เลย ส่งผลให้เกิด “Hidden IT” ที่ทั้งผู้ใช้และทีมรักษาความปลอดภัยไม่มีทางตรวจสอบหรือจัดการได้ 🔮 แนวโน้มและคำแนะนำ SquareX เตือนว่าหากไม่มีการกำหนดมาตรฐานและการตรวจสอบจากบุคคลที่สาม เบราว์เซอร์ AI อื่น ๆ อาจเร่งพัฒนาฟีเจอร์ที่คล้ายกันโดยไม่สนใจความปลอดภัย ผู้ใช้ควรเรียกร้องให้มีการเปิดเผย API ทั้งหมด และให้สิทธิ์ในการปิดส่วนขยายที่ฝังมา เพื่อป้องกันการละเมิดความเชื่อมั่นในอนาคต 📌 สรุปสาระสำคัญ ✅ ข้อมูลจากข่าว ➡️ Comet Browser มี MCP API ที่ให้ส่วนขยายฝังตัวรันคำสั่งบนเครื่องผู้ใช้ได้ ➡️ SquareX สาธิตการโจมตีด้วย Extension Stomping และรัน WannaCry ผ่าน API นี้ ➡️ ส่วนขยาย Agentic และ Analytics ถูกซ่อนจากแดชบอร์ด ทำให้ผู้ใช้ไม่สามารถควบคุมได้ ➡️ SquareX เรียกร้องให้มีการเปิดเผย API และตรวจสอบโดยบุคคลที่สาม ‼️ คำเตือนจากข่าว ⛔ หาก Perplexity.ai ถูกโจมตี ผู้ใช้ Comet Browser ทุกคนอาจถูกควบคุมเครื่องได้ทันที ⛔ การซ่อนส่วนขยายทำให้ผู้ใช้และทีมรักษาความปลอดภัยไม่สามารถจัดการความเสี่ยงได้ ⛔ แนวโน้มที่เบราว์เซอร์ AI อื่น ๆ อาจเลียนแบบโดยไม่สนใจความปลอดภัย https://securityonline.info/obscure-mcp-api-in-comet-browser-breaches-user-trust-enabling-full-device-control-via-ai-browsers/

🖥️ Windows 11 เพิ่มฟีเจอร์ Point-in-Time Restore Microsoft ประกาศเพิ่มฟีเจอร์ Point-in-Time Restore ที่ช่วยให้ผู้ใช้สามารถย้อนระบบกลับไปยังสถานะก่อนหน้าที่บันทึกไว้ทุก 24 ชั่วโมง โดย snapshot จะถูกเก็บไว้ 72 ชั่วโมง ทำให้สามารถแก้ไขปัญหาที่เกิดจาก อัปเดตผิดพลาด, ไดรเวอร์มีปัญหา, หรือการตั้งค่าที่ผิดพลาด ได้อย่างรวดเร็ว ฟีเจอร์นี้คล้ายกับ System Restore แต่ทำงานอัตโนมัติและมีความแม่นยำมากกว่า 🌐 WinRE รองรับเครือข่ายอัตโนมัติ อีกหนึ่งการปรับปรุงคือ WinRE (Windows Recovery Environment) ที่สามารถเชื่อมต่ออินเทอร์เน็ตได้ทันทีโดยไม่ต้องติดตั้งไดรเวอร์เองเหมือนเดิม ระบบจะดึงไดรเวอร์จาก Windows หลักมาใช้ ทำให้ผู้ใช้สามารถดาวน์โหลดแพตช์หรือแก้ไขปัญหาออนไลน์ได้สะดวกขึ้น โดยเริ่มจากการรองรับ Ethernet และจะขยายไปยัง Wi-Fi WPA2/3 ในอนาคต ☁️ Cloud Rebuild สำหรับองค์กร Microsoft ยังเปิดตัว Cloud Rebuild ที่ช่วยให้ผู้ดูแลระบบสามารถติดตั้ง Windows ใหม่โดยไม่สูญเสียข้อมูลผู้ใช้ ผ่านการเชื่อมต่อกับ OneDrive for Business ฟีเจอร์นี้ถูกออกแบบมาเพื่อองค์กรที่ต้องการความต่อเนื่องในการทำงาน แม้เครื่องจะต้องถูกติดตั้งระบบใหม่ทั้งหมด 📺 ฟีเจอร์ซ่อนหน้าจอ Error บนจอแสดงผลสาธารณะ นอกจากนี้ยังมีฟีเจอร์ใหม่สำหรับ Commercial Display Devices ที่จะซ่อนข้อความ error บนหน้าจอสาธารณะ โดยจะแสดงเพียง 15 วินาทีแล้วหายไป เพื่อไม่ให้ผู้ชมเห็นข้อความผิดพลาดที่อาจสร้างความไม่เชื่อมั่น 📌 สรุปสาระสำคัญ ✅ ข้อมูลจากข่าว ➡️ ฟีเจอร์ Point-in-Time Restore บันทึก snapshot ทุก 24 ชั่วโมง และเก็บไว้ 72 ชั่วโมง ➡️ WinRE รองรับการเชื่อมต่อเครือข่ายอัตโนมัติ เริ่มจาก Ethernet และจะเพิ่ม Wi-Fi WPA2/3 ➡️ Cloud Rebuild ช่วยติดตั้ง Windows ใหม่โดยไม่สูญเสียข้อมูลผู้ใช้ ผ่าน OneDrive for Business ➡️ ฟีเจอร์ซ่อน error บนจอแสดงผลสาธารณะ แสดงเพียง 15 วินาทีแล้วหายไป ‼️ คำเตือนจากข่าว ⛔ Snapshot มีอายุเพียง 72 ชั่วโมง หากไม่กู้คืนทันเวลาอาจสูญเสียโอกาสแก้ไข ⛔ การเชื่อมต่อ WinRE ผ่านเครือข่ายอาจเสี่ยงต่อการโจมตีหากไม่มีการป้องกันที่ดี ⛔ Cloud Rebuild ต้องพึ่งพา OneDrive for Business หากระบบคลาวด์มีปัญหาอาจกระทบต่อการกู้คืน https://securityonline.info/new-windows-11-tools-point-in-time-restore-network-enabled-recovery-environment/

💸 Microsoft และ NVIDIA เทเงินมหาศาลสู่ Anthropic Microsoft ประกาศลงทุนเพิ่มสูงสุดถึง 10 พันล้านดอลลาร์สหรัฐ ใน Anthropic ขณะที่ NVIDIA ก็ทุ่มอีก 5 พันล้านดอลลาร์สหรัฐ เพื่อสนับสนุนการพัฒนาโมเดลตระกูล Claude การลงทุนนี้ไม่ใช่แค่เงินทุน แต่ยังมีการผูกพันธุรกิจ เช่น Anthropic ต้องซื้อบริการคลาวด์จาก Azure มูลค่า 30 พันล้านดอลลาร์ และเพิ่มกำลังประมวลผลอีก 1 GW เพื่อรองรับการทำงานของโมเดล AI 🔗 การลงทุนแบบ “วงกลม” ที่ก่อความกังวล ดีลนี้สะท้อนรูปแบบการลงทุนที่นักวิเคราะห์เรียกว่า Circular Investment เพราะบริษัทใหญ่ ๆ ลงทุนในสตาร์ทอัพ AI แล้วสตาร์ทอัพกลับมาซื้อบริการหรือฮาร์ดแวร์จากบริษัทเหล่านั้นอีกที ตัวอย่างเช่น Anthropic ใช้ชิปจาก NVIDIA และคลาวด์จาก Microsoft ในขณะเดียวกัน Amazon ก็ลงทุนใน Anthropic และได้สัญญาใช้ AWS และชิป AI ของตนเอง ทำให้เกิดภาพเหมือน “Spider-Man pointing meme” ที่ทุกบริษัทต่างชี้หากัน แต่ก็โยนเงินสนับสนุนกลับไปกลับมา 📊 ผลกระทบต่ออุตสาหกรรม AI การลงทุนลักษณะนี้ช่วยสร้างรายได้ให้ผู้ให้บริการคลาวด์และฮาร์ดแวร์ แต่ก็ทำให้เกิดคำถามว่า มูลค่าที่แท้จริงของสตาร์ทอัพ AI อยู่ตรงไหน หากการเติบโตพึ่งพาเงินลงทุนและการซื้อบริการวนซ้ำ อาจนำไปสู่การประเมินมูลค่าที่สูงเกินจริง และเสี่ยงต่อการเกิด “AI Bubble” ที่อาจแตกในอนาคต 🔮 แนวโน้มและสิ่งที่ต้องจับตา แม้จะยังเร็วเกินไปที่จะบอกว่า AI Bubble จะเกิดขึ้นจริง แต่การไหลเวียนเงินทุนแบบวนซ้ำกำลังสร้างแรงกดดันให้ตลาด AI ร้อนแรงเกินไป นักลงทุนและผู้ใช้ควรจับตารายงานผลประกอบการของ NVIDIA และการเคลื่อนไหวของคู่แข่งอย่าง OpenAI, Amazon และ Google ว่าจะส่งผลต่อทิศทางตลาดอย่างไร 📌 สรุปสาระสำคัญ ✅ ข้อมูลจากข่าว ➡️ Microsoft ลงทุนสูงสุด 10 พันล้านดอลลาร์ใน Anthropic ➡️ NVIDIA ลงทุนเพิ่มอีก 5 พันล้านดอลลาร์ ➡️ Anthropic ต้องซื้อบริการ Azure มูลค่า 30 พันล้านดอลลาร์ และเพิ่มกำลังประมวลผล 1 GW ➡️ Amazon ก็ลงทุนใน Anthropic และได้สัญญาใช้ AWS และชิป AI ‼️ คำเตือนจากข่าว ⛔ การลงทุนแบบวนซ้ำอาจทำให้เกิดการประเมินมูลค่าที่สูงเกินจริง ⛔ เสี่ยงต่อการเกิด “AI Bubble” หากการเติบโตไม่สะท้อนมูลค่าที่แท้จริง ⛔ นักลงทุนและผู้ใช้ควรจับตาผลประกอบการและทิศทางตลาดอย่างใกล้ชิด https://securityonline.info/ai-bubble-fear-microsoft-nvidia-pour-billions-into-anthropic-fueling-circular-investment/

