ผู้เชี่ยวชาญและบุคคลวงในเปิดเผยกับสำนักข่าวเอเอฟพีว่าการโจมตีเคเค พาร์ก (KK Park) ศูนย์หลอกลวงทางอินเทอร์เน็ตสุดอื้อฉาวของพม่าเมื่อเร็วๆ นี้ ได้จุดชนวนให้เกิดการแย่งชิงคนงานหลังมีคนหลบหนีไปเป็นจำนวนมาก ขณะเดียวกันคนงานที่หนีการปราบปรามได้แห่ไปสมัครงานในศูนย์หลอกลวงที่อยู่ใกล้เคียง อ่านต่อ..https://news1live.com/detail/9680000105396 #News1live #News1 #Sondhitalk #SondhiX #คุยทุกเรื่องกับสนธิ #สนธิเล่าเรื่อง #Thaitimes #กัมพูชายิงก่อน #ไทยนี้รักสงบแต่ถึงรบไม่ขลาด #CambodiaOpenedFire #เขมรลักลอบวางระเบิด

🕵️‍♂️ เมื่อผู้พิทักษ์กลายเป็นผู้ร้าย – อดีตเจ้าหน้าที่ไซเบอร์ถูกตั้งข้อหาแฮกข้อมูลเพื่อเรียกค่าไถ่ อดีตพนักงานด้านความปลอดภัยไซเบอร์ถูกกล่าวหาว่าใช้ความรู้และตำแหน่งในบริษัทเพื่อก่ออาชญากรรมไซเบอร์ โดยร่วมมือกันโจมตีระบบของบริษัทต่าง ๆ เพื่อเรียกค่าไถ่เป็นเงินคริปโตมูลค่าหลายล้านดอลลาร์ 👥 จำนวนผู้เกี่ยวข้อง: 3 คน 1. Ryan Clifford Goldberg 🏢 ตำแหน่งเดิม: อดีตผู้อำนวยการฝ่ายตอบสนองเหตุการณ์ (Director of Incident Response) ที่บริษัท Sygnia Consulting Ltd. 🎭 บทบาทในคดี: 🎗️ เป็นหนึ่งในผู้วางแผนและดำเนินการแฮกระบบของบริษัทต่าง ๆ 🎗️ มีส่วนร่วมในการใช้มัลแวร์ ALPHV/BlackCat เพื่อเข้ารหัสข้อมูลของเหยื่อ 🎗️ ได้รับเงินค่าไถ่ร่วมกับผู้ร่วมขบวนการจากบริษัทอุปกรณ์การแพทย์ในฟลอริดา มูลค่าเกือบ 1.3 ล้านดอลลาร์ 🎗️ ถูกควบคุมตัวในเรือนจำกลาง 2. Kevin Tyler Martin 🏢 ตำแหน่งเดิม: นักเจรจาค่าไถ่ (Ransomware Negotiator) ของบริษัท DigitalMint 🎭 บทบาทในคดี: 🎗️ ร่วมมือกับ Goldberg ในการแฮกและเรียกค่าไถ่จากเหยื่อ 🎗️ ใช้ความรู้จากงานเจรจาค่าไถ่เพื่อวางแผนโจมตี 🎗️ ได้รับการประกันตัวและให้การปฏิเสธข้อกล่าวหา 3. บุคคลที่สาม (ยังไม่เปิดเผยชื่อ) 🏢 สถานะ: ยังไม่ถูกตั้งข้อหา และไม่มีการเปิดเผยชื่อในเอกสารของศาล 🎭 บทบาทในคดี: 🎗️ มีส่วนร่วมในการแฮกและรับเงินค่าไถ่ร่วมกับ Goldberg และ Martin 🎗️ เป็นหนึ่งในผู้ที่ได้รับผลประโยชน์จากการโจมตีบริษัทในฟลอริดา 🧨 ความซับซ้อนของอุตสาหกรรมเจรจาค่าไถ่ ทั้งสามคนทำงานในอุตสาหกรรมที่มีหน้าที่ช่วยบริษัทเจรจากับแฮกเกอร์เพื่อปลดล็อกระบบ ซึ่งบางครั้งก็ต้องจ่ายค่าไถ่เพื่อให้ระบบกลับมาใช้งานได้ แต่ในกรณีนี้ พวกเขากลับใช้ตำแหน่งนั้นในการก่ออาชญากรรมเสียเอง พวกเขายังถูกกล่าวหาว่าแบ่งผลกำไรกับผู้พัฒนามัลแวร์ที่ใช้ในการโจมตี และพยายามแฮกบริษัทอื่น ๆ เช่น บริษัทเภสัชกรรมในแมริแลนด์ ผู้ผลิตโดรนในเวอร์จิเนีย และคลินิกในแคลิฟอร์เนีย ✅ ผู้ต้องหาคืออดีตเจ้าหน้าที่ด้านความปลอดภัยไซเบอร์ ➡️ Goldberg จาก Sygnia และ Martin จาก DigitalMint ➡️ ใช้มัลแวร์ ALPHV BlackCat ในการโจมตี ➡️ ได้รับเงินค่าไถ่จากบริษัทในฟลอริดาเกือบ 1.3 ล้านดอลลาร์ ✅ บริษัทต้นสังกัดออกแถลงการณ์ปฏิเสธการมีส่วนเกี่ยวข้อง ➡️ DigitalMint ยืนยันว่าเหตุการณ์อยู่นอกขอบเขตงานของพนักงาน ➡️ Sygnia ระบุว่าไล่ออก Goldberg ทันทีเมื่อทราบเรื่อง ➡️ ไม่มีข้อมูลว่าบริษัทใดถูกแฮกในเอกสารของศาล ✅ สถานะของผู้ต้องหา ➡️ Goldberg ถูกควบคุมตัวในเรือนจำกลาง ➡️ Martin ได้รับการประกันตัวและให้การปฏิเสธข้อกล่าวหา ➡️ บุคคลที่สามยังไม่ถูกตั้งข้อหาและไม่เปิดเผยชื่อ ‼️ ความเสี่ยงจากการมีช่องโหว่ภายในองค์กร ⛔ พนักงานที่มีสิทธิ์เข้าถึงระบบสามารถใช้ข้อมูลในทางมิชอบ ⛔ การทำงานในอุตสาหกรรมเจรจาค่าไถ่อาจเปิดช่องให้เกิดการแอบแฝง ⛔ การไม่ตรวจสอบพฤติกรรมพนักงานอย่างต่อเนื่องอาจนำไปสู่การละเมิด ‼️ ผลกระทบต่อความเชื่อมั่นในอุตสาหกรรมไซเบอร์ ⛔ ลูกค้าอาจสูญเสียความไว้วางใจต่อบริษัทที่เกี่ยวข้อง ⛔ ภาพลักษณ์ของอุตสาหกรรมเจรจาค่าไถ่อาจถูกตั้งคำถาม ⛔ การใช้มัลแวร์ที่มีผู้พัฒนาอยู่เบื้องหลังอาจเชื่อมโยงไปสู่เครือข่ายอาชญากรรมขนาดใหญ่ https://www.thestar.com.my/tech/tech-news/2025/11/04/ex-cybersecurity-staffers-charged-with-moonlighting-as-hackers

📱 หัวข้อข่าว: พบช่องโหว่ Zero-Click RCE ร้ายแรงใน Android 13–16—แนะผู้ใช้รีบอัปเดตทันที! Google ได้ออกประกาศเตือนภัยผ่าน Android Security Bulletin ประจำเดือนพฤศจิกายน 2025 ถึงช่องโหว่ร้ายแรงระดับ “critical” ที่พบใน System Component ของ Android เวอร์ชัน 13 ถึง 16 โดยช่องโหว่นี้สามารถถูกโจมตีจากระยะไกลโดยไม่ต้องมีการโต้ตอบจากผู้ใช้เลย—หรือที่เรียกว่า “Zero-Click Remote Code Execution (RCE)” ซึ่งอาจเปิดทางให้แฮกเกอร์เข้าควบคุมอุปกรณ์ได้ทันที ✅ ช่องโหว่ CVE-2025-48593 ถูกจัดอยู่ในระดับ “critical” ➡️ ไม่ต้องใช้สิทธิ์เพิ่มเติมในการโจมตี ➡️ ไม่ต้องมีการโต้ตอบจากผู้ใช้ เช่น การคลิกลิงก์หรือเปิดไฟล์ ✅ ส่งผลกระทบต่อ Android เวอร์ชัน 13 ถึง 16 ➡️ ครอบคลุมอุปกรณ์จำนวนมากในตลาด ➡️ ผู้ใช้ควรตรวจสอบว่าได้รับแพตช์เดือนพฤศจิกายน 2025 แล้วหรือยัง ✅ Google ยังไม่เปิดเผยรายละเอียดทางเทคนิค ➡️ เพื่อป้องกันการนำไปใช้โจมตีในวงกว้าง ➡️ แต่ยืนยันว่าความรุนแรงขึ้นอยู่กับการหลบหลีกมาตรการป้องกันของระบบ ✅ แพตช์ความปลอดภัย 2025-11-01 ได้แก้ไขช่องโหว่นี้แล้ว ➡️ ผู้ผลิตเช่น Samsung, Pixel, OnePlus จะรวมแพตช์ใน OTA ประจำเดือน ➡️ การอัปเดตทันทีเป็นสิ่งจำเป็นเพื่อความปลอดภัย ✅ ช่องโหว่อื่นที่ถูกแก้ไขร่วมด้วย ➡️ CVE-2025-48581: Elevation of Privilege (EoP) ใน System Component ➡️ อาจทำให้ผู้โจมตีเข้าถึงสิทธิ์ระดับสูงในอุปกรณ์ https://securityonline.info/android-zero-click-rce-cve-2025-48593-in-system-component-requires-immediate-patch-for-versions-13-16/

🧨 ช่องโหว่ CVE-2025-58726: เมื่อ Windows ยอมให้เครื่อง “หลอกตัวเอง” จนถูกยึดสิทธิ์ระดับสูง นักวิจัยด้านความปลอดภัย Andrea Pierini จาก Semperis ได้เปิดเผยช่องโหว่ใหม่ใน Windows ที่ถูกระบุว่าเป็น CVE-2025-58726 ซึ่งสามารถถูกใช้เพื่อยกระดับสิทธิ์จากผู้ใช้ทั่วไปให้กลายเป็น SYSTEM ได้ — โดยไม่ต้องรู้รหัสผ่านใด ๆ ช่องโหว่นี้เกิดจากการที่ Windows ยอมให้การสะท้อนการพิสูจน์ตัวตน (Authentication Reflection) ผ่านโปรโตคอล Kerberos ทำงานได้ แม้จะมีการแก้ไขช่องโหว่ก่อนหน้าอย่าง CVE-2025-33073 ไปแล้วก็ตาม จุดอ่อนหลักอยู่ที่ “Ghost SPNs” — คือ Service Principal Names ที่อ้างถึงโฮสต์เนมที่ไม่มีอยู่จริงใน DNS แต่ยังคงอยู่ใน Active Directory จากการลบระบบไม่หมดหรือการตั้งค่าผิดพลาด เมื่อผู้โจมตีสามารถลงทะเบียน DNS record ให้ชี้ไปยัง IP ที่ควบคุมได้ ก็สามารถหลอกให้เครื่องเป้าหมาย “พิสูจน์ตัวตนกับตัวเอง” ผ่าน SMB ได้ และกลายเป็นการยกระดับสิทธิ์แบบเต็มรูปแบบ การโจมตีนี้สามารถทำได้แม้เป็นผู้ใช้ระดับต่ำในโดเมน และไม่ต้องใช้ข้อมูลรับรองใด ๆ — เพียงแค่มีสิทธิ์ลงทะเบียน DNS ซึ่งเป็นสิ่งที่ Active Directory อนุญาตโดยค่าเริ่มต้น Microsoft ได้ออกแพตช์แก้ไขในเดือนตุลาคม 2025 โดยการปรับปรุงในไดรเวอร์ SRV2.SYS ซึ่งเป็นส่วนที่จัดการ SMB ฝั่งเซิร์ฟเวอร์ ✅ ช่องโหว่ CVE-2025-58726 เปิดทางให้ผู้ใช้ระดับต่ำยกระดับสิทธิ์เป็น SYSTEM ➡️ ใช้เทคนิค Kerberos Authentication Reflection ผ่าน SMB ➡️ ไม่ต้องใช้รหัสผ่านหรือข้อมูลรับรองใด ๆ ✅ ใช้ Ghost SPNs เป็นจุดเริ่มต้นของการโจมตี ➡️ SPNs ที่อ้างถึงโฮสต์เนมที่ไม่มีอยู่จริงใน DNS ➡️ ผู้โจมตีลงทะเบียน DNS record ให้ชี้ไปยัง IP ที่ควบคุมได้ ✅ การพิสูจน์ตัวตนสะท้อนกลับทำให้เครื่อง “หลอกตัวเอง” ➡️ เครื่องเป้าหมายขอ TGS ticket สำหรับ Ghost SPN ➡️ เมื่อรับกลับมา ก็พิสูจน์ตัวตนกับตัวเองในฐานะ SYSTEM ✅ Microsoft ออกแพตช์ในเดือนตุลาคม 2025 ➡️ ปรับปรุงใน SRV2.SYS เพื่อปิดช่องโหว่ ➡️ ช่องโหว่นี้มีผลกับทุกเวอร์ชันของ Windows หากไม่เปิดใช้ SMB Signing https://securityonline.info/researcher-details-windows-smb-server-elevation-of-privilege-vulnerability-cve-2025-58726/

