F5 Networks บริษัทรักษาความปลอดภัยทางไซเบอร์ ได้จัดประเภทช่องโหว่การโจมตีแบบ Denial-of-Service (DoS) ของ BIG-IP APM ใหม่ ให้เป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ที่มีความรุนแรงระดับ Critical พร้อมแจ้งเตือนว่า Hackers กำลังใช้ช่องโหว่นี้เพื่อสร้าง webshell บนอุปกรณ์ที่มีช่องโหว่

BIG-IP APM (ย่อมาจาก Access Policy Manager) เป็น Centralized Access Management Proxy Solution ที่ช่วยให้ผู้ดูแลระบบสามารถรักษาความปลอดภัย และจัดการการเข้าถึงเครือข่าย, คลาวด์, แอปพลิเคชัน และ application programming interfaces (APIs) ขององค์กรได้ (more…)

การโจมตีด้วย Ransomware ก้าวล้ำไปไกลกว่าเพียงแค่การใช้โค้ดที่เป็นอันตรายแบบธรรมดา ปัจจุบันผู้โจมตีดำเนินการด้วยความแม่นยำราวกับธุรกิจที่มีการวางแผนมาอย่างดี โดยการใช้เครื่องมือที่น่าเชื่อถือของ Windows เข้ามาทำลายระบบป้องกันอย่างเงียบ ๆ ก่อนที่ Ransomware จะเริ่มเข้ามามีบทบาท

การเปลี่ยนแปลงในครั้งนี้ ทำให้การโจมตีด้วย Ransomware สมัยใหม่ตรวจจับได้ยากขึ้น และสร้างความเสียหายได้รุนแรงกว่าเดิมเป็นอย่างมาก

เครื่องมือที่เป็นหัวใจสำคัญของภัยคุกคามนี้ไม่ได้ถูกออกแบบมาเพื่อการก่ออาชญากรรม แต่เป็น Utilities เช่น Process Hacker, IOBit Unlocker, PowerRun และ AuKill ซึ่งเดิมทีถูกสร้างขึ้นมาเพื่อให้ทีม IT ใช้จัดการกระบวนการปลดล็อกไฟล์ และแก้ไขปัญหาของระบบในเวลาปกติ

ผู้โจมตีได้นำเครื่องมือเหล่านี้มาดัดแปลงวัตถุประสงค์เพื่อปิดการทำงานของโปรแกรม Antivirus และซอฟต์แวร์ Endpoint Detection and Response (EDR) อย่างเงียบ ๆ ก่อนที่จะเรียกใช้งาน Ransomware

เนื่องจากเครื่องมือเหล่านี้มี digital signed และมีการใช้งานแพร่หลายในสภาพแวดล้อมระดับองค์กร ระบบรักษาความปลอดภัยส่วนใหญ่จึงถือว่าเป็นการจัดการตามปกติ ซึ่งทิ้งร่องรอยไว้น้อยมาก

นักวิจัยจาก Seqrite ได้ระบุถึงรูปแบบที่กำลังเติบโตนี้ และตั้งข้อสังเกตว่าการใช้เครื่องมือ Low-level ที่ถูกต้องในทางที่ผิด ซึ่งได้กลายเป็นเอกลักษณ์สำคัญของการโจมตีด้วย Ransomware ในปัจจุบัน ตั้งแต่ LockBit 3.0 และ BlackCat ไปจนถึง Dharma, Phobos และ MedusaLocker

งานวิจัยแสดงให้เห็นว่า กลุ่มผู้โจมตีเหล่านี้ไม่ได้พึ่งพาเพียงแค่มัลแวร์ที่เขียนขึ้นมาเองเท่านั้น แต่พวกเขายังทำการศึกษาเป้าหมายอย่างละเอียด ระบุจุดอ่อนด้านความปลอดภัย และใช้เครื่องมือที่สร้างขึ้นเพื่อรักษาความปลอดภัยของระบบเป็นอาวุธ