🚀 Grok 4.1 Thinking ขึ้นอันดับ 1 บริษัท xAI ของ Elon Musk ได้เปิดตัวโมเดลใหม่ Grok 4.1 โดยมีสองเวอร์ชันคือ Grok 4.1 มาตรฐาน และ Grok 4.1 Thinking ที่เน้นการใช้เหตุผลเชิงลึก ผลลัพธ์คือ Grok 4.1 Thinking สามารถทำคะแนน Elo ได้สูงถึง 1483 และขึ้นอันดับ 1 บนกระดาน LMArena โดยแซงหน้า Google Gemini 2.5 Pro ที่ตกไปอยู่อันดับ 3 ✍️ ความสามารถด้านการเขียนเชิงสร้างสรรค์ ผลการทดสอบ Creative Writing v3 แสดงให้เห็นว่า Grok 4.1 ทั้งสองเวอร์ชันมีความสามารถด้านการเขียนที่ดีขึ้นอย่างมาก โดยทำคะแนนเหนือกว่าโมเดลคู่แข่งอย่าง OpenAI o3, Claude Sonnet 4.5 และ Kimi K2 Instruct แม้จะยังตามหลัง GPT 5.1 อยู่เล็กน้อย แต่ถือเป็นการพัฒนาที่ทำให้ Grok กลายเป็นคู่แข่งที่น่าจับตามองในตลาด AI เชิงสร้างสรรค์ 📊 ความแม่นยำและการลดความผิดพลาด เมื่อเทียบกับรุ่นก่อนหน้า Grok 4 Fast โมเดลใหม่สามารถลดอัตราความผิดพลาดเชิงข้อมูลได้ถึง 70% และลดอัตราการ “หลอน” (hallucination) จาก 12.09% เหลือเพียง 4.22% ซึ่งถือเป็นการปรับปรุงครั้งใหญ่ที่ช่วยเพิ่มความน่าเชื่อถือและการใช้งานจริงในระดับองค์กรและผู้ใช้ทั่วไป 🔮 แนวโน้มการแข่งขัน AI การที่ Grok 4.1 Thinking ขึ้นอันดับ 1 ถือเป็นแรงกดดันต่อ Google ที่เตรียมเปิดตัว Gemini 3.0 ในอนาคตอันใกล้ ขณะเดียวกันก็สะท้อนให้เห็นการแข่งขันที่ดุเดือดในตลาด AI ระดับโลก ซึ่งแต่ละบริษัทต่างพยายามพัฒนาโมเดลที่มีทั้งความแม่นยำ ความคิดสร้างสรรค์ และความสามารถในการใช้เหตุผลเชิงลึก 📌 สรุปสาระสำคัญ ✅ ข้อมูลจากข่าว ➡️ Grok 4.1 Thinking ทำคะแนน Elo ได้ 1483 ขึ้นอันดับ 1 บน LMArena ➡️ Google Gemini 2.5 Pro ตกไปอยู่อันดับ 3 ➡️ ความสามารถด้าน Creative Writing ดีขึ้น แซงคู่แข่งหลายราย ➡️ ลดอัตราความผิดพลาดเชิงข้อมูลลง 70% และลด hallucination เหลือ 4.22% ‼️ คำเตือนจากข่าว ⛔ การแข่งขัน AI ที่รุนแรงอาจทำให้ผู้ใช้ต้องเผชิญกับการเปลี่ยนแปลงอย่างรวดเร็วของเทคโนโลยี ⛔ แม้ Grok 4.1 จะลดความผิดพลาด แต่ยังมีความเสี่ยงจากการหลอนที่ไม่สามารถกำจัดได้หมด ⛔ ผู้ใช้ควรระวังการนำ AI มาใช้ในงานที่ต้องการความแม่นยำสูง เช่น กฎหมายหรือการแพทย์ https://securityonline.info/grok-4-1-thinking-steals-1-spot-on-lmarena-surpassing-google-gemini-2-5-pro/

🖥️ Google เปิดตัว Canvas ใน AI Mode Google ประกาศเปิดตัว Canvas ซึ่งเป็นพื้นที่สำหรับการจัดการแผนงานและโครงการ โดยผู้ใช้สามารถบรรยายสิ่งที่ต้องการ เช่น การเดินทางหรือกิจกรรมที่วางแผนไว้ แล้ว AI จะช่วยเสนอปลายทาง โรงแรม และรายละเอียดการจองที่เหมาะสม ฟีเจอร์นี้ถูกออกแบบมาเพื่อรวมข้อมูลที่กระจัดกระจายให้อยู่ในที่เดียว ทำให้การวางแผนสะดวกและมีประสิทธิภาพมากขึ้น ✈️ การขยายความสามารถ Agentic AI นอกจาก Canvas แล้ว Google ยังเพิ่มความสามารถให้ AI Mode สามารถทำงานแทนผู้ใช้ได้จริง เช่น การจองร้านอาหาร ซื้อตั๋วงานแสดง หรือแม้แต่การนัดหมายด้านสุขภาพและความงาม ฟีเจอร์นี้สะท้อนแนวโน้มใหม่ของ AI ที่ไม่ได้แค่ให้ข้อมูล แต่สามารถ ลงมือทำแทนผู้ใช้ ได้โดยตรง ซึ่งถือเป็นการก้าวสู่ยุคของ “Agentic AI” อย่างเต็มรูปแบบ 🛍️ การเชื่อมโยงกับบริการอื่น ๆ ก่อนหน้านี้ Google ได้เปิดตัวฟีเจอร์ Agentic Checkout สำหรับการซื้อสินค้าออนไลน์ โดย AI สามารถค้นหาสินค้าตามราคาที่ผู้ใช้ต้องการ และทำการสั่งซื้ออัตโนมัติเมื่อราคาลดลง ฟีเจอร์เหล่านี้กำลังถูกขยายไปยังบริการอื่น ๆ เช่น Google Photos, Google Messages และ Android เพื่อสร้างระบบนิเวศที่ AI สามารถช่วยเหลือผู้ใช้ได้ในหลายมิติ 🔮 แนวโน้มในอนาคต การเปิดตัว Canvas และการขยายความสามารถ Agentic AI แสดงให้เห็นว่า Google กำลังผลักดัน AI ให้เป็น ผู้ช่วยที่ลงมือทำแทนได้จริง ไม่ใช่แค่เครื่องมือค้นหาข้อมูล แนวโน้มนี้อาจเปลี่ยนวิธีที่ผู้คนจัดการชีวิตประจำวัน ตั้งแต่การเดินทาง การช้อปปิ้ง ไปจนถึงการจัดการงานในองค์กร 📌 สรุปสาระสำคัญ ✅ ข้อมูลจากข่าว ➡️ Google เปิดตัวฟีเจอร์ Canvas สำหรับการวางแผนและจัดการโครงการ ➡️ AI Mode สามารถทำงานแทนผู้ใช้ เช่น จองร้านอาหาร ซื้อตั๋ว และนัดหมาย ➡️ ฟีเจอร์ Agentic Checkout ช่วยค้นหาสินค้าและสั่งซื้ออัตโนมัติเมื่อราคาลดลง ➡️ ฟีเจอร์ใหม่จะถูกขยายไปยัง Google Photos, Google Messages และ Android ‼️ คำเตือนจากข่าว ⛔ การให้ AI ทำงานแทนผู้ใช้อาจสร้างความเสี่ยงด้านความเป็นส่วนตัวและความปลอดภัย ⛔ ผู้ใช้ควรระวังการอนุญาตให้ AI เข้าถึงข้อมูลส่วนตัวหรือสิทธิ์ในการทำธุรกรรม ⛔ หากระบบถูกโจมตีหรือทำงานผิดพลาด อาจส่งผลต่อการเงินและข้อมูลส่วนบุคคล https://securityonline.info/ai-mode-upgraded-google-launches-canvas-for-planning-and-agentic-booking-for-reservations/