🕵️‍♂️ เมื่อ AI กลายเป็นช่องทางลับ: มัลแวร์ SesameOp แอบใช้ OpenAI API เป็นช่องสื่อสารลับ ลองจินตนาการว่าเครื่องมือ AI ที่เราใช้สร้างผู้ช่วยอัจฉริยะ กลับถูกใช้เป็นช่องทางลับในการสื่อสารของแฮกเกอร์ — นั่นคือสิ่งที่เกิดขึ้นจริงในกรณีของ SesameOp มัลแวร์สายจารกรรมที่ถูกค้นพบโดยทีม Microsoft DART (Detection and Response Team) ในเดือนกรกฎาคม 2025 Microsoft ตรวจพบการโจมตีที่ซับซ้อน ซึ่งแฮกเกอร์ได้ฝังมัลแวร์ไว้ในระบบองค์กรผ่านการฉีดโค้ดลงใน Visual Studio โดยใช้เทคนิค .NET AppDomainManager injection เพื่อหลบเลี่ยงการตรวจจับและคงอยู่ในระบบได้นานหลายเดือน แต่สิ่งที่ทำให้ SesameOp โดดเด่นคือการใช้ OpenAI Assistants API — บริการคลาวด์ที่ถูกออกแบบมาเพื่อสร้างผู้ช่วย AI — เป็นช่องทางสื่อสารลับ (Command-and-Control หรือ C2) โดยไม่ต้องตั้งเซิร์ฟเวอร์แฮกเองให้เสี่ยงถูกจับได้ SesameOp ไม่ได้เรียกใช้โมเดล AI หรือ SDK ของ OpenAI แต่ใช้ API เพื่อดึงคำสั่งที่ถูกเข้ารหัสไว้ แล้วนำไปประมวลผลในเครื่องที่ติดมัลแวร์ จากนั้นก็ส่งผลลัพธ์กลับไปยังแฮกเกอร์ผ่าน API เดิม โดยทั้งหมดถูกซ่อนอยู่ในทราฟฟิก HTTPS ปกติ ทำให้ยากต่อการตรวจจับ Microsoft ยืนยันว่าเหตุการณ์นี้ไม่ใช่ช่องโหว่ของ OpenAI แต่เป็นการ “ใช้ฟีเจอร์อย่างผิดวัตถุประสงค์” และได้ร่วมมือกับ OpenAI เพื่อปิดบัญชีและ API key ที่ถูกใช้ในการโจมตี ✅ มัลแวร์ SesameOp ใช้ OpenAI Assistants API เป็นช่องทางสื่อสารลับ ➡️ ไม่ใช้โมเดล AI หรือ SDK แต่ใช้ API เพื่อรับคำสั่งและส่งผลลัพธ์ ➡️ ซ่อนการสื่อสารในทราฟฟิก HTTPS ปกติ ทำให้ตรวจจับได้ยาก ✅ ถูกค้นพบโดย Microsoft DART ในการสืบสวนเหตุการณ์โจมตีองค์กร ➡️ ใช้เทคนิค .NET AppDomainManager injection ใน Visual Studio ➡️ ฝังโค้ดเพื่อคงอยู่ในระบบและหลบเลี่ยงการตรวจจับ ✅ Microsoft และ OpenAI ร่วมมือกันปิดบัญชีและ API key ที่ถูกใช้ ➡️ ยืนยันว่าไม่ใช่ช่องโหว่ของระบบ แต่เป็นการใช้ฟีเจอร์ผิดวัตถุประสงค์ ➡️ API ดังกล่าวจะถูกยกเลิกในเดือนสิงหาคม 2026 ✅ การเข้ารหัสข้อมูลใช้ทั้ง AES-256 และ RSA ➡️ ข้อมูลถูกบีบอัดด้วย GZIP ก่อนส่งกลับผ่าน API ➡️ เพิ่มความลับและลดขนาดข้อมูลเพื่อหลบเลี่ยงการตรวจสอบ https://securityonline.info/sesameop-backdoor-hijacks-openai-assistants-api-for-covert-c2-and-espionage/

🧬⚠️ หัวข้อข่าว: “พบช่องโหว่ร้ายแรงใน AMD Zen 5 – RDSEED ให้ค่าผิดพลาด เสี่ยงความมั่นคงของระบบสุ่ม” AMD ยืนยันช่องโหว่ในชุดคำสั่ง RDSEED ของชิป Zen 5 ที่อาจให้ค่าศูนย์โดยไม่แจ้งความล้มเหลว ส่งผลต่อความมั่นคงของระบบสุ่มในงานด้านความปลอดภัย โดยเตรียมออก microcode แก้ไขในเดือนพฤศจิกายนถึงมกราคม 2026 ในช่วงกลางเดือนตุลาคม 2025 มีการค้นพบข้อผิดพลาดในสถาปัตยกรรม Zen 5 ของ AMD โดยเฉพาะในคำสั่ง RDSEED ซึ่งเป็นคำสั่งที่ใช้สร้างตัวเลขสุ่มระดับฮาร์ดแวร์สำหรับงานด้านความปลอดภัย เช่น การเข้ารหัสและการตรวจสอบสิทธิ์ ปัญหาคือ RDSEED อาจคืนค่า “0” ซึ่งไม่ใช่ค่าที่สุ่มจริง แต่ยังส่งสัญญาณว่า “สำเร็จ” (CF=1) ทำให้ระบบเข้าใจผิดว่าได้รับค่าที่ปลอดภัย ทั้งที่จริงแล้วอาจเป็นค่าผิดพลาด AMD ยืนยันว่า RDSEED ขนาด 16-bit และ 32-bit ได้รับผลกระทบ แต่คำสั่ง 64-bit ยังปลอดภัย โดยแนะนำให้ผู้พัฒนาใช้คำสั่ง 64-bit หรือปิดการใช้งาน RDSEED ไปก่อน การแก้ไขจะมาในรูปแบบ microcode ผ่าน AGESA firmware โดยเริ่มจาก EPYC 9005 วันที่ 14 พฤศจิกายน และตามด้วย Ryzen 9000, Ryzen AI 300 และ EPYC Embedded ในช่วงปลายปีถึงต้นปีหน้า ✅ พบช่องโหว่ในคำสั่ง RDSEED ของ AMD Zen 5 ➡️ RDSEED อาจคืนค่า 0 โดยไม่แจ้งความล้มเหลว (CF=1) ✅ ส่งผลต่อความมั่นคงของระบบสุ่มในงานด้านความปลอดภัย ➡️ เช่น การเข้ารหัส, การตรวจสอบสิทธิ์ และการสร้าง session key ✅ คำสั่ง RDSEED ขนาด 16-bit และ 32-bit ได้รับผลกระทบ ➡️ ส่วน 64-bit RDSEED ยังปลอดภัย ✅ AMD เตรียมออก microcode แก้ไขผ่าน AGESA firmware ➡️ เริ่มจาก EPYC 9005 วันที่ 14 พฤศจิกายน 2025 ✅ Ryzen 9000 และ Ryzen AI 300 จะได้รับการแก้ไขปลายเดือนพฤศจิกายน ➡️ EPYC Embedded 9000 และ 4005 จะตามมาในเดือนมกราคม 2026 ✅ Linux kernel ได้ปิดการใช้งาน RDSEED บน Zen 5 ไปแล้ว ➡️ เพื่อป้องกันการใช้คำสั่งที่ไม่ปลอดภัย ช่องโหว่นี้อาจดูเล็ก แต่ในโลกของความปลอดภัย “ความสุ่ม” คือหัวใจของการป้องกัน และเมื่อมันผิดพลาด แม้เพียงนิดเดียว ก็อาจเปิดช่องให้การโจมตีเกิดขึ้นได้แบบไม่รู้ตัว 🔐💥 https://securityonline.info/high-severity-bug-amd-zen-5-rdseed-flaw-risks-randomness-integrity-microcode-fix-coming/

🌐⚡ หัวข้อข่าว: “อินเทอร์เน็ตโลกยังเปราะบาง – Cloudflare เผยเบื้องหลังการล่มจากสายเคเบิล,ภัยธรรมชาติ และคำสั่งรัฐ” รายงานล่าสุดจาก Cloudflare เผยว่า ตั้งแต่เดือนกรกฎาคมถึงกันยายน 2025 โลกเผชิญกับการล่มของอินเทอร์เน็ตจากหลายสาเหตุ ทั้งภัยธรรมชาติ, การก่อสร้าง, การโจมตีไซเบอร์ และคำสั่งจากรัฐบาล โดยมีผลกระทบต่อผู้ใช้งานในกว่า 125 ประเทศ. ลองนึกภาพว่าแค่กระสุนหลงในเท็กซัสก็สามารถทำให้ผู้ใช้ Spectrum หลายพันคนใช้งานอินเทอร์เน็ตไม่ได้ถึง 2 ชั่วโมง นี่คือหนึ่งในหลายกรณีที่ Cloudflare รวบรวมไว้ในรายงาน “Q3 Internet Disruptions” ซึ่งชี้ให้เห็นว่าโครงสร้างพื้นฐานของอินเทอร์เน็ตทั่วโลกยังคงเปราะบางอย่างมาก รายงานระบุว่า: 📍 รัฐบาลยังคงเป็นต้นเหตุหลักของการล่ม เช่น อิรัก, ซีเรีย และซูดาน ที่สั่งปิดอินเทอร์เน็ตช่วงสอบระดับชาติ เพื่อป้องกันการโกงข้อสอบ 📍 ภัยธรรมชาติและอุบัติเหตุ เช่น แผ่นดินไหวขนาด 8.8 ในคัมชัตกา, ไฟไหม้ศูนย์กลางโทรคมนาคมในอียิปต์, และการตัดสายเคเบิลจากการก่อสร้างในแองโกลาและโดมินิกัน 📍 การโจมตีไซเบอร์และความผิดพลาดของระบบ เช่น Starlink ที่ล่มทั่วโลกในวันที่ 24 กรกฎาคม จากความผิดพลาดของซอฟต์แวร์ภายใน แม้จะมีเทคโนโลยีป้องกัน DDoS และระบบ routing ที่ทันสมัย แต่เมื่อโครงสร้างพื้นฐานถูกทำลายหรือถูกสั่งปิด อินเทอร์เน็ตก็ยังคงล่มได้ง่าย ✅ Cloudflare เผยรายงาน Q3 Internet Disruptions ปี 2025 ➡️ ครอบคลุมเหตุการณ์ล่มใน 125 ประเทศจากหลายสาเหตุ ✅ รัฐบาลยังคงใช้การปิดอินเทอร์เน็ตเป็นเครื่องมือควบคุม ➡️ เช่น อิรัก, ซีเรีย, ซูดาน ปิดเน็ตช่วงสอบเพื่อป้องกันการโกง ✅ ภัยธรรมชาติและอุบัติเหตุเป็นสาเหตุสำคัญ ➡️ แผ่นดินไหวในรัสเซีย, ไฟไหม้ในอียิปต์, กระสุนหลงในเท็กซัส ✅ การก่อสร้างทำให้สายเคเบิลถูกตัด ➡️ ส่งผลให้การเชื่อมต่อหยุดชะงักหลายชั่วโมงในหลายประเทศ ✅ Starlink ล่มทั่วโลกจากความผิดพลาดของระบบ ➡️ แสดงให้เห็นว่าแม้ระบบดาวเทียมก็ยังไม่ปลอดภัยจากข้อผิดพลาดภายใน ✅ Cloudflare ใช้ข้อมูลจากเครือข่ายใน 330 เมืองทั่วโลก ➡️ เพื่อวิเคราะห์รูปแบบการล่มและสาเหตุที่แท้จริง https://www.techradar.com/pro/disasters-shutdowns-and-cable-damage-galore-cloudflare-study-reveals-whats-really-been-behind-all-the-recent-internet-outages