🛡️ ช่องโหว่ร้ายแรงใน D-Link DIR-878 ที่หมดอายุการสนับสนุน D-Link ได้ออกประกาศเตือนผู้ใช้เราเตอร์รุ่น DIR-878 ว่าพบช่องโหว่ร้ายแรงถึง 4 จุด ซึ่งรวมถึงการ Remote Command Execution (RCE) โดยไม่ต้องยืนยันตัวตน ทำให้ผู้โจมตีสามารถส่งคำสั่งเข้าควบคุมอุปกรณ์ได้ทันที หากเราเตอร์เชื่อมต่อกับอินเทอร์เน็ตโดยตรง ความเสี่ยงนี้ถือว่าสูงมาก เพราะผู้ใช้ไม่สามารถอัปเดตแพตช์แก้ไขได้ เนื่องจากผลิตภัณฑ์ถูกจัดอยู่ในสถานะ End-of-Life (EOL) ตั้งแต่ปี 2021 🌐 มุมมองจากวงการไซเบอร์ รายงานจากหลายสำนักข่าวด้านความปลอดภัยระบุว่า ช่องโหว่เหล่านี้ครอบคลุมทั้งการ Command Injection ผ่าน Dynamic DNS และ DMZ Settings รวมถึง Buffer Overflow จาก USB Serial Number และการ QoS Rule Injection ซึ่งทั้งหมดสามารถนำไปสู่การเข้าควบคุมระบบได้เต็มรูปแบบ นักวิจัยเตือนว่าหากผู้ใช้ยังคงใช้งานอุปกรณ์นี้ อาจถูกใช้เป็นฐานโจมตีเพื่อแพร่มัลแวร์หรือบอทเน็ตได้ ⚠️ ความเสี่ยงต่อผู้ใช้และองค์กร สิ่งที่น่ากังวลคือการโจมตีสามารถทำได้จากระยะไกลโดยไม่ต้องมีรหัสผ่าน ซึ่งหมายความว่าแม้ผู้ใช้ทั่วไปที่ไม่ใช่เป้าหมายโดยตรงก็อาจถูกโจมตีได้ หากอุปกรณ์ยังเปิดใช้งานอยู่ในบ้านหรือสำนักงาน การปล่อยให้เราเตอร์ที่หมดอายุการสนับสนุนเชื่อมต่ออินเทอร์เน็ตจึงเท่ากับเปิดประตูให้แฮกเกอร์เข้ามาในเครือข่ายโดยตรง 🔮 แนวโน้มและคำแนะนำ ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้ผู้ใช้ เปลี่ยนไปใช้อุปกรณ์รุ่นใหม่ที่ยังได้รับการสนับสนุน และควรตรวจสอบอุปกรณ์เครือข่ายอื่น ๆ ที่อาจหมดอายุการสนับสนุนแล้วเช่นกัน แนวโน้มในอนาคตคือการโจมตีอุปกรณ์ IoT และเราเตอร์ที่ไม่ได้รับการอัปเดตจะเพิ่มขึ้น เนื่องจากเป็นจุดอ่อนที่เข้าถึงง่ายและมักถูกละเลย 📌 สรุปสาระสำคัญ ✅ ข้อมูลจากข่าว ➡️ D-Link DIR-878 หมดอายุการสนับสนุนตั้งแต่ปี 2021 ➡️ พบช่องโหว่ร้ายแรง 4 จุด (Dynamic DNS, DMZ, USB Buffer Overflow, QoS Injection) ➡️ ช่องโหว่เปิดโอกาสให้โจมตีแบบ Remote Command Execution โดยไม่ต้องล็อกอิน ‼️ คำเตือนจากข่าว ⛔ ผู้ใช้ที่ยังใช้งานเราเตอร์รุ่นนี้เสี่ยงถูกโจมตีและควบคุมอุปกรณ์ได้เต็มรูปแบบ ⛔ อุปกรณ์ที่หมดอายุการสนับสนุนไม่สามารถอัปเดตแพตช์แก้ไขได้ ⛔ การปล่อยให้เชื่อมต่ออินเทอร์เน็ตอาจทำให้เครือข่ายบ้านหรือองค์กรถูกเจาะทะลวง https://securityonline.info/d-link-dir-878-reaches-eol-3-unpatched-rce-flaws-allow-unauthenticated-remote-command-execution/

🕵️‍♂️ แคมเปญ Amatera Stealer ใช้ ClickFix เจาะระบบ นักวิจัยจาก eSentire Threat Response Unit (TRU) เปิดเผยการโจมตีใหม่ที่ใช้เทคนิค ClickFix เพื่อหลอกเหยื่อให้รันคำสั่งอันตรายใน Windows Run Prompt โดยมัลแวร์ที่ถูกปล่อยคือ Amatera Stealer ซึ่งเป็นเวอร์ชันรีแบรนด์ของ AcridRain (ACR) Stealer ที่ถูกขายซอร์สโค้ดในปี 2024 และถูกนำไปปรับใช้โดยหลายกลุ่มแฮกเกอร์ ⚙️ วิธีการโจมตีและการเลี่ยงตรวจจับ เมื่อเหยื่อรันคำสั่งที่ได้รับจากการหลอกลวง มัลแวร์จะเริ่มโหลด PowerShell payloads หลายขั้นตอน โดยมีการเข้ารหัสและซ่อนตัวอย่างซับซ้อน หนึ่งในขั้นตอนสำคัญคือการ patch AMSI (Anti-Malware Scan Interface) ในหน่วยความจำ โดยการเขียนทับค่า “AmsiScanBuffer” ด้วย null bytes ทำให้ Windows ไม่สามารถตรวจสอบสคริปต์อันตรายที่รันต่อไปได้ 💻 ความสามารถของ Amatera Stealer Amatera Stealer มีฟีเจอร์หลากหลาย เช่น 🔰 ขโมยข้อมูลจาก crypto-wallets, browsers, password managers, FTP/email/VPN clients 🔰 เจาะเข้าถึง productivity apps เช่น Sticky Notes, To-Do lists 🔰 ใช้เทคนิค WoW64 SysCalls เพื่อหลบเลี่ยง sandbox และ EDR 🔰 สามารถ bypass “App-Bound Encryption” ใน Chrome และ Edge เพื่อดึง credential ที่ควรจะถูกเข้ารหัส ⚠️ ผลกระทบและความเสี่ยง มัลแวร์นี้ไม่เพียงแต่ขโมยข้อมูล แต่ยังสามารถ โหลดมัลแวร์เพิ่มเติม เช่น NetSupport RAT ผ่านฟีเจอร์ “load” โดยใช้ PowerShell หรือไฟล์ JPG ที่ซ่อน payload ไว้ ทำให้การโจมตีมีความซับซ้อนและต่อเนื่องมากขึ้น เหตุการณ์นี้สะท้อนถึงความเสี่ยงจากการโจมตีที่ใช้ social engineering + memory patching ซึ่งยากต่อการตรวจจับและป้องกัน 📌 สรุปสาระสำคัญ ✅ การโจมตี ➡️ ใช้ ClickFix หลอกเหยื่อรันคำสั่งใน Windows Run Prompt ➡️ โหลด PowerShell payloads หลายขั้นตอน ✅ เทคนิคการเลี่ยงตรวจจับ ➡️ Patch AMSI ใน memory เพื่อปิดการตรวจสอบสคริปต์ ➡️ ใช้ WoW64 SysCalls และ bypass encryption ใน Chrome/Edge ✅ ความสามารถของ Amatera Stealer ➡️ ขโมยข้อมูลจาก crypto-wallets, browsers, password managers ➡️ เข้าถึง productivity apps และ credential สำคัญ ➡️ โหลดมัลแวร์เพิ่มเติม เช่น NetSupport RAT ‼️ คำเตือน ⛔ Social engineering เป็นช่องทางหลักในการแพร่กระจาย ⛔ การ patch memory ทำให้การตรวจจับยากมากขึ้น ⛔ องค์กรควรเสริมการตรวจสอบ PowerShell และระบบ AMSI https://securityonline.info/amatera-stealer-campaign-uses-clickfix-to-deploy-malware-bypassing-edr-by-patching-amsi-in-memory/

🕵️‍♂️ มัลแวร์ใหม่: Stealth Stealer ซ่อน LokiBot ในไฟล์ภาพ นักวิจัยจาก Splunk Threat Research Team (STRT) เปิดเผยการค้นพบมัลแวร์ใหม่ที่ใช้เทคนิค Steganography ซ่อนโค้ดอันตรายในไฟล์ภาพ BMP และ PNG โดยมัลแวร์นี้ถูกพัฒนาเป็น .NET Loader รุ่นใหม่ ที่สามารถหลบเลี่ยงการตรวจจับและสุดท้ายปล่อย payload ของ LokiBot ซึ่งเป็นหนึ่งใน Trojan ขโมยข้อมูลที่แพร่หลายที่สุดในโลก 🎭 วิธีการทำงานของ Loader Loader ตัวใหม่นี้ปลอมตัวเป็นเอกสารธุรกิจ เช่น Request for Quotation (RFQ) เพื่อหลอกให้เหยื่อเปิดไฟล์ เมื่อรันขึ้นมา มันจะ ถอดรหัสโมดูล container ที่ซ่อนอยู่ภายใน และดึง stager modules ที่ถูกฝังไว้ในไฟล์ภาพออกมา จากนั้นจึงค่อยๆ ปลดล็อก payload ขั้นสุดท้าย ซึ่งก็คือ LokiBot 🖼️ เทคนิคการซ่อนตัวในไฟล์ภาพ มัลแวร์ใช้การฝังโค้ดไว้ใน metadata ของไฟล์ภาพ BMP และ PNG โดยเข้ารหัสด้วยอัลกอริทึมเดียวกับที่เคยใช้ใน Quasar RAT loaders ทำให้การตรวจจับด้วยเครื่องมือ static analysis และ automated payload extraction ยากขึ้นมาก นักวิจัยต้องปรับเครื่องมือ PixDig เพื่อบังคับถอดรหัสโดยตรงจากไฟล์ภาพ จึงสามารถดึง stager modules ออกมาได้สำเร็จ ⚠️ ความเสี่ยงและผลกระทบ LokiBot เป็นมัลแวร์ที่มีมานานกว่า 10 ปี และยังคงถูกใช้แพร่หลายในการขโมยข้อมูล เช่น รหัสผ่านเบราว์เซอร์, อีเมล, FTP, Wallet คริปโต, Windows credentials และไฟล์การตั้งค่าต่างๆ การพัฒนา loader รุ่นใหม่ที่ซ่อนตัวในไฟล์ภาพสะท้อนให้เห็นว่าอาชญากรไซเบอร์ยังคงปรับปรุงเทคนิคเพื่อเลี่ยงการตรวจจับ และทำให้การป้องกันยากขึ้นเรื่อยๆ 📌 สรุปสาระสำคัญ ✅ การค้นพบใหม่ ➡️ Stealth Stealer เป็น .NET Loader รุ่นใหม่ที่ใช้ steganography ➡️ ซ่อน LokiBot payload ในไฟล์ BMP และ PNG ✅ วิธีการทำงาน ➡️ Loader ปลอมตัวเป็นเอกสาร RFQ เพื่อหลอกเหยื่อ ➡️ ถอดรหัส container module และดึง stager modules จากไฟล์ภาพ ✅ เทคนิคการซ่อนตัว ➡️ ใช้ metadata ของไฟล์ภาพเข้ารหัสโค้ด ➡️ ทำให้ static detection และ automated extraction ยากขึ้น ✅ ผลกระทบ ➡️ LokiBot ขโมยข้อมูล credential, wallet, และไฟล์การตั้งค่าต่างๆ ➡️ ยังคงเป็นภัยคุกคามที่แพร่หลายแม้มีมานานกว่า 10 ปี ‼️ คำเตือน ⛔ การใช้ไฟล์ภาพเป็นตัวซ่อน payload ทำให้การตรวจจับยากขึ้น ⛔ องค์กรควรอัปเดตเครื่องมือวิเคราะห์และตรวจสอบไฟล์ที่น่าสงสัย ⛔ ผู้ใช้ควรระวังการเปิดไฟล์แนบที่ดูเหมือนเอกสารธุรกิจ https://securityonline.info/stealth-stealer-new-net-loader-hides-lokibot-payload-in-bmp-png-images-using-advanced-steganography/