☁️ TruffleNet: ปฏิบัติการแฮกระบบคลาวด์ครั้งใหญ่ ใช้ AWS SES และ Portainer ควบคุมโฮสต์อันตรายกว่า 800 เครื่อง Fortinet เผยแคมเปญไซเบอร์ “TruffleNet” ที่ใช้บัญชี AWS ที่ถูกขโมยมาเพื่อส่งอีเมลหลอกลวง (BEC) ผ่าน Amazon SES และควบคุมโครงสร้างพื้นฐานกว่า 800 โฮสต์โดยใช้ Portainer ซึ่งเป็นเครื่องมือจัดการ Docker แบบโอเพ่นซอร์ส แฮกเกอร์เริ่มจากการใช้เครื่องมือ TruffleHog สแกนหา AWS key ที่รั่วไหล จากนั้นใช้ API ของ AWS เช่น GetCallerIdentity และ GetSendQuota เพื่อตรวจสอบว่า key ใช้งานได้หรือไม่ และสามารถส่งอีเมลผ่าน SES ได้มากแค่ไหน เมื่อได้ key ที่ใช้ได้ พวกเขาจะใช้ Portainer เป็นแดชบอร์ดควบคุมเครื่องจำนวนมาก โดยติดตั้ง OpenSSH และเปิดพอร์ตที่ใช้ควบคุม เช่น 5432 และ 3389 เพื่อสั่งการจากระยะไกล หนึ่งในเทคนิคที่น่ากลัวคือการใช้ DomainKeys Identified Mail (DKIM) ที่ขโมยมาจากเว็บไซต์ WordPress ที่ถูกแฮก เพื่อสร้างตัวตนปลอมในการส่งอีเมลหลอกลวง เช่น การปลอมเป็นบริษัท ZoomInfo เพื่อหลอกให้เหยื่อโอนเงินกว่า $50,000 ✅ แคมเปญ TruffleNet ใช้ AWS SES และ Portainer ➡️ ใช้ AWS key ที่ถูกขโมยมาเพื่อส่งอีเมล BEC ➡️ ใช้ Portainer ควบคุมโฮสต์กว่า 800 เครื่องใน 57 เครือข่าย ➡️ ใช้ API ของ AWS ตรวจสอบสิทธิ์และขีดจำกัดการส่งอีเมล ✅ เทคนิคการแฝงตัวและควบคุมระบบ ➡️ ใช้ TruffleHog สแกนหา AWS key ที่รั่ว ➡️ ใช้ Portainer เป็นแดชบอร์ดควบคุม Docker ➡️ เปิดพอร์ต 5432 และ 3389 เพื่อควบคุมจากระยะไกล ✅ การโจมตีแบบ BEC (Business Email Compromise) ➡️ ใช้ DKIM จากเว็บไซต์ WordPress ที่ถูกแฮก ➡️ ปลอมเป็นบริษัทจริง เช่น ZoomInfo ส่งใบแจ้งหนี้ปลอม ➡️ หลอกให้เหยื่อโอนเงินไปยังบัญชีของแฮกเกอร์ ‼️ คำเตือนสำหรับองค์กรที่ใช้ AWS และ Docker ⛔ ตรวจสอบการรั่วไหลของ AWS key อย่างสม่ำเสมอ ⛔ จำกัดสิทธิ์ของ key และตรวจสอบการใช้ API ที่ผิดปกติ ⛔ ป้องกันการเข้าถึง Portainer ด้วยการตั้งรหัสผ่านและจำกัด IP ⛔ ตรวจสอบ DKIM และ SPF ของโดเมนเพื่อป้องกันการปลอม https://securityonline.info/cloud-abuse-trufflenet-bec-campaign-hijacks-aws-ses-and-portainer-to-orchestrate-800-malicious-hosts/

🔐 ปฏิบัติการ SkyCloak: แฮกเกอร์ใช้ LNK และ OpenSSH ผ่าน Tor เจาะระบบทหารรัสเซีย-เบลารุส เรื่องราวนี้เผยให้เห็นการโจมตีไซเบอร์ระดับสูงที่ใช้เทคนิคซับซ้อนเพื่อแฝงตัวในระบบของกองทัพรัสเซียและเบลารุส โดยกลุ่มแฮกเกอร์ไม่เปิดเผยชื่อได้ใช้ไฟล์ LNK ที่ดูเหมือนไม่มีพิษภัยเป็นตัวเปิดทาง ก่อนจะติดตั้ง OpenSSH ผ่านเครือข่าย Tor เพื่อสร้างช่องทางเข้าถึงระบบแบบลับสุดยอด 🎯 จุดเด่นของการโจมตีคือการใช้ obfs4 bridges ซึ่งเป็นเทคนิคการพรางตัวแบบพิเศษในเครือข่าย Tor ทำให้การเชื่อมต่อไม่สามารถตรวจจับได้ง่าย และสามารถหลบเลี่ยงระบบตรวจสอบขององค์กรเป้าหมายได้อย่างแนบเนียน นอกจากนี้ยังมีการใช้ PowerShell script ที่ฝังอยู่ในไฟล์ LNK เพื่อเรียกใช้งาน OpenSSH client ที่ถูกปรับแต่งให้เชื่อมต่อกับเซิร์ฟเวอร์ควบคุมผ่าน Tor โดยไม่ทิ้งร่องรอยไว้ในระบบปกติ 📌 สาระเพิ่มเติมจากวงการไซเบอร์ เทคนิคการใช้ไฟล์ LNK เป็นหนึ่งในวิธีที่นิยมในกลุ่มแฮกเกอร์ระดับสูง เพราะสามารถหลอกให้ผู้ใช้เปิดไฟล์ได้โดยไม่สงสัย และสามารถฝังคำสั่ง PowerShell หรือ VBScript ได้อย่างแนบเนียน การใช้ OpenSSH บนเครือข่าย Tor ยังช่วยให้แฮกเกอร์สามารถควบคุมเครื่องเป้าหมายจากระยะไกลโดยไม่ถูกติดตาม ซึ่งเป็นภัยคุกคามต่อระบบที่ต้องการความมั่นคงสูง เช่น กองทัพ หน่วยงานรัฐบาล หรือองค์กรวิจัย ✅ ปฏิบัติการ SkyCloak เจาะระบบทหารรัสเซียและเบลารุส ➡️ ใช้ไฟล์ LNK เป็นตัวเปิดทางในการติดตั้ง backdoor ➡️ ฝัง PowerShell script เพื่อเรียกใช้งาน OpenSSH client ➡️ เชื่อมต่อผ่าน Tor ด้วย obfs4 bridges เพื่อหลบเลี่ยงการตรวจจับ ✅ เทคนิคการพรางตัวของแฮกเกอร์ ➡️ ใช้ obfs4 bridges เพื่อปิดบังการเชื่อมต่อ ➡️ ใช้ OpenSSH client ที่ปรับแต่งให้ทำงานแบบลับ ➡️ ไม่ทิ้งร่องรอยในระบบปกติของเครื่องเป้าหมาย ✅ ความเสี่ยงต่อองค์กรที่ใช้ Windows ➡️ ไฟล์ LNK สามารถฝังคำสั่งอันตรายได้โดยไม่ต้องติดตั้งโปรแกรม ➡️ PowerShell เป็นเครื่องมือที่ทรงพลังแต่เสี่ยงต่อการถูกใช้ในทางที่ผิด ➡️ การเชื่อมต่อผ่าน Tor ทำให้การติดตามแหล่งที่มาของการโจมตีทำได้ยาก https://securityonline.info/operation-skycloak-targets-russian-belarusian-military-with-lnk-exploit-and-openssh-over-tor-backdoor/

🛡️ ภัยเงียบในระบบคลาวด์: ช่องโหว่ Elastic Cloud Enterprise เปิดช่องให้ผู้ใช้ readonly ยกระดับสิทธิ์ ลองจินตนาการว่าในระบบคลาวด์ที่คุณไว้วางใจ มีผู้ใช้ที่ควรจะ “แค่มองเห็น” กลับสามารถ “สั่งการ” ได้เหมือนผู้ดูแลระบบเต็มตัว… นั่นคือสิ่งที่เกิดขึ้นกับ Elastic Cloud Enterprise (ECE) ในช่องโหว่ร้ายแรง CVE-2025-37736 ที่เพิ่งถูกเปิดเผยเมื่อวันที่ 3 พฤศจิกายน 2025 Elastic ได้ออกประกาศเตือนถึงช่องโหว่ระดับความรุนแรงสูง (CVSS 8.8) ซึ่งเกิดจากการควบคุมสิทธิ์ที่ผิดพลาด ทำให้ผู้ใช้แบบ readonly สามารถเรียกใช้ API ที่ควรสงวนไว้สำหรับผู้ดูแลระบบ เช่น การสร้างผู้ใช้ใหม่ ลบคีย์ API หรือแม้แต่แก้ไขบัญชีผู้ใช้ ซึ่งอาจนำไปสู่การยกระดับสิทธิ์โดยไม่ชอบธรรม 📌 สาระเพิ่มเติมจากวงการไซเบอร์ ช่องโหว่ประเภท Privilege Escalation ไม่ใช่เรื่องใหม่ แต่เมื่อเกิดในระบบคลาวด์ที่ใช้กันอย่างแพร่หลาย เช่น Elastic Cloud Enterprise ยิ่งเพิ่มความเสี่ยงต่อการโจมตีแบบ supply chain หรือการแฝงตัวในระบบองค์กรขนาดใหญ่ โดยเฉพาะเมื่อ API เป็นช่องทางหลักในการจัดการระบบ Elastic ได้ออกแพตช์แก้ไขในเวอร์ชัน 3.8.3 และ 4.0.3 พร้อมเครื่องมือโอเพ่นซอร์สสำหรับตรวจสอบและลบบัญชีที่ถูกสร้างโดยผู้ใช้ readonly ซึ่งอาจเป็นช่องทางที่แฮกเกอร์ใช้แฝงตัว ✅ ช่องโหว่ CVE-2025-37736 ใน Elastic Cloud Enterprise ➡️ เกิดจากการควบคุมสิทธิ์ที่ผิดพลาด ทำให้ผู้ใช้ readonly เรียกใช้ API ที่ควรจำกัด ➡️ ส่งผลให้สามารถสร้าง ลบ หรือแก้ไขบัญชีผู้ใช้และคีย์ API ได้ ➡️ ส่งผลกระทบต่อเวอร์ชัน 3.8.0–3.8.2 และ 4.0.0–4.0.2 ✅ การตอบสนองจาก Elastic ➡️ ออกแพตช์แก้ไขในเวอร์ชัน 3.8.3 และ 4.0.3 ➡️ แนะนำให้ผู้ดูแลระบบตรวจสอบบัญชีที่ถูกสร้างโดย readonly user ➡️ มีเครื่องมือโอเพ่นซอร์สสำหรับช่วยลบผู้ใช้ที่ไม่พึงประสงค์ ✅ ความสำคัญของ API ในระบบคลาวด์ ➡️ API เป็นช่องทางหลักในการจัดการระบบคลาวด์ ➡️ ช่องโหว่ใน API อาจนำไปสู่การควบคุมระบบโดยผู้ไม่หวังดี https://securityonline.info/elastic-patches-high-severity-privilege-escalation-flaw-in-elastic-cloud-enterprise-cve-2025-37736/