✈️ UNC1549 ขยายการโจมตีสู่อุตสาหกรรมการบินและอวกาศ ตั้งแต่กลางปี 2024 กลุ่ม UNC1549 ได้เพิ่มการโจมตีที่มุ่งเป้าไปยังบริษัทด้านการบินและอวกาศ รวมถึงผู้รับเหมาด้านกลาโหม โดยใช้วิธีการที่ซับซ้อน เช่น การเจาะผ่านซัพพลายเชน และ การส่ง spear-phishing แบบเจาะจงบุคคล เพื่อเข้าถึงระบบที่มีการป้องกันสูง 🛠️ เทคนิคที่ใช้: DLL Hijacking และ VDI Breakouts UNC1549 ใช้ DLL search order hijacking เพื่อรันมัลแวร์ที่ซ่อนอยู่ในซอฟต์แวร์ที่เชื่อถือได้ เช่น Citrix, VMware และ Microsoft นอกจากนี้ยังใช้ VDI Breakouts เพื่อหลบหนีข้อจำกัดของระบบ virtualization เช่น Citrix Virtual Desktop และ Azure Virtual Desktop ทำให้สามารถเคลื่อนย้ายภายในระบบได้อย่างลับๆ 🧩 มัลแวร์เฉพาะทางที่ถูกพัฒนา นักวิจัยพบมัลแวร์หลายตัวที่ UNC1549 ใช้ เช่น TWOSTROKE, MINIBIKE, DEEPROOT, LIGHTRAIL, CRASHPAD, SIGHTGRAB โดยแต่ละตัวมีความสามารถเฉพาะ เช่น การขโมย credential, การจับภาพหน้าจอ, การสร้าง backdoor ผ่าน Azure WebSocket และการใช้ Golang เพื่อสร้าง backdoor บน Linux จุดเด่นคือ ทุก payload มี hash ที่ไม่ซ้ำกัน ทำให้การตรวจสอบทางนิติวิทยาศาสตร์ยากขึ้นมาก ⚠️ ความเสี่ยงและผลกระทบ การโจมตีนี้สะท้อนถึงความเสี่ยงของการพึ่งพาซัพพลายเชนและซอฟต์แวร์ที่เชื่อถือได้ เพราะแม้ระบบหลักจะมีการป้องกันเข้มงวด แต่การเจาะผ่านพันธมิตรหรือผู้รับเหมาที่เชื่อมต่อกับระบบก็สามารถเปิดช่องให้ผู้โจมตีเข้าถึงข้อมูลสำคัญ เช่น เอกสารด้าน IT, ทรัพย์สินทางปัญญา และอีเมลภายในองค์กร 📌 สรุปสาระสำคัญ ✅ การโจมตีของ UNC1549 ➡️ มุ่งเป้าไปที่อุตสาหกรรมการบิน, อวกาศ และกลาโหม ➡️ ใช้ spear-phishing และการเจาะผ่านซัพพลายเชน ✅ เทคนิคที่ใช้ ➡️ DLL Hijacking บนซอฟต์แวร์ที่เชื่อถือได้ (Citrix, VMware, Microsoft) ➡️ VDI Breakouts เพื่อหลบหนีข้อจำกัด virtualization ✅ มัลแวร์ที่พบ ➡️ TWOSTROKE: backdoor ที่เข้ารหัส SSL ➡️ LIGHTRAIL: tunneler ผ่าน Azure WebSocket ➡️ DEEPROOT: Golang backdoor บน Linux ➡️ CRASHPAD และ SIGHTGRAB: ขโมย credential และจับภาพหน้าจอ ‼️ คำเตือนจากเหตุการณ์ ⛔ การพึ่งพาซัพพลายเชนที่เชื่อมต่อกับระบบหลักเป็นช่องโหว่สำคัญ ⛔ Payload ที่มี hash ไม่ซ้ำกันทำให้การตรวจสอบยากขึ้น ⛔ องค์กรควรเสริมการตรวจสอบซอฟต์แวร์ที่เชื่อถือได้และระบบ virtualization https://securityonline.info/iranian-apt-unc1549-infiltrates-aerospace-by-hijacking-trusted-dlls-and-executing-vdi-breakouts/

🏆 SecurityMetrics คว้ารางวัลใหญ่ด้าน Cybersecurity SecurityMetrics ได้รับรางวัล “Data Leak Detection Solution of the Year” จากงาน CyberSecurity Breakthrough Awards 2025 โดยผลงานที่โดดเด่นคือ Shopping Cart Inspect (SCI) ซึ่งช่วยตรวจจับการโจมตีแบบ web skimming ที่มักเกิดขึ้นกับเว็บไซต์อีคอมเมิร์ซ 🔍 จุดเด่นของ Shopping Cart Inspect (SCI) SCI ใช้เทคโนโลยี WIM (Web Inject Monitoring) ที่สามารถตรวจจับการโจมตีด้วย JavaScript ได้ทันทีที่เกิดขึ้น โดยทีม Forensic Analysts ของ SecurityMetrics จะทำการตรวจสอบโค้ดที่รันบนหน้าเว็บ เพื่อหาหลักฐานการโจมตีและสร้างรายงานความเสี่ยงที่จัดลำดับตามมาตรฐาน CVSS พร้อมคำแนะนำในการแก้ไข 🛡️ ผลกระทบต่อธุรกิจอีคอมเมิร์ซ การโจมตีแบบ web skimming เป็นภัยที่เพิ่มขึ้นเรื่อยๆ โดยเฉพาะกับร้านค้าออนไลน์ที่ใช้ระบบตะกร้าสินค้า SCI ช่วยให้ธุรกิจสามารถตรวจจับและแก้ไขได้โดยไม่กระทบต่อการดำเนินงาน ทำให้ลูกค้ามั่นใจในความปลอดภัยของข้อมูลการชำระเงิน และช่วยลดความเสี่ยงต่อการสูญเสียชื่อเสียงและรายได้ 🌐 ความสำคัญในระดับโลก งาน CyberSecurity Breakthrough Awards มีผู้เข้าร่วมจากกว่า 20 ประเทศ และ SCI ถูกเลือกให้เป็นโซลูชันที่โดดเด่นที่สุดในปีนี้ สะท้อนให้เห็นถึงความสำคัญของการป้องกันข้อมูลรั่วไหลในยุคที่ธุรกิจออนไลน์เติบโตอย่างรวดเร็ว และภัยคุกคามไซเบอร์มีความซับซ้อนมากขึ้น 📌 สรุปสาระสำคัญ ✅ รางวัลที่ได้รับ ➡️ SecurityMetrics ได้รับรางวัล “Data Leak Detection Solution of the Year” ปี 2025 ➡️ มอบโดย CyberSecurity Breakthrough Awards ✅ จุดเด่นของ SCI ➡️ ใช้ WIM Technology ตรวจจับ web skimming แบบ real-time ➡️ ทีม Forensic Analysts ตรวจสอบโค้ดและสร้างรายงานความเสี่ยงตาม CVSS ✅ ผลกระทบต่อธุรกิจ ➡️ ป้องกันข้อมูลการชำระเงินรั่วไหล ➡️ ลดความเสี่ยงต่อชื่อเสียงและรายได้ของธุรกิจอีคอมเมิร์ซ ‼️ คำเตือนจากเหตุการณ์ ⛔ ร้านค้าออนไลน์ที่ไม่ตรวจสอบระบบตะกร้าสินค้าเสี่ยงต่อการถูกโจมตี ⛔ การโจมตี web skimming มีแนวโน้มเพิ่มขึ้นและซับซ้อนขึ้น ⛔ ธุรกิจควรมีระบบตรวจจับและทีมผู้เชี่ยวชาญเพื่อรับมืออย่างต่อเนื่อง https://securityonline.info/securitymetrics-wins-data-leak-detection-solution-of-the-year-in-2025-cybersecurity-breakthrough-awards-program/