⚖️ “Conti” ร้ายเงียบ: แฮกเกอร์ยูเครนถูกส่งตัวขึ้นศาลสหรัฐฯ เรื่องราวนี้เริ่มต้นจากการที่ Oleksii Oleksiyovych Lytvynenko ชาวยูเครนวัย 43 ปี ถูกจับกุมในเมืองคอร์ก ประเทศไอร์แลนด์ ตามคำร้องขอของสหรัฐฯ และล่าสุดถูกส่งตัวมายังรัฐเทนเนสซีเพื่อเผชิญข้อกล่าวหาหนักเกี่ยวกับการใช้มัลแวร์ Conti ransomware โจมตีองค์กรต่างๆ ทั่วโลก Conti ransomware เป็นหนึ่งในมัลแวร์ที่สร้างความเสียหายมากที่สุดในประวัติศาสตร์ โดยใช้เทคนิค “double extortion” คือการเข้ารหัสข้อมูลของเหยื่อและขู่เปิดเผยข้อมูลหากไม่จ่ายค่าไถ่ ซึ่ง FBI ประเมินว่ามีมูลค่าความเสียหายรวมกว่า $150 ล้าน และมีเหยื่อมากกว่า 1,000 ราย ในกว่า 47 รัฐของสหรัฐฯ และอีก 31 ประเทศทั่วโลก Lytvynenko ถูกกล่าวหาว่าเป็นผู้ร่วมวางแผนและควบคุมการโจมตีเหล่านี้ โดยมีบทบาทในการสร้างข้อความเรียกค่าไถ่และควบคุมข้อมูลที่ถูกขโมยจากเหยื่อหลายรายในระบบของ Conti 🧠 Conti คือใคร? Conti ransomware ถูกเชื่อมโยงกับกลุ่มแฮกเกอร์ที่มีฐานในรัสเซีย และมีความเกี่ยวข้องกับการโจมตีโครงสร้างพื้นฐานสำคัญ เช่น โรงพยาบาล หน่วยงานรัฐ และบริษัทเอกชน โดยเฉพาะในช่วงปี 2021 ที่มีการโจมตีมากที่สุด ในปี 2022 มีการรั่วไหลของซอร์สโค้ดของ Conti ซึ่งเผยให้เห็นโครงสร้างการทำงานภายในของกลุ่มนี้ รวมถึงการสื่อสารภายในที่แสดงถึงความเป็นองค์กรแบบมืออาชีพมากกว่าการทำงานแบบสมัครเล่น ✅ การส่งตัวผู้ต้องหาข้ามประเทศ ➡️ Lytvynenko ถูกจับในไอร์แลนด์และส่งตัวมายังสหรัฐฯ ➡️ ข้อกล่าวหาคือสมรู้ร่วมคิดในการฉ้อโกงผ่านคอมพิวเตอร์และระบบการเงิน ✅ ความเสียหายจาก Conti ransomware ➡️ สร้างความเสียหายกว่า $150 ล้าน ➡️ มีเหยื่อมากกว่า 1,000 รายใน 47 รัฐของสหรัฐฯ และอีก 31 ประเทศ ➡️ ใช้เทคนิค double extortion คือเข้ารหัสและขู่เปิดเผยข้อมูล ✅ บทบาทของ Lytvynenko ➡️ ควบคุมข้อมูลที่ถูกขโมยจากเหยื่อ ➡️ มีส่วนในการสร้างข้อความเรียกค่าไถ่ ➡️ ถูกตั้งข้อหาสมรู้ร่วมคิดในการฉ้อโกงคอมพิวเตอร์ (โทษสูงสุด 5 ปี) และฉ้อโกงระบบการเงิน (โทษสูงสุด 20 ปี) https://securityonline.info/conti-ransomware-operator-oleksii-lytvynenko-extradited-from-ireland-to-face-federal-hacking-charges/

🕵️‍♂️ “SMILODON” แฝงร้ายในรูปภาพ: มัลแวร์สุดแนบเนียนโจมตีร้านค้า WooCommerce ลองนึกภาพว่าคุณกำลังดูแลร้านค้าออนไลน์บน WordPress ที่ใช้ WooCommerce อยู่ดีๆ แล้วมีปลั๊กอินใหม่ที่ดูเหมือนจะช่วยเรื่อง SEO หรือระบบล็อกอิน แต่จริงๆ แล้วมันคือมัลแวร์ที่ซ่อนตัวอยู่ในไฟล์ภาพ PNG ปลอม! เรื่องนี้ไม่ใช่แค่จินตนาการ เพราะทีม Wordfence ได้เปิดโปงแคมเปญมัลแวร์ขั้นสูงที่ใช้ชื่อว่า “SMILODON” ซึ่งเป็นผลงานของกลุ่ม Magecart Group 12 ที่ขึ้นชื่อเรื่องการขโมยข้อมูลบัตรเครดิตจากเว็บไซต์อีคอมเมิร์ซ มัลแวร์นี้แฝงตัวมาในรูปแบบปลั๊กอินปลอมที่มีชื่อคล้ายของจริง เช่น “jwt-log-pro” หรือ “share-seo-assistant” โดยภายในประกอบด้วยไฟล์ PHP และ PNG ปลอมที่ถูกเข้ารหัสและอำพรางอย่างแนบเนียน มันสามารถหลบซ่อนจากรายการปลั๊กอินใน WordPress ได้อย่างเงียบเชียบ และยังสามารถติดตามผู้ใช้ระดับแอดมินผ่านคุกกี้พิเศษเพื่อหลบเลี่ยงการตรวจจับ ที่น่ากลัวคือ มัลแวร์นี้สามารถดักจับข้อมูลล็อกอินและข้อมูลบัตรเครดิตของลูกค้าได้ โดยใช้ JavaScript ที่ถูกฝังไว้ในหน้าชำระเงินของ WooCommerce ซึ่งจะทำงานหลังจากโหลดหน้าไปแล้ว 3 วินาที เพื่อไม่ให้รบกวนระบบ AJAX ของเว็บไซต์ และยังมีระบบตรวจสอบปลอมเพื่อหลอกให้ผู้ใช้รู้สึกว่าการชำระเงินปลอดภัย ข้อมูลที่ถูกขโมยจะถูกส่งไปยังเซิร์ฟเวอร์ควบคุมของแฮกเกอร์ และในบางกรณีจะถูกส่งผ่านอีเมลไปยังบัญชีที่เชื่อมโยงกับผู้ให้บริการอีเมลในรัสเซีย นอกจากนั้น ยังมีการใช้เทคนิค steganography คือการซ่อนโค้ดไว้ในไฟล์ภาพ ซึ่งเป็นวิธีที่นิยมในหมู่แฮกเกอร์ยุคใหม่ เพราะสามารถหลบเลี่ยงระบบตรวจจับมัลแวร์ได้อย่างมีประสิทธิภาพ ✅ การโจมตีผ่านปลั๊กอินปลอมใน WordPress ➡️ ปลั๊กอินปลอมมีชื่อคล้ายของจริง เช่น “jwt-log-pro” ➡️ ประกอบด้วยไฟล์ PHP และ PNG ปลอมที่ถูกเข้ารหัส ➡️ ซ่อนตัวจากรายการปลั๊กอินใน WordPress ได้อย่างแนบเนียน ✅ การดักจับข้อมูลผู้ใช้และข้อมูลบัตรเครดิต ➡️ ใช้คุกกี้พิเศษติดตามผู้ใช้ระดับแอดมิน ➡️ ดักจับข้อมูลล็อกอินผ่านกระบวนการสองขั้น ➡️ ฝัง JavaScript ในหน้าชำระเงินของ WooCommerce ➡️ ส่งข้อมูลไปยังเซิร์ฟเวอร์ควบคุมของแฮกเกอร์ ✅ เทคนิคการซ่อนโค้ดในไฟล์ภาพ (Steganography) ➡️ ใช้ไฟล์ PNG ปลอมที่มีโค้ดเข้ารหัสแบบ base64 ➡️ มีระบบ payload หลายชั้นเพื่อความต่อเนื่องในการโจมตี ✅ การเชื่อมโยงกับกลุ่ม Magecart Group 12 ➡️ พบโครงสร้างโค้ดและเซิร์ฟเวอร์ที่เชื่อมโยงกับกลุ่มนี้ ➡️ เป็นกลุ่มที่มีประวัติการโจมตีเว็บไซต์อีคอมเมิร์ซอย่างต่อเนื่อง https://securityonline.info/magecart-smilodon-skimmer-infiltrates-woocommerce-via-rogue-plugin-hiding-payload-in-fake-png-image/

🇷🇺💻 รัสเซียจับผู้พัฒนา Meduza Stealer หลังแฮกระบบรัฐบาล — จุดเปลี่ยนจาก “ปล่อยผ่าน” สู่ “จัดการจริง” เจ้าหน้าที่รัสเซียบุกจับกลุ่มแฮกเกอร์ผู้พัฒนา Meduza Stealer ซึ่งเป็นมัลแวร์แบบ MaaS (Malware-as-a-Service) ที่ใช้ขโมยข้อมูลจากเบราว์เซอร์, กระเป๋าคริปโต, และแอปแชท โดยการจับกุมครั้งนี้เกิดขึ้นหลังกลุ่มแฮกเกอร์ละเมิด “กฎเงียบ” ด้วยการโจมตีหน่วยงานรัฐในประเทศ Meduza Stealer เป็นมัลแวร์ที่เริ่มขายตั้งแต่กลางปี 2023 โดยมีฟีเจอร์ขั้นสูง เช่น: 🎗️ ขโมยรหัสผ่านจากเบราว์เซอร์กว่า 100 ตัวและโปรแกรมจัดการรหัสผ่าน 27 ตัว 🎗️ ดึงข้อมูลจากกระเป๋าคริปโตมากกว่า 100 แบบ 🎗️ เจาะข้อมูลจาก Telegram และ Steam 🎗️ ใช้การเข้ารหัส ChaCha20 และระบบหลบ VM เพื่อหลบการวิเคราะห์ ราคาขายอยู่ที่ $199/เดือน หรือ $1,199 แบบตลอดชีพ และถูกขายผ่าน Telegram และฟอรั่มใต้ดิน แต่จุดเปลี่ยนคือการที่กลุ่มนี้ตัดสินใจโจมตีหน่วยงานรัฐบาลในภูมิภาค Astrakhan ซึ่งขัดกับ “กฎเงียบ” ของแฮกเกอร์รัสเซียที่มักตั้ง geo-filter เพื่อหลีกเลี่ยงการโจมตีในประเทศตนเอง, คาซัคสถาน และเบลารุส เพื่อไม่ให้ถูกจับ ผลคือเจ้าหน้าที่รัสเซียบุกจับผู้ต้องสงสัย 3 คน พร้อมยึดคอมพิวเตอร์, โทรศัพท์ และบัตรธนาคาร โดยหนึ่งในผู้ต้องสงสัยถูกจับขณะใส่ชุดนอน Hello Kitty นอกจากนี้ยังพบว่ากลุ่มนี้พัฒนา “มัลแวร์ตัวที่สอง” ที่สามารถปิดระบบป้องกันและสร้าง botnet ได้ หากถูกตัดสินว่าผิดจริง อาจต้องโทษจำคุกสูงสุด 5 ปี ✅ รายละเอียดของ Meduza Stealer ➡️ เป็นมัลแวร์แบบ MaaS ที่ขายผ่าน Telegram ➡️ ขโมยข้อมูลจากเบราว์เซอร์, กระเป๋าคริปโต, Telegram และ Steam ➡️ ใช้การเข้ารหัส ChaCha20 และหลบ VM ➡️ ราคาขาย $199/เดือน หรือ $1,199 แบบตลอดชีพ ✅ เหตุการณ์การจับกุม ➡️ เกิดขึ้นหลังกลุ่มแฮกเกอร์โจมตีหน่วยงานรัฐใน Astrakhan ➡️ ขัดกับกฎเงียบที่ห้ามโจมตีภายในประเทศ ➡️ เจ้าหน้าที่จับผู้ต้องสงสัย 3 คน พร้อมยึดอุปกรณ์ ➡️ พบมัลแวร์ตัวที่สองที่ใช้สร้าง botnet ✅ สัญญาณจากรัฐบาลรัสเซีย ➡️ เปลี่ยนจาก “ปล่อยผ่าน” เป็น “จัดการจริง” ➡️ ใช้การจับกุมเพื่อควบคุมแฮกเกอร์ในประเทศ ➡️ สอดคล้องกับรายงานจาก Recorded Future ว่ารัสเซียเริ่มจัดการแฮกเกอร์ที่ “ดังเกินไป” หรือ “ไม่สะดวกทางการเมือง” https://hackread.com/russia-arrests-meduza-stealer-developers/

📦💀 NPM ถูกถล่มด้วยแพ็กเกจอันตรายกว่า 126 รายการ ดาวน์โหลดไปแล้วกว่า 86,000 ครั้ง! บริษัทความปลอดภัย Koi เปิดเผยแคมเปญโจมตีชื่อ “PhantomRaven” ที่ใช้ช่องโหว่ในระบบ Remote Dynamic Dependencies (RDD) ของ NPM เพื่อแฝงมัลแวร์ในแพ็กเกจ JavaScript โดยไม่สามารถตรวจจับได้ด้วยเครื่องมือวิเคราะห์ทั่วไป NPM เป็นระบบจัดการแพ็กเกจสำหรับ JavaScript ที่นักพัฒนาทั่วโลกใช้กันอย่างแพร่หลาย โดยปกติแล้ว dependency จะถูกดึงจากแหล่งที่เชื่อถือได้ของ NPM แต่ฟีเจอร์ RDD เปิดให้แพ็กเกจสามารถดึง dependency จากเว็บไซต์ภายนอกได้ แม้จะเป็น HTTP ที่ไม่เข้ารหัส แฮกเกอร์ใช้ช่องทางนี้อัปโหลดแพ็กเกจ 126 รายการที่มีโค้ดแอบโหลดมัลแวร์จากเซิร์ฟเวอร์ภายนอก โดยแพ็กเกจเหล่านี้แสดงว่า “ไม่มี dependency” ทำให้เครื่องมือวิเคราะห์ไม่สามารถตรวจจับได้ มัลแวร์ที่ถูกโหลดจะสแกนเครื่องของเหยื่อเพื่อขโมยข้อมูล เช่น: 🪲 ตัวแปร environment ที่ใช้ตั้งค่าระบบ 🪲 Credential ของ GitHub, Jenkins และ NPM 🪲 ข้อมูลจากระบบ CI/CD ที่ใช้ deploy โค้ด 🪲 ส่งข้อมูลออกผ่าน HTTP, JSON และ WebSocket แบบซ้ำซ้อน ที่น่าตกใจคือบาง dependency ใช้ชื่อที่ “AI chatbot มัก hallucinate” หรือแนะนำผิด ๆ ทำให้แฮกเกอร์สามารถหลอกนักพัฒนาให้ติดตั้งแพ็กเกจปลอมได้ง่ายขึ้น ✅ รายละเอียดแคมเปญ PhantomRaven ➡️ ใช้ Remote Dynamic Dependencies (RDD) เพื่อโหลดมัลแวร์จากเว็บภายนอก ➡️ อัปโหลดแพ็กเกจ 126 รายการลง NPM ➡️ ดาวน์โหลดไปแล้วกว่า 86,000 ครั้ง ➡️ แสดงว่าไม่มี dependency เพื่อหลบการตรวจจับ ✅ วิธีการโจมตี ➡️ โหลดมัลแวร์ “สด” ทุกครั้งที่ติดตั้งแพ็กเกจ ➡️ ตรวจสอบ IP ของผู้ติดตั้งเพื่อเลือก payload ที่เหมาะสม ➡️ ส่งโค้ดสะอาดให้ security researcher แต่ส่งโค้ดอันตรายให้บริษัท ✅ ข้อมูลที่ถูกขโมย ➡️ Environment variables และ config ภายใน ➡️ Credential ของแพลตฟอร์มพัฒนา ➡️ ข้อมูลจากระบบ CI/CD ➡️ ส่งออกผ่านหลายช่องทางเพื่อความแน่นอน ✅ จุดอ่อนของระบบ NPM ➡️ RDD ไม่สามารถตรวจสอบด้วย static analysis ➡️ ไม่มีการ cache หรือ versioning ทำให้โหลดโค้ดใหม่ทุกครั้ง ➡️ แพ็กเกจปลอมใช้ชื่อที่ AI มักแนะนำผิด ‼️ ความเสี่ยงจากการใช้แพ็กเกจโดยไม่ตรวจสอบ ⛔ อาจติดตั้งมัลแวร์โดยไม่รู้ตัว ⛔ ข้อมูล credential และระบบ deploy อาจถูกขโมย ⛔ การใช้ชื่อแพ็กเกจจาก AI chatbot อาจนำไปสู่การติดตั้งแพ็กเกจปลอม ‼️ วิธีป้องกันเบื้องต้น ⛔ ตรวจสอบแพ็กเกจก่อนติดตั้ง โดยดู source และ dependency ⛔ หลีกเลี่ยงการใช้แพ็กเกจที่โหลด dependency จากเว็บภายนอก ⛔ ใช้ระบบ sandbox หรือ container เมื่อติดตั้งแพ็กเกจใหม่ ⛔ ติดตามรายชื่อแพ็กเกจอันตรายจากรายงานของ Koi และชุมชน นี่คืออีกหนึ่งตัวอย่างของ “supply chain attack” ที่แฝงตัวในเครื่องมือที่นักพัฒนาใช้ทุกวัน และเตือนว่าแม้ระบบจะยืดหยุ่นแค่ไหน ก็ต้องมีการตรวจสอบและป้องกันอย่างรัดกุมเสมอ. https://arstechnica.com/security/2025/10/npm-flooded-with-malicious-packages-downloaded-more-than-86000-times/

🇺🇳🛡️ สหรัฐฯ ปฏิเสธลงนามในสนธิสัญญาไซเบอร์ของ UN แม้กว่า 70 ประเทศร่วมมือกันสร้างกรอบต่อต้านอาชญากรรมดิจิทัล ในพิธีลงนามสนธิสัญญาไซเบอร์ของสหประชาชาติที่กรุงฮานอยเมื่อปลายตุลาคม 2025 ประเทศต่าง ๆ กว่า 70 แห่ง รวมถึงจีน รัสเซีย สหภาพยุโรป และบราซิล ได้ร่วมลงนามในข้อตกลงเพื่อสร้างกลไกสากลในการรับมือกับอาชญากรรมไซเบอร์ แต่สหรัฐอเมริกากลับเลือก “ไม่ลงนาม” โดยให้เหตุผลว่ายังอยู่ระหว่างการพิจารณาเนื้อหาของสนธิสัญญา สนธิสัญญานี้มีเป้าหมายเพื่อสร้างมาตรฐานสากลในการจัดการหลักฐานอิเล็กทรอนิกส์, การแบ่งปันข้อมูลข้ามประเทศ, และการนิยามอาชญากรรมที่เกิดขึ้นผ่านอินเทอร์เน็ต เช่น การเผยแพร่ภาพลับโดยไม่ได้รับความยินยอม, การฟอกเงินผ่านคริปโต, และการโจมตีด้วยแรนซัมแวร์ เลขาธิการ UN António Guterres กล่าวว่าสนธิสัญญานี้จะช่วยประเทศกำลังพัฒนาให้มีทรัพยากรและความสามารถในการรับมือกับภัยไซเบอร์ ซึ่งสร้างความเสียหายทั่วโลกกว่า 10.5 ล้านล้านดอลลาร์ต่อปี แต่ในอีกด้านหนึ่ง กลุ่มสิทธิมนุษยชนและบริษัทเทคโนโลยีออกมาเตือนว่าสนธิสัญญานี้อาจเปิดช่องให้รัฐบาลใช้อำนาจสอดแนมประชาชน, ละเมิดสิทธิความเป็นส่วนตัว, และใช้กฎหมายนี้ปราบปรามผู้เห็นต่าง โดยไม่มีการคุ้มครองข้อมูลที่ชัดเจน แม้ Guterres จะย้ำว่าสนธิสัญญานี้ต้อง “เคารพสิทธิมนุษยชนทั้งออนไลน์และออฟไลน์” แต่การที่สหรัฐฯ ไม่ลงนามก็สะท้อนถึงความกังวลในระดับสูง และอาจส่งผลต่อการยอมรับของสนธิสัญญานี้ในระดับโลก ✅ ประเทศที่ลงนามในสนธิสัญญาไซเบอร์ UN ➡️ รวมกว่า 70 ประเทศ เช่น จีน รัสเซีย EU บราซิล ไนจีเรีย ➡️ มีเป้าหมายเพื่อสร้างกลไกสากลในการจัดการอาชญากรรมไซเบอร์ ✅ จุดเด่นของสนธิสัญญา ➡️ สร้างมาตรฐานการจัดการหลักฐานอิเล็กทรอนิกส์ ➡️ นิยามอาชญากรรมใหม่ เช่น การเผยแพร่ภาพลับโดยไม่ยินยอม ➡️ สร้างเครือข่าย 24/7 สำหรับความร่วมมือข้ามประเทศ ➡️ สนับสนุนประเทศกำลังพัฒนาในการฝึกอบรมและรับมือภัยไซเบอร์ ✅ ท่าทีของสหรัฐฯ ➡️ ไม่ลงนาม โดยระบุว่า “ยังอยู่ระหว่างการพิจารณา” ➡️ ส่งตัวแทนเข้าร่วมพิธี แต่ไม่ร่วมลงนาม ✅ ความเห็นจาก UN ➡️ Guterres ย้ำว่าต้องเคารพสิทธิความเป็นส่วนตัวและศักดิ์ศรี ➡️ สนธิสัญญานี้ช่วยแก้ปัญหาการแบ่งปันหลักฐานข้ามประเทศ ‼️ ความเสี่ยงจากสนธิสัญญา ⛔ อาจเปิดช่องให้รัฐบาลใช้กฎหมายนี้สอดแนมประชาชน ⛔ ขาดการคุ้มครองข้อมูลส่วนบุคคลที่ชัดเจน ⛔ อาจถูกใช้ปราบปรามผู้เห็นต่างหรือผู้ประท้วง ‼️ ความเห็นจากนักสิทธิมนุษยชน ⛔ สนธิสัญญานี้อาจ “รับรองการกดขี่ไซเบอร์” ทั้งในประเทศและข้ามพรมแดน ⛔ การลงนามอาจเท่ากับการยอมรับการละเมิดเสรีภาพดิจิทัล นี่คือจุดตัดสำคัญระหว่าง “ความมั่นคงดิจิทัล” กับ “สิทธิเสรีภาพออนไลน์” และการที่สหรัฐฯ ยังไม่ลงนาม อาจเป็นสัญญาณว่าการสร้างกฎไซเบอร์ระดับโลกยังต้องหาจุดสมดุลที่ทุกฝ่ายยอมรับได้. https://therecord.media/us-declines-signing-cybercrime-treaty?

🚨🔓 ช่องโหว่ CVE-2025-11833 ในปลั๊กอิน Post SMTP ทำให้เว็บไซต์ WordPress กว่า 400,000 แห่งเสี่ยงถูกยึดบัญชีผู้ดูแลระบบ! ปลั๊กอิน Post SMTP เวอร์ชัน ≤ 3.6.0 มีช่องโหว่ Missing Authorization ที่เปิดทางให้ผู้ไม่ล็อกอินสามารถเข้าถึงอีเมลรีเซ็ตรหัสผ่านและยึดบัญชีแอดมินได้ทันที โดยไม่ต้องมีสิทธิ์ใด ๆ ปลั๊กอิน Post SMTP ใช้กันอย่างแพร่หลายในเว็บไซต์ WordPress เพื่อจัดการการส่งอีเมลให้เชื่อถือได้ เช่น อีเมลแจ้งเตือนหรือรีเซ็ตรหัสผ่าน แต่ในเวอร์ชัน ≤ 3.6.0 มีฟังก์ชันที่เปิดให้เข้าถึง log อีเมลโดยไม่ตรวจสอบสิทธิ์ผู้ใช้ ช่องโหว่นี้ (CVE-2025-11833) มีคะแนนความรุนแรง CVSS 9.8 ซึ่งถือว่า “วิกฤต” เพราะ: 🪲 ผู้โจมตีไม่จำเป็นต้องล็อกอิน 🪲 สามารถเข้าถึงอีเมลรีเซ็ตรหัสผ่านของผู้ดูแลระบบ 🪲 คลิกลิงก์รีเซ็ตแล้วตั้งรหัสใหม่ได้ทันที 🪲 ส่งผลให้สามารถยึดเว็บไซต์ได้เต็มรูปแบบ นักวิจัยจาก Wordfence รายงานว่ามีการโจมตีจริงแล้ว โดยบล็อกได้ 2 ครั้งใน 24 ชั่วโมงที่ผ่านมา และแนะนำให้ผู้ดูแลระบบอัปเดตปลั๊กอินเป็นเวอร์ชัน 3.6.1 โดยด่วน ✅ รายละเอียดช่องโหว่ CVE-2025-11833 ➡️ ปลั๊กอิน Post SMTP เวอร์ชัน ≤ 3.6.0 มีช่องโหว่ Missing Authorization ➡️ เปิดให้ผู้ไม่ล็อกอินเข้าถึง log อีเมล ➡️ สามารถเข้าถึงลิงก์รีเซ็ตรหัสผ่านของผู้ดูแลระบบ ➡️ คะแนน CVSS 9.8 (ระดับวิกฤต) ✅ ผลกระทบต่อเว็บไซต์ WordPress ➡️ เสี่ยงถูกยึดบัญชีผู้ดูแลระบบ ➡️ ส่งผลให้เว็บไซต์ถูกควบคุมโดยผู้โจมตี ➡️ มีการโจมตีจริงแล้วในช่วง 24 ชั่วโมงที่ผ่านมา ✅ วิธีป้องกันและแก้ไข ➡️ อัปเดตปลั๊กอิน Post SMTP เป็นเวอร์ชัน 3.6.1 ทันที ➡️ ตรวจสอบ log อีเมลย้อนหลังว่ามีการเข้าถึงผิดปกติหรือไม่ ➡️ เปลี่ยนรหัสผ่านผู้ดูแลระบบและเปิดใช้งาน 2FA หากเป็นไปได้ ➡️ ตรวจสอบสิทธิ์ของผู้ใช้ทั้งหมดในระบบ https://securityonline.info/cve-2025-11833-cvss-9-8-critical-flaw-exposes-400000-wordpress-sites-to-unauthenticated-account-takeover/