🔐 SpyCloud เผย 10 แนวโน้มภัยไซเบอร์ปี 2026 SpyCloud ได้เปิดรายงานใหม่ที่ชื่อว่า The Identity Security Reckoning: 2025 Lessons, 2026 Predictions โดยเน้นไปที่ภัยคุกคามด้าน Identity Security ที่จะส่งผลกระทบต่อองค์กรทั่วโลกในปี 2026 รายงานนี้ชี้ให้เห็นถึงการเปลี่ยนแปลงของกลยุทธ์อาชญากรไซเบอร์และการใช้เทคโนโลยีใหม่ๆ ที่ทำให้การป้องกันยากขึ้น นี่คือ 10 แนวโน้มภัยไซเบอร์ปี 2026 ที่ SpyCloud คาดการณ์ว่าจะส่งผลกระทบต่อ Identity Security โดยตรง: 0️⃣1️⃣ - 🧩 Supply Chain อาชญากรไซเบอร์เปลี่ยนรูปแบบ 🔰 Malware-as-a-Service และ Phishing-as-a-Service จะยังคงเป็นแกนหลัก 🔰 มีการแบ่งบทบาทเฉพาะ เช่น ผู้ให้บริการโครงสร้างพื้นฐาน, นักพัฒนาเครื่องมือ, ตัวกลางขายการเข้าถึง 0️⃣2️⃣ - 👥 ชุมชนผู้โจมตีแตกตัวและอายุน้อยลง 🔰 ผู้โจมตีย้ายจาก darknet forums ไปสู่แอป mainstream 🔰 วัยรุ่นเข้ามาทดลองใช้ชุดโจมตีสำเร็จรูปเพื่อชื่อเสียงหรือผลกำไร 0️⃣3️⃣ - 🤖 การระบุตัวตนแบบไม่ใช่มนุษย์ (NHI) ระเบิดตัว 🔰 API, OAuth tokens และ service accounts เพิ่มจำนวนมากขึ้น 🔰 ขาดการป้องกันเหมือนบัญชีมนุษย์ ทำให้เกิดช่องโหว่ซ่อนอยู่ 0️⃣4️⃣ - 🕵️‍♀️ ภัยจาก Insider Threats เพิ่มขึ้น 🔰 เกิดจากการควบรวมกิจการ (M&A), มัลแวร์ และการเข้าถึงที่ผิดพลาด 🔰 Nation-state actors ใช้การปลอมตัวเป็นพนักงานเพื่อเจาะระบบ 0️⃣5️⃣ - ⚡ AI-enabled Cybercrime เริ่มต้นจริงจัง 🔰 ใช้ AI สร้างมัลแวร์ที่ซับซ้อนขึ้น 🔰 Phishing ที่สมจริงและตรวจจับยากมากขึ้น 0️⃣6️⃣ - 🔑 การโจมตี MFA และ Session Defense 🔰 ใช้ residential proxies, anti-detect browsers และ Adversary-in-the-Middle (AiTM) 🔰 ขโมย cookies และ bypass การตรวจสอบอุปกรณ์ 0️⃣7️⃣ - 🏗️ Vendor และ Contractor กลายเป็นช่องโหว่หลัก 🔰 ผู้โจมตีใช้บัญชีของผู้รับเหมาหรือพันธมิตรเพื่อเข้าถึงระบบองค์กร 🔰 โดยเฉพาะในอุตสาหกรรมเทคโนโลยี, โทรคมนาคม และซัพพลายเชนซอฟต์แวร์ 0️⃣8️⃣ - 🪪 Synthetic Identities ฉลาดขึ้นและตรวจจับยากขึ้น 🔰 ใช้ข้อมูลจริงผสมกับ AI-generated persona และ deepfake 🔰 หลอกระบบตรวจสอบตัวตนของธนาคารและบริการทางการเงิน 0️⃣9️⃣ - 📊 Combolists และ Megabreaches สร้างความสับสน 🔰 ข้อมูลรั่วไหลจำนวนมหาศาลถูกนำมาปั่นใหม่เพื่อสร้างความตื่นตระหนก 🔰 ทำให้ความสนใจถูกเบี่ยงเบนจากภัยจริงที่กำลังเกิดขึ้น 1️⃣0️⃣ - 🛡️ ทีม Cybersecurity ต้องปรับโครงสร้างใหม่ 🔰 Identity Security จะกลายเป็นแกนกลางของการป้องกัน 🔰 ต้องเน้นการทำงานร่วมกันข้ามทีม, ใช้ automation และ holistic intelligence https://securityonline.info/spycloud-unveils-top-10-cybersecurity-predictions-poised-to-disrupt-identity-security-in-2026/

💡 ฟีเจอร์ Virtual Ring Light จาก Mac สู่ Windows macOS 26.2 ที่อยู่ระหว่างการทดสอบได้เปิดตัวฟีเจอร์ใหม่ที่สร้าง วงแสงเสมือนรอบหน้าจอ เพื่อส่องใบหน้าผู้ใช้ระหว่างการประชุมหรือวิดีโอคอล ฟีเจอร์นี้ช่วยให้ภาพชัดเจนขึ้นแม้ในสภาพแสงไม่เพียงพอ Microsoft จึงสนใจนำแนวคิดนี้มาปรับใช้ใน Windows 11 โดยอาศัย PowerToys และเครื่องมือ Edge Light 🖥️ Edge Light: เครื่องมือโอเพนซอร์ส Edge Light เป็นโปรเจกต์โอเพนซอร์สที่สามารถสร้าง แสงสีขาวเรืองรอบขอบหน้าจอ เพื่อเพิ่มความสว่างให้กับใบหน้าในวิดีโอคอล หรือใช้สร้างบรรยากาศระหว่างการสตรีม Microsoft กำลังหารือกับนักพัฒนาเพื่อรวม Edge Light เข้ากับ PowerToys ทำให้ผู้ใช้สามารถเปิดใช้งานได้ง่ายขึ้นโดยไม่ต้องติดตั้งแยก 📱 การใช้งานและความเป็นไปได้ แม้ยังไม่ชัดเจนว่าการรวมเข้ากับ PowerToys เริ่มต้นแล้วหรือไม่ แต่ผู้ใช้ที่สนใจสามารถดาวน์โหลด Edge Light มาทดลองใช้ได้ทันที ฟีเจอร์นี้อาจกลายเป็นเครื่องมือสำคัญสำหรับผู้ที่ทำงานจากบ้าน, สตรีมเมอร์, และผู้ใช้ทั่วไปที่ต้องการคุณภาพวิดีโอคอลที่ดีขึ้นโดยไม่ต้องลงทุนซื้ออุปกรณ์เสริม 🔮 บทเรียนและแนวโน้ม การพัฒนานี้สะท้อนให้เห็นถึงแนวโน้มที่ ซอฟต์แวร์จะเข้ามาแทนที่ฮาร์ดแวร์เสริม เช่น ring light จริงๆ หาก Microsoft สามารถรวมเข้ากับ PowerToys ได้สำเร็จ จะช่วยให้ Windows 11 มีฟีเจอร์ที่ตอบโจทย์ผู้ใช้ยุคดิจิทัลมากขึ้น และอาจเป็นการแข่งกับ macOS ในการสร้างประสบการณ์วิดีโอคอลที่เหนือกว่า 📌 สรุปสาระสำคัญ ✅ ฟีเจอร์ใหม่จาก macOS ➡️ Virtual Ring Light สร้างวงแสงเสมือนรอบหน้าจอเพื่อปรับปรุงคุณภาพวิดีโอคอล ➡️ ช่วยให้ภาพชัดเจนขึ้นในสภาพแสงน้อย ✅ Edge Light บน Windows ➡️ เป็นเครื่องมือโอเพนซอร์สที่สร้างแสงเรืองรอบหน้าจอ ➡️ Microsoft กำลังหารือเพื่อรวมเข้ากับ PowerToys ✅ การใช้งานและประโยชน์ ➡️ ผู้ใช้สามารถดาวน์โหลด Edge Light มาทดลองได้ทันที ➡️ เหมาะสำหรับการประชุมออนไลน์, สตรีมมิ่ง, และการใช้งานทั่วไป https://securityonline.info/macbooks-virtual-ring-light-may-come-to-windows-11-via-powertoys-edge-light/

🚀 Jeff Bezos หวนคืนสู่ตำแหน่งผู้นำ หลังจากก้าวลงจากตำแหน่ง CEO ของ Amazon ในปี 2021 Jeff Bezos ได้ทุ่มเวลาให้กับ Blue Origin บริษัทด้านอวกาศของเขา แต่ล่าสุดเขากลับมาสู่บทบาทผู้นำอีกครั้งในฐานะ Co-CEO ของ Project Prometheus สตาร์ทอัพ AI ที่เขาเป็นผู้ลงทุนรายใหญ่ การตัดสินใจครั้งนี้สะท้อนถึงความเชื่อมั่นของ Bezos ว่า AI จะเป็นหัวใจสำคัญในการพลิกโฉมอุตสาหกรรมการผลิตทั่วโลก 🧪 พันธมิตรใหม่: Vik Bajaj Bezos จะทำงานร่วมกับ Vik Bajaj นักฟิสิกส์และนักเคมีที่เคยทำงานใน Google X และเป็นอดีตหัวหน้าของ Verily บริษัทด้านสุขภาพในเครือ Alphabet ทั้งสองจะร่วมกันนำ Project Prometheus ไปสู่เป้าหมายการใช้ AI เพื่อเพิ่มความแม่นยำและประสิทธิภาพในอุตสาหกรรม เช่น คอมพิวเตอร์, วิศวกรรมยานยนต์ และการบินอวกาศ 💰 เงินทุนมหาศาลและทีมงานระดับโลก Project Prometheus ได้รับเงินทุนมหาศาลกว่า 6.2 พันล้านดอลลาร์ ทำให้มันกลายเป็นหนึ่งในสตาร์ทอัพที่มีเงินทุนสูงที่สุดในโลก ทีมงานประกอบด้วยผู้เชี่ยวชาญจาก OpenAI, DeepMind และ Meta ซึ่งบ่งบอกถึงความจริงจังและศักยภาพในการแข่งขันกับบริษัทเทคโนโลยีระดับโลก 🌌 ความเชื่อมั่นในอนาคตของ AI การกลับมาของ Bezos ในบทบาทนี้ไม่ใช่แค่การลงทุน แต่เป็นการแสดงให้เห็นว่าเขามอง AI เป็นเส้นทางใหม่ที่จะสร้างผลกระทบต่อโลกเช่นเดียวกับที่ Amazon เคยทำกับการค้าปลีกออนไลน์ และ Blue Origin กำลังทำกับการเดินทางสู่อวกาศ 📌 สรุปสาระสำคัญ ✅ การกลับมาของ Jeff Bezos ➡️ รับตำแหน่ง Co-CEO ของ Project Prometheus หลังจากออกจาก Amazon ➡️ แสดงความเชื่อมั่นในศักยภาพของ AI ✅ พันธมิตรและทีมงาน ➡️ Vik Bajaj ร่วมเป็น Co-CEO และนำประสบการณ์จาก Google X, Verily ➡️ ทีมงานประกอบด้วยอดีตผู้เชี่ยวชาญจาก OpenAI, DeepMind, Meta ✅ เงินทุนและเป้าหมาย ➡️ ได้รับเงินทุนกว่า 6.2 พันล้านดอลลาร์ ➡️ มุ่งใช้ AI ปฏิวัติอุตสาหกรรมการผลิตขั้นสูง ‼️ คำเตือนและความเสี่ยง ⛔ การพึ่งพา AI ในอุตสาหกรรมสำคัญอาจสร้างความเสี่ยงหากระบบล้มเหลว ⛔ การแข่งขันกับบริษัทเทคโนโลยีใหญ่จะท้าทายและอาจนำไปสู่ความขัดแย้งด้านทรัพยากรบุคคล ⛔ การลงทุนมหาศาลอาจกดดันให้บริษัทต้องเร่งผลลัพธ์ ซึ่งเสี่ยงต่อการตัดสินใจผิดพลาด https://securityonline.info/jeff-bezos-returns-to-leadership-co-ceo-of-6-2-billion-ai-startup-project-prometheus/