🛡️ “มาเลเซียผลักดันอาเซียนขยายความร่วมมือด้านความมั่นคงสู่ไซเบอร์สเปซ” ที่ประชุมรัฐมนตรีกลาโหมอาเซียน ณ กรุงกัวลาลัมเปอร์ เมื่อวันที่ 31 ตุลาคม 2025 กลายเป็นเวทีสำคัญที่มาเลเซียใช้เรียกร้องให้ประเทศสมาชิกอาเซียนขยายความร่วมมือด้านความมั่นคงจากทะเลไปสู่โลกไซเบอร์ รัฐมนตรีกลาโหมมาเลเซีย นายโมฮัมหมัด คาเลด นอร์ดิน กล่าวเปิดประชุมว่า “ภัยคุกคามในยุคนี้ไม่จำกัดแค่พรมแดนหรือภูมิประเทศอีกต่อไป” พร้อมเตือนว่า การโจมตีทางไซเบอร์สามารถทำลายโครงสร้างพื้นฐาน ล้มรัฐบาล และสร้างความปั่นป่วนในสังคมได้ไม่แพ้ภัยทางทะเล การประชุมครั้งนี้ยังมีการหารือร่วมกับประเทศคู่เจรจา เช่น สหรัฐฯ จีน ญี่ปุ่น อินเดีย ออสเตรเลีย เกาหลีใต้ และรัสเซีย โดยมีรัฐมนตรีกลาโหมสหรัฐฯ และจีนเข้าร่วมด้วย นอกจากนี้ มาเลเซียยังเสนอให้จัดตั้งทีมสังเกตการณ์อาเซียนเพื่อช่วยเหลือไทยและกัมพูชาในการแก้ไขปัญหาชายแดน และย้ำถึงความมุ่งมั่นของอาเซียนในการผลักดันสันติภาพในเมียนมา ซึ่งยังเผชิญกับวิกฤติหลังรัฐประหารในปี 2021 ในมุมที่น่าสนใจเพิ่มเติม โลกไซเบอร์กลายเป็นสนามรบใหม่ที่ไม่มีเส้นแบ่งพรมแดน และการโจมตีไม่จำเป็นต้องใช้กำลังทหาร แต่ใช้ “ข้อมูล” และ “ช่องโหว่” เป็นอาวุธ การร่วมมือระดับภูมิภาคจึงเป็นสิ่งจำเป็นอย่างยิ่ง โดยเฉพาะในยุคที่เทคโนโลยี AI และ IoT ทำให้ระบบต่างๆ เชื่อมโยงกันมากขึ้น ✅ มาเลเซียเสนอขยายความร่วมมือด้านความมั่นคงจากทะเลสู่ไซเบอร์ ➡️ ภัยไซเบอร์สามารถทำลายโครงสร้างพื้นฐานและเสถียรภาพของประเทศ ➡️ การโจมตีทางไซเบอร์มีผลกระทบเทียบเท่าการรุกรานทางทหาร ➡️ มาเลเซียชี้ว่า “ภัยคุกคามวันนี้ไร้พรมแดน” ✅ การประชุมมีประเทศคู่เจรจาเข้าร่วมหลายชาติ ➡️ สหรัฐฯ จีน ญี่ปุ่น อินเดีย ออสเตรเลีย เกาหลีใต้ และรัสเซีย ➡️ รัฐมนตรีกลาโหมสหรัฐฯ และจีนเข้าร่วมประชุมโดยตรง ✅ มาเลเซียเสนอจัดตั้งทีมสังเกตการณ์อาเซียนช่วยไทย-กัมพูชา ➡️ เพื่อสนับสนุนการแก้ไขปัญหาชายแดนระหว่างสองประเทศ ➡️ ข้อตกลงหยุดยิงได้รับการรับรองโดยผู้นำสหรัฐฯ และมาเลเซีย ✅ อาเซียนยังคงผลักดันสันติภาพในเมียนมา ➡️ เรียกร้องให้เมียนมากลับสู่แนวทางตามฉันทามติ 5 ข้อ ➡️ ผู้นำทหารเมียนมายังถูกกีดกันจากการประชุมอาเซียน https://www.thestar.com.my/tech/tech-news/2025/10/31/malaysia-urges-asean-to-expand-defense-cooperation-in-cyberspace

🕵️ Akira Ransomware อ้างขโมยข้อมูล 23GB จาก Apache OpenOffice — ยังไม่มีการยืนยันจากทาง Apache กลุ่มแฮกเกอร์ Akira Ransomware ได้ออกมาอ้างว่าได้เจาะระบบของ Apache OpenOffice และขโมยข้อมูลภายในองค์กรกว่า 23GB ซึ่งรวมถึงข้อมูลพนักงาน เช่น ที่อยู่ เบอร์โทร เลขบัตรประชาชน หมายเลขบัตรเครดิต และเอกสารการเงินภายในองค์กร Akira เป็นกลุ่ม ransomware-as-a-service (RaaS) ที่เริ่มปรากฏตัวในปี 2023 และมีชื่อเสียงจากการใช้กลยุทธ์ “double extortion” คือขโมยข้อมูลก่อน แล้วจึงเข้ารหัสระบบเพื่อเรียกค่าไถ่ โดยในกรณีนี้ พวกเขาโพสต์ข้อความบน dark web ว่าจะเผยแพร่เอกสารทั้งหมดในเร็ว ๆ นี้ อย่างไรก็ตาม ทาง Apache Software Foundation ยังไม่ออกมายืนยันว่ามีการเจาะระบบจริงหรือไม่ และไม่มีหลักฐานว่าการแจกจ่ายซอฟต์แวร์ของ OpenOffice ถูกกระทบ 🔐 Akira ยังมีพฤติกรรมที่น่าสนใจ เช่น: 💠 ใช้ ransomware ที่ตรวจสอบ layout ของคีย์บอร์ดเพื่อหลีกเลี่ยงการโจมตีในประเทศที่ใช้ภาษารัสเซีย 💠 เคยถูกพบว่ามีการแฮกกล้องเว็บแคมของเหยื่อเพื่อเพิ่มแรงกดดันในการเรียกค่าไถ่ ✅ ข้อมูลที่ถูกอ้างว่าถูกขโมย ➡️ ข้อมูลพนักงาน: ที่อยู่ เบอร์โทร วันเกิด เลขบัตรประชาชน ➡️ ข้อมูลการเงินและเอกสารภายในองค์กร ➡️ รายงานปัญหาการใช้งานซอฟต์แวร์ ✅ พฤติกรรมของ Akira Ransomware ➡️ ใช้กลยุทธ์ double extortion ➡️ มี ransomware สำหรับ Windows และ Linux/VMware ESXi ➡️ ตรวจสอบ layout คีย์บอร์ดเพื่อหลีกเลี่ยงประเทศรัสเซีย ➡️ เคยแฮกกล้องเว็บแคมของเหยื่อ ✅ สถานะปัจจุบัน ➡️ Apache ยังไม่ยืนยันว่ามีการเจาะระบบ ➡️ ไม่มีผลกระทบต่อระบบแจกจ่ายซอฟต์แวร์ของ OpenOffice ➡️ ผู้ใช้ยังสามารถดาวน์โหลด OpenOffice ได้จากเว็บไซต์ทางการ ‼️ คำเตือนสำหรับผู้ใช้งาน ⛔ อย่าดาวน์โหลด OpenOffice จากลิงก์ที่แชร์ในโซเชียลหรือฟอรั่ม ⛔ ควรติดตามประกาศจาก Apache Software Foundation อย่างใกล้ชิด ⛔ หากใช้งานในองค์กร ควรตรวจสอบระบบภายในและอัปเดตมาตรการรักษาความปลอดภัย https://hackread.com/akira-ransomware-stole-apache-openoffice-data/

🔍 Proton เปิดตัว Data Breach Observatory — เครื่องมือตรวจจับข้อมูลรั่วไหลจาก Dark Web แบบเรียลไทม์ Proton เปิดตัวแพลตฟอร์มใหม่ชื่อว่า “Data Breach Observatory” ที่ช่วยติดตามการรั่วไหลของข้อมูลจากตลาดมืดบน Dark Web โดยสามารถตรวจสอบได้ว่าองค์กรใดถูกเจาะ ข้อมูลใดถูกขโมย และจำนวนที่รั่วไหล — ทั้งหมดนี้เพื่อสร้างความโปร่งใสในโลกไซเบอร์ที่มักถูกปิดบัง Proton เป็นบริษัทที่ขึ้นชื่อเรื่องความปลอดภัยและความเป็นส่วนตัว เช่น ProtonMail, ProtonVPN และ Proton Drive ล่าสุดพวกเขาเปิดตัว “Data Breach Observatory” ซึ่งเป็นแพลตฟอร์มสาธารณะที่ช่วยติดตามการรั่วไหลของข้อมูลจาก Dark Web แบบเรียลไทม์ แพลตฟอร์มนี้จะดึงข้อมูลจากฟอรั่มและตลาดมืดที่แฮกเกอร์ใช้ซื้อขายข้อมูลที่ถูกขโมย แล้วนำมาวิเคราะห์และเผยแพร่ให้สาธารณชนเข้าถึงได้ฟรี ผู้ใช้สามารถตรวจสอบได้ว่าองค์กรใดถูกเจาะ ข้อมูลประเภทใดที่รั่วไหล และจำนวนเรคคอร์ดที่ถูกขโมย Proton ร่วมมือกับ Constella Intelligence ในการตรวจสอบข้อมูลจาก Dark Web และในปี 2025 เพียงปีเดียว พบเหตุการณ์รั่วไหล 794 ครั้งที่เชื่อมโยงกับองค์กรโดยตรง และอีก 1,571 เหตุการณ์ที่เป็นชุดข้อมูลรวม ซึ่งรวมแล้วมีข้อมูลหลายร้อยพันล้านเรคคอร์ดที่ถูกเปิดเผย ข้อมูลที่รั่วไหลส่วนใหญ่ประกอบด้วย: 🎗️ อีเมล (100%) 🎗️ ชื่อ (90%) 🎗️ ข้อมูลติดต่อ (72%) 🎗️ รหัสผ่าน (49%) แพลตฟอร์มนี้ไม่เพียงแต่ช่วยให้องค์กรรู้ตัวก่อนจะถูกเปิดเผย แต่ยังช่วยให้บุคคลทั่วไปสามารถตรวจสอบได้ว่าข้อมูลของตนเองเคยปรากฏในตลาดมืดหรือไม่ 🧠 เกร็ดน่ารู้เพิ่มเติม 💠 Proton ใช้หลัก “your data, your rules” ในการออกแบบทุกบริการ 💠 Constella Intelligence เป็นบริษัทด้านความปลอดภัยที่เชี่ยวชาญการตรวจสอบข้อมูลจาก Dark Web 💠 การเปิดเผยข้อมูลรั่วไหลแบบเรียลไทม์ช่วยให้องค์กรสามารถตอบสนองได้เร็วขึ้น และลดผลกระทบจากการโจมตีทางไซเบอร์ Data Breach Observatory ไม่ใช่แค่เครื่องมือ — แต่มันคือ “ไฟฉาย” ที่ส่องให้เห็นสิ่งที่เคยถูกซ่อนไว้ในเงามืดของโลกไซเบอร์ https://news.itsfoss.com/proton-data-breach-observatory/

🕵️‍♂️ Bronze Butler โจมตีองค์กรผ่านช่องโหว่ Zero-Day ใน Lanscope — แฮกเกอร์จีนใช้ช่องทางควบคุมระบบแบบลับๆ กลุ่ม APT จากจีนชื่อ Bronze Butler ถูกพบว่าใช้ช่องโหว่ Zero-Day ในซอฟต์แวร์ Lanscope เพื่อลอบควบคุมระบบขององค์กรในญี่ปุ่น โดยไม่ต้องใช้มัลแวร์หรือไฟล์ใดๆ — เป็นการโจมตีแบบ “fileless” ที่ยากต่อการตรวจจับ Lanscope เป็นซอฟต์แวร์ที่ใช้ในองค์กรเพื่อควบคุมและตรวจสอบอุปกรณ์ภายในเครือข่าย เช่น การล็อกการใช้งาน USB หรือการตรวจสอบการเข้าเว็บไซต์ ล่าสุดพบว่ามีช่องโหว่ Zero-Day ที่เปิดให้ผู้โจมตีสามารถใช้ API ภายในเพื่อควบคุมระบบได้โดยไม่ต้องติดตั้งมัลแวร์ใดๆ กลุ่ม Bronze Butler ซึ่งเป็นกลุ่มแฮกเกอร์ที่เชื่อว่ามีความเกี่ยวข้องกับรัฐบาลจีน ได้ใช้ช่องโหว่นี้ในการโจมตีองค์กรในญี่ปุ่น โดยใช้เทคนิค “living off the land” คือการใช้เครื่องมือที่มีอยู่ในระบบ เช่น PowerShell หรือ WMI เพื่อควบคุมเครื่องเป้าหมายโดยไม่ทิ้งร่องรอย การโจมตีนี้ไม่ต้องใช้ไฟล์หรือ payload แบบเดิมๆ ทำให้ระบบป้องกันไวรัสหรือ EDR ตรวจจับได้ยากมาก และสามารถแฝงตัวในระบบได้นานโดยไม่ถูกพบ นักวิจัยด้านความปลอดภัยแนะนำให้องค์กรที่ใช้ Lanscope ตรวจสอบการเรียกใช้งาน API ภายใน และอัปเดตแพตช์ทันทีเมื่อมีการเปิดเผยช่องโหว่ พร้อมทั้งเสริมระบบตรวจสอบพฤติกรรมที่ผิดปกติในเครือข่าย 🧠 เกร็ดน่ารู้เพิ่มเติม 💠 “Living off the land” คือเทคนิคที่แฮกเกอร์ใช้เครื่องมือในระบบเพื่อหลบเลี่ยงการตรวจจับ 💠 Fileless attack เป็นรูปแบบการโจมตีที่ไม่ใช้ไฟล์ ทำให้ระบบป้องกันแบบ signature-based ไม่สามารถตรวจจับได้ 💠 Bronze Butler เคยถูกจับตาในกรณีโจมตีหน่วยงานรัฐบาลและบริษัทเทคโนโลยีในญี่ปุ่นตั้งแต่ปี 2016 ✅ ช่องโหว่ Zero-Day ใน Lanscope ➡️ เปิดให้ควบคุมระบบผ่าน API ภายใน ➡️ ไม่ต้องใช้ไฟล์หรือมัลแวร์ในการโจมตี ➡️ เป็นการโจมตีแบบ fileless ที่ยากต่อการตรวจจับ ✅ กลุ่มผู้โจมตี: Bronze Butler ➡️ เป็นกลุ่ม APT ที่เชื่อว่ามีความเกี่ยวข้องกับรัฐบาลจีน ➡️ มีประวัติการโจมตีองค์กรในญี่ปุ่นและเอเชียตะวันออก ➡️ ใช้เทคนิค “living off the land” เพื่อหลบเลี่ยงการตรวจจับ ✅ วิธีการโจมตี ➡️ ใช้ PowerShell, WMI และ API ภายในของ Lanscope ➡️ ไม่ต้องติดตั้งโปรแกรมเพิ่ม ➡️ ควบคุมระบบจากระยะไกลโดยไม่ทิ้งร่องรอย ‼️ ความเสี่ยงต่อองค์กร ⛔ ระบบตรวจสอบทั่วไปอาจไม่สามารถตรวจจับได้ ⛔ อาจถูกควบคุมโดยไม่รู้ตัวเป็นเวลานาน ⛔ ข้อมูลสำคัญอาจถูกขโมยหรือเปลี่ยนแปลง ‼️ ข้อควรระวังสำหรับผู้ใช้ Lanscope ⛔ ควรตรวจสอบการเรียกใช้งาน API ที่ผิดปกติ ⛔ อัปเดตแพตช์ทันทีเมื่อมีการเปิดเผยช่องโหว่ ⛔ เสริมระบบตรวจสอบพฤติกรรมในเครือข่าย เช่น UEBA หรือ XDR https://securityonline.info/chinese-apt-bronze-butler-exploits-lanscope-zero-day-for-system-control/

🚨 CISA เตือนภัย! ช่องโหว่ XWiki และ VMware ถูกโจมตีจริงแล้ว — องค์กรต้องเร่งอุดช่องโหว่ทันที หน่วยงาน CISA ของสหรัฐฯ ออกประกาศเตือนว่าช่องโหว่ใน XWiki และ VMware กำลังถูกใช้โจมตีอย่างต่อเนื่องในโลกจริง พร้อมแนะนำให้องค์กรรีบอัปเดตแพตช์และตรวจสอบระบบโดยด่วน CISA (Cybersecurity and Infrastructure Security Agency) ได้เพิ่มช่องโหว่สองรายการลงใน Known Exploited Vulnerabilities (KEV) ซึ่งหมายความว่า “มีการโจมตีจริงแล้ว” ไม่ใช่แค่ทฤษฎี ช่องโหว่แรกคือ CVE-2023-41327 ใน XWiki ซึ่งเป็นระบบจัดการเอกสารแบบโอเพ่นซอร์สที่หลายองค์กรใช้สำหรับวิกิภายใน ช่องโหว่นี้เปิดช่องให้ผู้โจมตีสามารถรันโค้ดจากระยะไกลได้โดยไม่ต้องยืนยันตัวตน — แปลว่าแค่เปิดหน้าเว็บก็อาจโดนเจาะได้ ช่องโหว่ที่สองคือ CVE-2024-22267 ใน VMware Aria Automation ซึ่งเป็นระบบจัดการการทำงานอัตโนมัติในคลาวด์ ช่องโหว่นี้เปิดให้ผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญหรือควบคุมระบบได้จากระยะไกลเช่นกัน CISA ระบุว่าองค์กรที่ใช้ซอฟต์แวร์เหล่านี้ควรอัปเดตแพตช์ทันที และตรวจสอบระบบย้อนหลังเพื่อดูว่ามีการเข้าถึงที่ผิดปกติหรือไม่ โดยเฉพาะในระบบที่เปิดให้เข้าจากอินเทอร์เน็ต การที่ช่องโหว่เหล่านี้ถูกเพิ่มลงใน KEV หมายความว่าเป็นภัยระดับสูง และอาจถูกใช้โดยกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐ หรือกลุ่ม ransomware ที่มุ่งเป้าโจมตีองค์กรขนาดใหญ่ 🧠 เกร็ดน่ารู้เพิ่มเติม 💠 Known Exploited Vulnerabilities (KEV) คือรายการช่องโหว่ที่ “มีการโจมตีจริงแล้ว” ไม่ใช่แค่เสี่ยง 💠 VMware Aria Automation เคยเป็นส่วนหนึ่งของ vRealize Automation ซึ่งใช้ในระบบคลาวด์ระดับองค์กร 💠 XWiki เป็นระบบที่นิยมในองค์กรด้านวิจัย การศึกษา และเทคโนโลยี เพราะมีความยืดหยุ่นสูง ✅ ช่องโหว่ที่ถูกใช้งานจริง ➡️ CVE-2023-41327 ใน XWiki (Remote Code Execution) ➡️ CVE-2024-22267 ใน VMware Aria Automation (Remote Access) ➡️ ถูกเพิ่มลงในรายการ Known Exploited Vulnerabilities ของ CISA ✅ ผลกระทบต่อองค์กร ➡️ เสี่ยงต่อการถูกเจาะระบบจากระยะไกล ➡️ อาจถูกขโมยข้อมูลหรือควบคุมระบบ ➡️ มีความเสี่ยงสูงหากเปิดระบบให้เข้าจากอินเทอร์เน็ต ✅ คำแนะนำจาก CISA ➡️ อัปเดตแพตช์ล่าสุดทันที ➡️ ตรวจสอบระบบย้อนหลังเพื่อหาการเข้าถึงผิดปกติ ➡️ ปิดการเข้าถึงจากภายนอกหากไม่จำเป็น https://securityonline.info/cisa-warns-of-active-exploitation-in-xwiki-and-vmware-vulnerabilities/

⚠️ Brash Attack: ช่องโหว่ร้ายแรงในเบราว์เซอร์ Chromium แค่เปลี่ยนชื่อแท็บก็ทำให้ระบบล่มได้! นักวิจัยด้านความปลอดภัยเปิดเผยช่องโหว่ใหม่ใน Blink engine ของ Chromium ที่สามารถทำให้เบราว์เซอร์ล่มภายในไม่กี่วินาที ด้วยการเปลี่ยนค่า document.title อย่างต่อเนื่อง — ส่งผลกระทบต่อผู้ใช้กว่า 3 พันล้านคนทั่วโลก Brash คือชื่อของช่องโหว่ใหม่ที่ถูกค้นพบใน Blink rendering engine ซึ่งเป็นหัวใจของเบราว์เซอร์ยอดนิยมอย่าง Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi และแม้แต่ ChatGPT Atlas หรือ Perplexity Comet ก็ไม่รอด ช่องโหว่นี้เกิดจากการที่ API document.title ไม่มีการจำกัดความถี่ในการอัปเดต ทำให้แฮกเกอร์สามารถ inject โค้ดที่เปลี่ยนชื่อแท็บได้หลายล้านครั้งต่อวินาที ส่งผลให้ thread หลักของเบราว์เซอร์ทำงานหนักจนล่มในเวลาเพียง 15–60 วินาที นักวิจัย Jose Pino ผู้ค้นพบช่องโหว่นี้ ได้เผยแพร่ proof-of-concept (PoC) ที่ชื่อว่า “Brash” ซึ่งสามารถทำให้เบราว์เซอร์ล่มได้จริง โดยไม่ต้องใช้สิทธิ์พิเศษหรือมัลแวร์ เพียงแค่เปิดหน้าเว็บที่ฝังโค้ดไว้เท่านั้น 🧠 เกร็ดน่ารู้เพิ่มเติมจากภายนอก 💠 ช่องโหว่นี้มีผลกับ Chromium เวอร์ชัน ≤ 143.0.7483.0 💠 นักวิจัยแนะนำให้ผู้ใช้และองค์กรอัปเดตเบราว์เซอร์ทันทีเมื่อมีแพตช์ 💠 การใช้เบราว์เซอร์ใน sandbox หรือ virtual environment ช่วยลดความเสี่ยง ✅ ช่องโหว่ Brash ใน Blink engine ➡️ ใช้ document.title อัปเดตชื่อแท็บหลายล้านครั้งต่อวินาที ➡️ ทำให้เบราว์เซอร์ล่มภายใน 15–60 วินาที ➡️ ไม่ต้องใช้สิทธิ์พิเศษหรือมัลแวร์ ✅ เบราว์เซอร์ที่ได้รับผลกระทบ ➡️ Chrome, Edge, Brave, Opera, Vivaldi, Arc, Dia, ChatGPT Atlas, Perplexity Comet ➡️ ทุกแพลตฟอร์ม: Windows, macOS, Linux, Android ➡️ Firefox และ Safari ไม่ได้รับผลกระทบ (ใช้ engine คนละตัว) ✅ วิธีการโจมตี ➡️ แฮกเกอร์ preload สตริงยาว 512 ตัวอักษร 100 ชุด ➡️ ยิงคำสั่งเปลี่ยนชื่อแท็บแบบ burst (เช่น 8,000 ครั้งต่อ 1 มิลลิวินาที) ➡️ ทำให้ thread หลักของเบราว์เซอร์ล่ม ‼️ ความเสี่ยงต่อผู้ใช้ทั่วไป ⛔ แค่เปิดหน้าเว็บที่ฝังโค้ดก็ทำให้เบราว์เซอร์ล่ม ⛔ อาจสูญเสียงานที่ยังไม่ได้บันทึก ⛔ ส่งผลกระทบต่อระบบโดยรวม เช่น CPU พุ่งสูง, เครื่องค้าง ‼️ ความเสี่ยงต่อองค์กร ⛔ ระบบที่ใช้เบราว์เซอร์เป็นเครื่องมือหลักอาจหยุดชะงัก ⛔ การโจมตีสามารถใช้เป็น logic bomb หรือโจมตีแบบเจาะจงเวลา ⛔ ระบบป้องกันทั่วไปอาจไม่สามารถตรวจจับได้ https://securityonline.info/brash-attack-critical-chromium-flaw-allows-dos-via-simple-code-injection/