🖥️ มัลแวร์ใหม่ DigitStealer โจมตี Mac รุ่น M2+ Jamf Threat Labs เปิดเผยการค้นพบมัลแวร์ใหม่ชื่อ DigitStealer ที่ถูกออกแบบมาเพื่อเจาะระบบ macOS โดยเฉพาะรุ่นที่ใช้ชิป Apple Silicon M2 หรือใหม่กว่า จุดเด่นคือการใช้เทคนิคขั้นสูง เช่น multi-stage payload, JXA (JavaScript for Automation) และการซ่อนตัวผ่าน Cloudflare Pages เพื่อหลบเลี่ยงการตรวจจับ 🔑 เป้าหมายหลัก: กระเป๋าเงินคริปโต Ledger Live หนึ่งในเป้าหมายสำคัญของ DigitStealer คือการแก้ไขและเปลี่ยนการตั้งค่าในแอป Ledger Live เพื่อส่งข้อมูล seed phrase และการตั้งค่ากระเป๋าเงินไปยังเซิร์ฟเวอร์ของผู้โจมตี มัลแวร์นี้ยังสามารถเข้าถึงข้อมูลจาก Electrum, Exodus, Coinomi และแม้แต่ macOS Keychain, VPN, Telegram ได้อีกด้วย 🛡️ เทคนิคการโจมตีที่ซับซ้อน DigitStealer ใช้การตรวจสอบฮาร์ดแวร์และ locale เพื่อตัดสินใจว่าจะทำงานหรือไม่ โดยมันจะไม่ทำงานบน VM, Intel Macs หรือแม้แต่ M1 Macs แต่จะทำงานเฉพาะบน M2 ขึ้นไป นอกจากนี้ยังใช้ AppleScript เพื่อหลอกให้ผู้ใช้กรอกรหัสผ่าน macOS และเก็บข้อมูล credential พร้อมทั้งสร้าง Launch Agent ที่ดึง payload จาก DNS TXT record เพื่อสร้าง backdoor ที่ทำงานต่อเนื่อง ⚠️ ความเสี่ยงและบทเรียน เหตุการณ์นี้สะท้อนให้เห็นว่าแม้ macOS จะถูกมองว่าปลอดภัย แต่ผู้โจมตีก็พัฒนาเทคนิคใหม่ๆ ที่เจาะจงไปยังสถาปัตยกรรมล่าสุดของ Apple ได้โดยตรง ผู้ใช้ที่เกี่ยวข้องกับคริปโตหรือข้อมูลสำคัญควรระวังเป็นพิเศษ และองค์กรควรเตรียมระบบตรวจจับภัยคุกคามที่ทันสมัยเพื่อรับมือกับมัลแวร์ที่ซับซ้อนเช่นนี้ 📌 สรุปสาระสำคัญ ✅ การค้นพบมัลแวร์ DigitStealer ➡️ เจาะระบบ macOS M2+ โดยใช้ JXA และ Cloudflare Pages ➡️ ใช้ multi-stage payload เพื่อหลบเลี่ยงการตรวจจับ ✅ เป้าหมายการโจมตี ➡️ มุ่งเป้าไปที่กระเป๋าเงินคริปโต Ledger Live ➡️ สามารถเข้าถึงข้อมูลจาก Keychain, VPN, Telegram และ browser ✅ เทคนิคที่ใช้ ➡️ ตรวจสอบ locale และฮาร์ดแวร์เพื่อเลือกเป้าหมาย ➡️ ใช้ AppleScript หลอกขอรหัสผ่าน macOS ➡️ สร้าง Launch Agent ที่ดึง payload จาก DNS TXT record ‼️ คำเตือนจากเหตุการณ์ ⛔ macOS ไม่ได้ปลอดภัยสมบูรณ์ ผู้โจมตีเริ่มเจาะจงรุ่นใหม่โดยตรง ⛔ ผู้ใช้คริปโตควรระวังเป็นพิเศษ เนื่องจาก seed phrase อาจถูกขโมย ⛔ องค์กรควรมีระบบตรวจจับภัยคุกคามที่ทันสมัยและแผนรับมือมัลแวร์ขั้นสูง https://securityonline.info/advanced-macos-digitstealer-targets-m2-macs-hijacking-ledger-live-via-jxa-and-dns-based-c2/

⚠️ ช่องโหว่ร้ายแรงใน W3 Total Cache (CVE-2025-9501) มีการเปิดเผยช่องโหว่ความปลอดภัยระดับ Critical ในปลั๊กอิน W3 Total Cache (W3TC) ที่ใช้กันอย่างแพร่หลายบน WordPress โดยมีการติดตั้งมากกว่า 1 ล้านเว็บไซต์ทั่วโลก ช่องโหว่นี้ถูกระบุว่าเป็น CVE-2025-9501 และได้รับคะแนนความรุนแรง CVSS 9.0 ซึ่งถือว่าอยู่ในระดับสูงสุดที่อาจนำไปสู่การโจมตีแบบ Remote Code Execution (RCE) โดยไม่ต้องมีการยืนยันตัวตน 🛠️ รายละเอียดช่องโหว่ ปัญหานี้เกิดจากการจัดการที่ไม่ถูกต้องในฟังก์ชันภายในของปลั๊กอินชื่อ _parse_dynamic_mfunc ซึ่งเปิดโอกาสให้ผู้โจมตีสามารถส่งคอมเมนต์ที่มี payload อันตราย เมื่อระบบทำการ parse คอมเมนต์นั้น เว็บไซต์จะรันโค้ด PHP ที่ผู้โจมตีใส่เข้ามา ส่งผลให้สามารถเข้าควบคุมเว็บไซต์ได้เต็มรูปแบบ เช่น การขโมยข้อมูล, ติดตั้ง backdoor, หรือกระจายมัลแวร์ 🔒 การแพตช์และการป้องกัน ช่องโหว่นี้ได้รับการแก้ไขแล้วในเวอร์ชัน W3 Total Cache 2.8.13 ผู้ดูแลเว็บไซต์ทุกคนถูกแนะนำให้อัปเดตทันทีเพื่อป้องกันการโจมตี เนื่องจากการโจมตีนี้ไม่ต้องใช้สิทธิ์ใด ๆ และสามารถทำได้ง่ายเพียงแค่โพสต์คอมเมนต์บนเว็บไซต์ที่ยังไม่ได้แพตช์ 🌍 ผลกระทบและแนวโน้ม ด้วยจำนวนการติดตั้งที่มากกว่า 1 ล้านเว็บไซต์ แม้เพียงส่วนน้อยที่ไม่ได้อัปเดต ก็สามารถสร้าง attack surface ขนาดใหญ่ ให้กับผู้โจมตีที่ใช้เครื่องมืออัตโนมัติในการสแกนและโจมตีเว็บไซต์ WordPress ที่ยังมีช่องโหว่ การเปิดเผย Proof-of-Concept (PoC) ถูกกำหนดไว้ในวันที่ 24 พฤศจิกายน 2025 เพื่อให้ผู้ดูแลมีเวลาอัปเดตก่อนที่โค้ดโจมตีจะถูกเผยแพร่สู่สาธารณะ 📌 สรุปสาระสำคัญ ✅ รายละเอียดช่องโหว่ CVE-2025-9501 ➡️ เกิดจากฟังก์ชัน _parse_dynamic_mfunc ใน W3TC ➡️ เปิดทางให้โจมตีแบบ Remote Code Execution โดยไม่ต้องยืนยันตัวตน ✅ การแพตช์ที่ปลอดภัย ➡️ แก้ไขแล้วใน W3 Total Cache เวอร์ชัน 2.8.13 ➡️ ผู้ดูแลเว็บไซต์ควรอัปเดตทันที ✅ ผลกระทบที่อาจเกิดขึ้น ➡️ การเข้าควบคุมเว็บไซต์เต็มรูปแบบ ➡️ การขโมยข้อมูลและติดตั้ง backdoor ‼️ คำเตือนด้านความปลอดภัย ⛔ เว็บไซต์ที่ยังไม่ได้อัปเดตเสี่ยงต่อการถูกโจมตีอัตโนมัติ ⛔ PoC จะถูกเผยแพร่ในวันที่ 24 พฤศจิกายน 2025 เพิ่มความเสี่ยงต่อการโจมตีจำนวนมาก https://securityonline.info/critical-w3-total-cache-flaw-cve-2025-9501-cvss-9-0-risks-unauthenticated-rce-on-1-million-wordpress-sites/

🌐 Google ออกแพตช์ฉุกเฉินแก้ไขช่องโหว่ Zero-Day บน Chrome Google ได้ปล่อยการอัปเดตฉุกเฉินสำหรับ Chrome Stable Channel เพื่อแก้ไขช่องโหว่ร้ายแรงใน V8 JavaScript Engine โดยเฉพาะ CVE-2025-13223 ซึ่งเป็นช่องโหว่แบบ Type Confusion ที่ถูกพบว่ามีการโจมตีจริงแล้วในโลกไซเบอร์ ช่องโหว่นี้สามารถนำไปสู่การ Heap Corruption และอาจทำให้ผู้โจมตีสามารถรันโค้ดอันตรายบนเครื่องเหยื่อได้ เพียงแค่เหยื่อเข้าเว็บไซต์ที่ถูกสร้างขึ้นมาเพื่อโจมตี 🛠️ รายละเอียดช่องโหว่และการโจมตี ช่องโหว่ CVE-2025-13223 ถูกค้นพบโดย Google Threat Analysis Group (TAG) ซึ่งมักติดตามการโจมตีขั้นสูงที่มีเป้าหมายเฉพาะ การโจมตีนี้ถือเป็น Drive-by Attack ที่อันตรายมาก เพราะผู้ใช้ไม่จำเป็นต้องดาวน์โหลดไฟล์ใด ๆ เพียงแค่เข้าเว็บที่ฝังโค้ดอันตรายก็สามารถถูกโจมตีได้ทันที นอกจากนี้ Google ยังแก้ไขช่องโหว่อีกหนึ่งรายการใน V8 Engine คือ CVE-2025-13224 แม้ยังไม่มีรายงานการโจมตี แต่ก็ถูกจัดเป็นช่องโหว่ระดับสูงเช่นกัน ⚡ คำแนะนำจาก Google Google แนะนำให้ผู้ใช้ อัปเดต Chrome ทันที โดยเวอร์ชันที่ปลอดภัยคือ 142.0.7444.175/.176 บน Windows, 142.0.7444.176 บน Mac และ 142.0.7444.175 บน Linux การอัปเดตสามารถทำได้ง่าย ๆ ผ่านเมนู Help → About Google Chrome ซึ่งจะตรวจสอบและดาวน์โหลดแพตช์โดยอัตโนมัติ จากนั้นผู้ใช้ต้องกด Relaunch เพื่อให้การแก้ไขมีผล 🌍 ความสำคัญในระดับโลก การออกแพตช์ฉุกเฉินครั้งนี้สะท้อนให้เห็นถึงความรุนแรงของช่องโหว่ที่ถูกใช้โจมตีจริง และตอกย้ำว่าการอัปเดตซอฟต์แวร์อย่างสม่ำเสมอเป็นสิ่งจำเป็นต่อการป้องกันภัยคุกคามไซเบอร์ โดยเฉพาะเบราว์เซอร์ที่เป็นเครื่องมือหลักในการเข้าถึงอินเทอร์เน็ต หากผู้ใช้ละเลยการอัปเดต อาจเสี่ยงต่อการถูกโจมตีโดยไม่รู้ตัว 📌 สรุปสาระสำคัญ ✅ ช่องโหว่ CVE-2025-13223 ➡️ Type Confusion ใน V8 Engine ➡️ ถูกโจมตีจริงแล้ว (Zero-Day) ✅ ช่องโหว่ CVE-2025-13224 ➡️ Type Confusion เช่นกัน ➡️ ยังไม่มีรายงานการโจมตี แต่จัดเป็น High Severity ✅ การอัปเดตที่ปลอดภัย ➡️ Windows: 142.0.7444.175/.176 ➡️ Mac: 142.0.7444.176 ➡️ Linux: 142.0.7444.175 ‼️ คำเตือนด้านความปลอดภัย ⛔ ผู้ใช้เสี่ยงถูกโจมตีเพียงแค่เข้าเว็บที่ฝังโค้ดอันตราย ⛔ หากไม่อัปเดต Chrome ทันที อาจถูกโจมตีแบบ Drive-by Attack https://securityonline.info/google-patches-actively-exploited-chrome-zero-day-flaw-cve-2025-13223-in-emergency-update/

🐉 Dragon Breath APT เปิดตัว RoningLoader โจมตีขั้นสูง กลุ่ม Dragon Breath APT (APT-Q-27) ถูกเปิดโปงโดย Elastic Security Labs ว่ากำลังดำเนินการแคมเปญมัลแวร์ใหม่ที่ใช้ RoningLoader ซึ่งเป็นตัวโหลดหลายขั้นตอนที่มีความซับซ้อนสูง จุดเด่นคือการใช้ Kernel Driver ที่เซ็นรับรองอย่างถูกต้อง และการ โจมตี Protected Process Light (PPL) เพื่อปิดการทำงานของ Windows Defender ได้อย่างมีประสิทธิภาพ 🛠️ เทคนิคการโจมตีที่ซับซ้อน RoningLoader ถูกปล่อยผ่าน ตัวติดตั้งที่ถูกปลอมแปลงเป็นแอปพลิเคชันที่เชื่อถือได้ เช่น Google Chrome และ Microsoft Teams โดยในเบื้องหน้าจะติดตั้งแอปจริงเพื่อสร้างความน่าเชื่อถือ แต่เบื้องหลังจะรันโค้ดอันตรายแบบเงียบ ๆ แคมเปญนี้ยังใช้ Phantom DLL sideloading, reflective loading, process hollowing และ remote thread execution เพื่อฉีดโค้ดเข้าสู่ระบบอย่างแนบเนียน 🔒 การปิดระบบป้องกันและเลี่ยงการตรวจจับ หนึ่งในเทคนิคที่น่ากังวลคือการใช้ ClipUp.exe พร้อม custom hooks เพื่อเขียนทับไฟล์สำคัญของ Defender ทำให้ระบบป้องกันถูกปิดแม้หลังรีบูต อีกทั้งยังใช้ WDAC policy ที่ไม่ได้เซ็นรับรอง เพื่อบล็อกโปรแกรมป้องกันไวรัสยอดนิยมในจีน เช่น 360 Total Security และ Huorong ซึ่งสะท้อนถึงการมุ่งเป้าโจมตีผู้ใช้ที่พูดภาษาจีนโดยเฉพาะ 🕵️ เป้าหมายและ Payload สุดท้าย เมื่อกระบวนการโหลดเสร็จสิ้น RoningLoader จะติดตั้ง Gh0st RAT รุ่นปรับปรุง ซึ่งสามารถทำงานได้หลายอย่าง เช่น การสั่งรันคำสั่งระยะไกล, keylogging, clipboard hijacking (รวมถึงการแทนที่ address ของกระเป๋าเงินคริปโต), และการส่งข้อมูลระบบไปยังเซิร์ฟเวอร์ควบคุม การโจมตีนี้จึงไม่เพียงแต่เป็นการสอดแนม แต่ยังมีเป้าหมายเพื่อ ขโมยคริปโตเคอร์เรนซี อีกด้วย 📌 สรุปสาระสำคัญ ✅ Dragon Breath APT เปิดตัว RoningLoader ➡️ ใช้ Kernel Driver ที่เซ็นรับรองเพื่อฆ่าโปรเซสป้องกัน ➡️ ใช้ PPL abuse ปิด Windows Defender ✅ เทคนิคการโจมตีขั้นสูง ➡️ Phantom DLL sideloading และ reflective loading ➡️ Process hollowing และ remote thread execution ✅ การเลี่ยงการตรวจจับ ➡️ ใช้ ClipUp.exe เขียนทับไฟล์ Defender ➡️ WDAC policy ที่ไม่ได้เซ็นรับรอง บล็ก AV จีน ✅ Payload สุดท้าย Gh0st RAT ➡️ Keylogging, clipboard hijacking, system profiling ➡️ ขโมยข้อมูลและ cryptocurrency ‼️ คำเตือนด้านความปลอดภัย ⛔ การใช้ driver ที่เซ็นรับรองจริงทำให้การตรวจจับยากขึ้น ⛔ ผู้ใช้ในจีนเสี่ยงสูงจากการบล็อก AV ยอดนิยม ⛔ Clipboard hijacking อาจทำให้สูญเสียเงินคริปโตทันที https://securityonline.info/dragon-breath-apt-deploys-roningloader-using-kernel-driver-and-ppl-abuse-to-disable-windows-defender/

💻 แก๊งแรนซัมแวร์ Akira ทำรายได้จากการโจมตีไปแล้วกว่า 244 ล้านดอลลาร์สหรัฐ หน่วยงาน CISA และ Europol ร่วมกันออกคำเตือนเกี่ยวกับภัยคุกคามจาก Akira ransomware ที่กำลังพัฒนาอย่างรวดเร็ว โดยข้อมูลล่าสุดระบุว่า ตั้งแต่เดือนมีนาคม 2023 จนถึงกันยายน 2025 แก๊งนี้สามารถทำรายได้จากการโจมตีรวมกว่า 244.17 ล้านดอลลาร์สหรัฐ ซึ่งทำให้ Akira กลายเป็นหนึ่งในกลุ่มแรนซัมแวร์ที่ทำเงินได้สูงที่สุดในโลก 🖥️ ขยายเป้าหมายสู่ Nutanix AHV และแพลตฟอร์มเสมือนจริง หนึ่งในประเด็นสำคัญคือ Akira ได้เพิ่มความสามารถในการเข้ารหัสไฟล์ของ Nutanix AHV virtual machines โดยใช้ช่องโหว่ SonicWall (CVE-2024-40766) ซึ่งทำให้การโจมตีสามารถกระทบต่อองค์กรที่ใช้ระบบเสมือนจริงในระดับกว้าง นอกจากนี้ Akira ยังใช้การเข้ารหัสแบบ ChaCha20 + RSA hybrid scheme ที่รวดเร็วและปลอดภัย พร้อมเพิ่มนามสกุลไฟล์ใหม่ เช่น .akira, .powerranges, .akiranew, และ .aki เพื่อปิดกั้นข้อมูลของเหยื่อ ⚠️ เทคนิคการโจมตีที่ซับซ้อนและรวดเร็ว รายงานระบุว่า Akira สามารถ ขโมยข้อมูลภายในเวลาเพียง 2 ชั่วโมงหลังจากเจาะระบบ ซึ่งทำให้องค์กรจำนวนมากไม่ทันตรวจจับการบุกรุก นอกจากนี้ยังมีการใช้ช่องโหว่ VPN ของ Cisco (เช่น CVE-2020-3259, CVE-2023-20269) รวมถึง SonicWall และ Veeam เพื่อเข้าถึงระบบ พร้อมใช้เครื่องมือที่ถูกต้องตามกฎหมาย เช่น AnyDesk, LogMeIn, RClone และ WinRAR ในการเคลื่อนย้ายและขโมยข้อมูล 🌍 แนวโน้มและคำแนะนำจากหน่วยงานความปลอดภัย CISA และพันธมิตรแนะนำให้องค์กรทั่วโลกเร่งดำเนินมาตรการ เช่น เปิดใช้ MFA ที่ต้านฟิชชิ่ง, อัปเดตแพตช์ช่องโหว่, สำรองข้อมูลแบบออฟไลน์, และใช้ระบบ EDR ตรวจจับพฤติกรรมผิดปกติ เพื่อรับมือกับการโจมตีที่ซับซ้อนและรวดเร็วของ Akira 📌 สรุปสาระสำคัญ ✅ รายได้ของ Akira Ransomware ➡️ ทำเงินไปแล้วกว่า 244.17 ล้านดอลลาร์สหรัฐ ➡️ กลายเป็นหนึ่งในกลุ่มแรนซัมแวร์ที่ทำเงินสูงสุด ✅ การขยายเป้าหมายใหม่ ➡️ เข้ารหัส Nutanix AHV VM ผ่านช่องโหว่ SonicWall ➡️ ใช้การเข้ารหัสแบบ ChaCha20 + RSA พร้อมนามสกุลไฟล์ใหม่ ✅ เทคนิคการโจมตี ➡️ ขโมยข้อมูลภายใน 2 ชั่วโมงหลังเจาะระบบ ➡️ ใช้ช่องโหว่ VPN และเครื่องมือที่ถูกต้องตามกฎหมายในการโจมตี ‼️ คำเตือนจากหน่วยงานความปลอดภัย ⛔ องค์กรเสี่ยงถูกโจมตีหากไม่อัปเดตแพตช์และไม่มี MFA ⛔ การพึ่งพา VPN และระบบเสมือนจริงเพิ่มช่องโหว่ใหม่ที่ต้องจัดการ https://securityonline.info/cisa-europol-warn-akira-ransomware-profits-hit-244m-group-expands-to-encrypt-nutanix-ahv-vms/