🛡️ MOVEit โดนอีกแล้ว! ช่องโหว่ CVE-2025-10932 ในโมดูล AS2 เสี่ยงทำระบบล่ม — Progress เร่งออกแพตช์อุดช่องโหว่ Progress Software ออกแพตช์ด่วนเพื่อแก้ไขช่องโหว่ระดับสูงใน MOVEit Transfer ที่อาจถูกใช้โจมตีแบบ DoS ผ่านโมดูล AS2 ซึ่งเป็นหัวใจของการแลกเปลี่ยนไฟล์แบบปลอดภัยในองค์กร MOVEit Transfer คือระบบจัดการไฟล์ที่องค์กรทั่วโลกใช้กันอย่างแพร่หลาย โดยเฉพาะในงานที่ต้องการความปลอดภัยสูง เช่น การส่งข้อมูลระหว่างหน่วยงานหรือคู่ค้า ล่าสุดพบช่องโหว่ใหม่ CVE-2025-10932 ซึ่งเป็นช่องโหว่ “Uncontrolled Resource Consumption” หรือการใช้ทรัพยากรโดยไม่จำกัด ช่องโหว่นี้อยู่ในโมดูล AS2 (Applicability Statement 2) ซึ่งใช้สำหรับการแลกเปลี่ยนไฟล์แบบเข้ารหัสและลงลายเซ็นดิจิทัล หากถูกโจมตีด้วยคำขอ AS2 ที่ถูกสร้างขึ้นอย่างเจาะจง อาจทำให้ระบบล่มหรือประสิทธิภาพลดลงอย่างรุนแรง Progress ได้ออกแพตช์สำหรับ MOVEit Transfer ทุกเวอร์ชันที่ได้รับผลกระทบ และเพิ่มฟีเจอร์ whitelist IP เพื่อจำกัดการเข้าถึงโมดูล AS2 โดยเฉพาะ สำหรับผู้ที่ไม่ได้ใช้ AS2 แนะนำให้ลบไฟล์ endpoint ที่เกี่ยวข้องออกชั่วคราวเพื่อปิดช่องทางโจมตี ช่องโหว่นี้ยังไม่มีรายงานการโจมตีจริงในขณะนี้ แต่เนื่องจาก MOVEit เคยถูกใช้เป็นช่องทางโจมตีในกรณี Clop ransomware มาก่อน จึงถือเป็นเป้าหมายสำคัญที่ควรเฝ้าระวัง ✅ ช่องโหว่ CVE-2025-10932 ใน MOVEit Transfer ➡️ เป็นช่องโหว่ Uncontrolled Resource Consumption ➡️ อยู่ในโมดูล AS2 ที่ใช้แลกเปลี่ยนไฟล์แบบปลอดภัย ➡️ เสี่ยงต่อการโจมตีแบบ DoS หากถูกใช้โดยผู้ไม่หวังดี ✅ เวอร์ชันที่ได้รับผลกระทบ ➡️ 2025.0.0 ก่อน 2025.0.3 ➡️ 2024.1.0 ก่อน 2024.1.7 ➡️ 2023.1.0 ก่อน 2023.1.16 ✅ วิธีแก้ไขและป้องกัน ➡️ อัปเดตเป็นเวอร์ชันที่มีแพตช์ล่าสุด ➡️ เพิ่ม whitelist IP สำหรับโมดูล AS2 ➡️ สำหรับผู้ไม่ใช้ AS2 ให้ลบไฟล์ AS2Rec2.ashx และ AS2Receiver.aspx ชั่วคราว https://securityonline.info/progress-patches-high-severity-vulnerability-in-moveit-transfer-as2-module-cve-2025-10932/

🕵️‍♂️ Airstalk: มัลแวร์สายลับระดับชาติ แฝงตัวผ่านระบบ MDM ของ VMware เพื่อขโมยข้อมูลแบบไร้ร่องรอย นักวิจัยจาก Unit 42 แห่ง Palo Alto Networks พบมัลแวร์ใหม่ชื่อ Airstalk ที่ใช้ API ของ VMware AirWatch (Workspace ONE) เป็นช่องทางสื่อสารลับ (C2) เพื่อขโมยข้อมูลจากองค์กรผ่านการโจมตีแบบ supply chain Airstalk ไม่ใช่มัลแวร์ธรรมดา แต่มันคือเครื่องมือจารกรรมที่ถูกออกแบบมาอย่างชาญฉลาด โดยมีทั้งเวอร์ชัน PowerShell และ .NET ซึ่งสามารถขโมยข้อมูลจากเบราว์เซอร์ เช่น cookies, bookmarks, ประวัติการใช้งาน และภาพหน้าจอ สิ่งที่ทำให้ Airstalk น่ากลัวคือมันใช้ API ของ AirWatch ซึ่งเป็นระบบจัดการอุปกรณ์พกพา (MDM) ที่องค์กรจำนวนมากใช้ในการควบคุมมือถือและแท็บเล็ตของพนักงาน โดย Airstalk แอบใช้ฟีเจอร์ “custom device attributes” และ “file uploads” เพื่อส่งคำสั่งและรับข้อมูลกลับจากเครื่องเหยื่อ — เหมือนกับการใช้ “ตู้ฝากของลับ” แบบสายลับ มัลแวร์นี้ยังใช้เทคนิคขั้นสูง เช่น การเซ็นชื่อดิจิทัลด้วยใบรับรองที่ถูกขโมย การเปลี่ยนแปลง timestamp ของไฟล์ และการลบตัวเองหลังจากทำงานเสร็จ เพื่อหลบเลี่ยงการตรวจจับ Unit 42 เชื่อว่ามัลแวร์นี้ถูกใช้โดยกลุ่มที่ได้รับการสนับสนุนจากรัฐ (nation-state actor) และมีเป้าหมายคือการจารกรรมระยะยาว ไม่ใช่การโจมตีแบบทำลายล้าง โดยเฉพาะการเจาะผ่านบริษัท BPO (outsourcing) ที่ให้บริการกับหลายองค์กร ทำให้สามารถเข้าถึงเหยื่อจำนวนมากได้ในคราวเดียว 🧠 เกร็ดน่ารู้เพิ่มเติม 💠 “Dead drop” เป็นเทคนิคที่สายลับใช้ในการแลกเปลี่ยนข้อมูลโดยไม่พบกันโดยตรง 💠 AirWatch (Workspace ONE) เป็นระบบ MDM ที่ใช้กันอย่างแพร่หลายในองค์กรขนาดใหญ่ 💠 การโจมตีแบบ supply chain เคยเกิดขึ้นแล้วในกรณี SolarWinds และ 3CX ซึ่งสร้างความเสียหายมหาศาล ✅ Airstalk คือมัลแวร์จารกรรมระดับสูง ➡️ มีทั้งเวอร์ชัน PowerShell และ .NET ➡️ ขโมยข้อมูลจากเบราว์เซอร์ เช่น cookies, bookmarks, screenshots ➡️ ใช้ API ของ VMware AirWatch เป็นช่องทางสื่อสารลับ ✅ เทคนิคการโจมตี ➡️ ใช้ “custom device attributes” และ “file uploads” เพื่อส่งคำสั่ง ➡️ ใช้ endpoint /api/mdm/devices/ และ /api/mam/blobs/uploadblob ➡️ สื่อสารแบบ “dead drop” โดยไม่ต้องเชื่อมต่อโดยตรง ✅ ความสามารถของเวอร์ชัน .NET ➡️ รองรับ multi-threaded communication ➡️ มีระบบ debug, beaconing ทุก 10 นาที ➡️ รองรับเบราว์เซอร์หลายตัว เช่น Chrome, Edge, Island ✅ เทคนิคหลบเลี่ยงการตรวจจับ ➡️ ใช้ใบรับรองดิจิทัลที่ถูกขโมย ➡️ เปลี่ยน timestamp ของไฟล์ ➡️ ลบตัวเองหลังจากทำงานเสร็จ ‼️ ความเสี่ยงจากการใช้ MDM เป็นช่องทางโจมตี ⛔ ทำให้มัลแวร์แฝงตัวในระบบที่องค์กรไว้วางใจ ⛔ ยากต่อการตรวจจับโดยระบบป้องกันทั่วไป ⛔ อาจเข้าถึงข้อมูลของหลายองค์กรผ่านผู้ให้บริการ BPO ‼️ ความเสี่ยงต่อความมั่นคงขององค์กร ⛔ ข้อมูลสำคัญอาจถูกขโมยโดยไม่รู้ตัว ⛔ การโจมตีแบบ supply chain ทำให้ยากต่อการควบคุม ⛔ อาจนำไปสู่การจารกรรมระดับชาติหรืออุตสาหกรรม https://securityonline.info/nation-state-espionage-airstalk-malware-hijacks-vmware-airwatch-mdm-api-for-covert-c2-channel/

🔓 WP Freeio CVE-2025-11533: เมื่อการสมัครสมาชิกกลายเป็นช่องทางยึดเว็บ Wordfence เตือนภัยด่วน: ช่องโหว่ WP Freeio เปิดทางให้แฮกเกอร์ยึดเว็บไซต์ WordPress ได้ทันที ปลั๊กอิน WP Freeio ถูกพบช่องโหว่ร้ายแรง CVE-2025-11533 ที่เปิดโอกาสให้ผู้โจมตีสร้างบัญชีผู้ดูแลระบบโดยไม่ต้องยืนยันตัวตน ส่งผลกระทบต่อเว็บไซต์ WordPress จำนวนมากทั่วโลก Wordfence Threat Intelligence รายงานช่องโหว่ระดับวิกฤต (CVSS 9.8) ในปลั๊กอิน WP Freeio ซึ่งเป็นส่วนหนึ่งของธีม Freeio ที่ขายบน ThemeForest โดยช่องโหว่นี้อยู่ในฟังก์ชัน process_register() ของคลาส WP_Freeio_User ที่ใช้จัดการการสมัครสมาชิก ปัญหาเกิดจากการที่ฟังก์ชันนี้อนุญาตให้ผู้ใช้กำหนด role ได้เองผ่านฟิลด์ $_POST['role'] โดยไม่มีการตรวจสอบ ทำให้ผู้โจมตีสามารถระบุ role เป็น “administrator” และสร้างบัญชีผู้ดูแลระบบได้ทันที Wordfence ตรวจพบการโจมตีทันทีหลังการเปิดเผยช่องโหว่เมื่อวันที่ 10 ตุลาคม 2025 และบล็อกการโจมตีไปแล้วกว่า 33,200 ครั้ง 🔖 ตัวอย่างคำขอที่ใช้โจมตี: POST /?wpfi-ajax=wp_freeio_ajax_register&action=wp_freeio_ajax_register Content-Type: application/x-www-form-urlencoded role=administrator&email=attacker@gmail.com&password=xxx&confirmpassword=xxx เมื่อได้สิทธิ์ผู้ดูแลระบบแล้ว ผู้โจมตีสามารถ: 💠 อัปโหลดปลั๊กอินหรือธีมที่มี backdoor 💠 แก้ไขโพสต์หรือหน้าเว็บเพื่อ redirect ไปยังเว็บไซต์อันตราย 💠 ฝังสแปมหรือมัลแวร์ในเนื้อหา IP ที่พบว่ามีการโจมตีจำนวนมาก เช่น: 💠 35.178.249.28 💠 13.239.253.194 💠 3.25.204.16 💠 18.220.143.136 Wordfence แนะนำให้ผู้ดูแลระบบอัปเดต WP Freeio เป็นเวอร์ชัน 1.2.22 หรือใหม่กว่าโดยด่วน https://securityonline.info/wordfence-warns-of-active-exploits-targeting-critical-privilege-escalation-flaw-in-wp-freeio-cve-2025-11533/