🌐 Frentree จับมือ AccuKnox ขยาย Zero Trust CNAPP ในเกาหลีใต้ Frentree บริษัทโซลูชันด้านความปลอดภัยไซเบอร์จากเกาหลีใต้ ได้ประกาศความร่วมมือกับ AccuKnox ผู้เชี่ยวชาญด้าน Zero Trust CNAPP (Cloud-Native Application Protection Platform) เพื่อเสริมความปลอดภัยให้กับองค์กรในภูมิภาค โดยความร่วมมือนี้มีเป้าหมายเพื่อยกระดับการป้องกันภัยคุกคามในระบบคลาวด์ คอนเทนเนอร์ และ AI workloads ซึ่งกำลังเติบโตอย่างรวดเร็วในตลาดเกาหลีใต้ การจับมือครั้งนี้เกิดขึ้นจากความต้องการขององค์กรในเกาหลีใต้ที่ต้องการระบบ Visibility ครอบคลุม, Runtime Protection ที่ปรับขยายได้ และ Compliance อัตโนมัติ เพื่อรับมือกับการโจมตีไซเบอร์ที่ซับซ้อนมากขึ้น โดย Frentree เลือก AccuKnox เพราะมีความเชี่ยวชาญด้านสถาปัตยกรรม Zero Trust และเป็นผู้ร่วมพัฒนาโครงการโอเพนซอร์ส CNCF เช่น KubeArmor และ ModelArmor ซึ่งช่วยให้แพลตฟอร์มมีความยืดหยุ่นและน่าเชื่อถือ ในเชิงกลยุทธ์ ความร่วมมือนี้สะท้อนถึงการที่ตลาดเกาหลีใต้กำลังเร่งการนำระบบคลาวด์มาใช้ในภาคการเงินและองค์กรขนาดใหญ่ การมีโซลูชันที่สามารถตรวจสอบและป้องกันภัยคุกคามได้ตั้งแต่ระดับโค้ดจนถึงการทำงานจริง จึงเป็นสิ่งจำเป็นต่อการสร้างความมั่นใจให้กับลูกค้าและผู้ลงทุน อีกทั้งยังช่วยให้บริษัทสามารถปฏิบัติตามข้อกำหนดด้านความปลอดภัยและความเป็นส่วนตัวที่เข้มงวดในภูมิภาค นอกจากนี้ แนวโน้มระดับโลกยังชี้ให้เห็นว่า Zero Trust และ CNAPP กำลังกลายเป็นมาตรฐานใหม่ ในการป้องกันภัยคุกคามไซเบอร์ โดยเฉพาะในภูมิภาคเอเชียที่มีการลงทุนด้าน AI และคลาวด์สูง การที่ Frentree และ AccuKnox ร่วมมือกันจึงไม่เพียงแต่เป็นการเสริมความปลอดภัย แต่ยังเป็นการสร้างความได้เปรียบเชิงการแข่งขันในตลาดที่มีการเปลี่ยนแปลงอย่างรวดเร็ว 📌 สรุปสาระสำคัญ ✅ ความร่วมมือ Frentree – AccuKnox ➡️ เสริมความปลอดภัยไซเบอร์ในเกาหลีใต้ ➡️ เน้นระบบ Zero Trust CNAPP ครอบคลุมคลาวด์ คอนเทนเนอร์ และ AI workloads ✅ จุดเด่นของ AccuKnox ➡️ มีความเชี่ยวชาญด้าน Zero Trust Architecture ➡️ เป็นผู้ร่วมพัฒนาโครงการโอเพนซอร์ส CNCF เช่น KubeArmor และ ModelArmor ✅ ผลลัพธ์ที่คาดหวัง ➡️ เพิ่ม Visibility และ Runtime Protection ที่ปรับขยายได้ ➡️ Compliance อัตโนมัติ รองรับข้อกำหนดเข้มงวดในเกาหลีใต้ ‼️ ความท้าทายและคำเตือน ⛔ ภัยคุกคามไซเบอร์ในภูมิภาคมีความซับซ้อนและพัฒนาอย่างต่อเนื่อง ⛔ การเร่งนำระบบคลาวด์และ AI มาใช้ อาจเพิ่มช่องโหว่ใหม่ที่ต้องจัดการอย่างจริงจัง https://securityonline.info/frentree-partners-with-accuknox-to-expand-zero-trust-cnapp-security-in-south-korea/

🛡️ Alice Blue จับมือ AccuKnox เสริมความปลอดภัยและการกำกับดูแล Alice Blue บริษัทด้านการเงินและโบรกเกอร์ชั้นนำของอินเดีย ได้ประกาศความร่วมมือกับ AccuKnox ผู้เชี่ยวชาญด้าน Zero Trust CNAPP (Cloud-Native Application Protection Platform) เพื่อยกระดับมาตรการความปลอดภัยและการปฏิบัติตามข้อกำหนดด้านกฎหมายการเงิน โดยความร่วมมือนี้ดำเนินการผ่านพันธมิตร Airowire ซึ่งมีบทบาทสำคัญในการผลักดันโซลูชันด้านความปลอดภัยสู่ตลาดที่มีการกำกับดูแลเข้มงวด การตัดสินใจเลือก AccuKnox เกิดขึ้นหลังจาก Alice Blue ได้ทำการประเมินผู้ให้บริการหลายราย โดยพบว่าแพลตฟอร์ม Zero Trust CNAPP ของ AccuKnox มีความโดดเด่นในด้านการทำงานแบบ Agentless ลดภาระการดูแลระบบ และสามารถปรับใช้ได้รวดเร็ว พร้อมทั้งสอดคล้องกับมาตรฐานสำคัญ เช่น RBI, SEBI, PCI-DSS, ISO และ SOC 2 ซึ่งเป็นข้อกำหนดหลักในอุตสาหกรรมการเงินของอินเดีย นอกจากการเสริมความปลอดภัยแล้ว ความร่วมมือนี้ยังช่วยให้ Alice Blue สามารถสร้างความมั่นใจให้กับลูกค้า ด้วยระบบที่มีการตรวจสอบและป้องกันภัยคุกคามแบบต่อเนื่อง ตั้งแต่ระดับโค้ดไปจนถึงการทำงานจริงในระบบคลาวด์และ AI workloads อีกทั้งยังช่วยลดความเสี่ยงและเพิ่มความโปร่งใสในการดำเนินงาน ซึ่งถือเป็นการยกระดับมาตรฐานการให้บริการในตลาดการเงินที่แข่งขันสูง ในมุมมองที่กว้างขึ้น ความร่วมมือเช่นนี้สะท้อนถึงแนวโน้มที่สถาบันการเงินทั่วโลกกำลังหันมาใช้แนวคิด Zero Trust และ CNAPP เพื่อรับมือกับภัยคุกคามไซเบอร์ที่ซับซ้อนมากขึ้น โดยเฉพาะในยุคที่การทำงานบนระบบคลาวด์และ AI มีบทบาทสำคัญต่อธุรกิจ การลงทุนในโครงสร้างความปลอดภัยที่แข็งแกร่งจึงไม่ใช่เพียงการปฏิบัติตามกฎระเบียบ แต่ยังเป็นการสร้างความได้เปรียบเชิงกลยุทธ์อีกด้วย 📌 สรุปสาระสำคัญ ✅ ความร่วมมือ Alice Blue – AccuKnox ➡️ เสริมความปลอดภัยและการกำกับดูแลในระบบการเงินอินเดีย ➡️ ใช้ Zero Trust CNAPP แบบ Agentless ลดภาระการจัดการ ✅ มาตรฐานการกำกับดูแลที่รองรับ ➡️ สอดคล้องกับ RBI, SEBI, PCI-DSS, ISO และ SOC 2 ➡️ เพิ่มความมั่นใจให้ลูกค้าและผู้ลงทุน ✅ ผลลัพธ์ที่คาดหวังจากความร่วมมือ ➡️ การตรวจสอบและป้องกันภัยคุกคามแบบต่อเนื่อง ➡️ ลดความเสี่ยงและเพิ่มความโปร่งใสในการดำเนินงาน ‼️ ความท้าทายและคำเตือน ⛔ ภัยคุกคามไซเบอร์มีการพัฒนาอย่างต่อเนื่อง อาจต้องปรับปรุงระบบตลอดเวลา ⛔ การพึ่งพาโครงสร้างคลาวด์และ AI ทำให้ต้องเผชิญความเสี่ยงใหม่ที่ซับซ้อนมากขึ้น https://securityonline.info/alice-blue-partners-with-accuknox-for-regulatory-compliance/