การปิดการทำงานของ antivirus ไม่ใช่ขั้นตอนรอง แต่เป็นส่วนสำคัญที่ถูกวางแผนมาอย่างจงใจ เพราะเมื่อซอฟต์แวร์รักษาความปลอดภัยยังทำงานอยู่ มันจะสามารถบล็อกไฟล์อันตรายขณะรันโปรแกรม ตรวจจับพฤติกรรมการเข้ารหัสข้อมูลที่ผิดปกติ และแจ้งเตือนทีมรักษาความปลอดภัยได้แบบเรียลไทม์

โดยการปิดระบบป้องกันเหล่านี้ก่อน ผู้โจมตีจะสร้างช่องทางเงียบ ๆ ที่ Ransomware สามารถทำงานได้อย่างอิสระ และไม่ถูกขัดจังหวะ

กลยุทธ์นี้มีการพัฒนาอย่างก้าวกระโดดในช่วงหลายปีที่ผ่านมา จาก Command-line scripts พื้นฐาน ที่ใช้ในภัยคุกคามยุคแรก ๆ เช่น CryptoLocker และ WannaCry ไปสู่การจัดการ Driver ระดับ Kernel ที่พบในแคมเปญ Conti และ LockBit 2.0 และในปัจจุบันคือ Antivirus killer modules แบบสำเร็จรูปที่ฝังอยู่ใน Ransomware-as-a-Service (RaaS) โดยตรง

ขอบเขตของภัยคุกคามนี้ครอบคลุมองค์กรทุกขนาด ตั้งแต่ธุรกิจขนาดเล็กไปจนถึงองค์กรขนาดใหญ่ โดยเส้นทางการโจมตีมักจะเป็นไปตามลำดับขั้นตอนที่จงใจใช้เครื่องมือที่น่าเชื่อถือในทุกระดับเพื่อหลบเลี่ยงการตรวจจับ

การใช้ประโยชน์จากเครื่องมือ Windows แบบ 2 ขั้นตอน

เมื่อผู้โจมตีสามารถเจาะเข้าสู่ระบบได้แล้ว พวกเขาจะดำเนินกระบวนการ 2 ขั้นตอน เพื่อจัดการกับระบบความปลอดภัยอย่างเป็นระบบก่อนที่ Ransomware จะเริ่มทำงาน

ในขั้นตอนแรกนี้ เป้าหมายคือการทำให้ Antivirus ใช้งานไม่ได้ และการยกระดับสิทธิ์เครื่องมืออย่าง IOBit Unlocker เพื่อลบไฟล์ Binaries ของ Antivirus โดยใช้ API NtUnlockFile ในขณะที่ TDSSKiller เดิมเป็นเครื่องมือลบ Rootkit แต่ถูกนำมาใช้ในการ Unload Driver ของ Antivirus ออกจาก Kernel เพื่อไม่ให้ระบบป้องกันโหลดกลับมาใหม่ได้

Process Hacker จะยุติ Process ของ Antivirus โดยใช้ช่องโหว่ SeDebugPrivilege และ Atool_ExperModel เพื่อลบค่า Registry ที่ใช้ในการเริ่มระบบของ Antivirus รวมถึงลบ Scheduled Tasks เพื่อตัดวงจรการกู้คืนระบบป้องกัน

ขั้นตอนที่สองเป็นขั้นตอนที่การโจมตีมีความอันตรายที่สุด เมื่อซอฟต์แวร์รักษาความปลอดภัยถูกทำให้หยุดทำงานแล้ว ผู้โจมตีจะเปลี่ยนเป้าหมายไปที่การขโมยข้อมูล Credentials การจัดการ Kernel และการติดตั้ง Ransomware

YDArk เข้าไปควบคุม Kernel-level callbacks เพื่อรักษาการซ่อนตัวอย่างต่อเนื่อง ในขณะที่ PowerRun เรียกใช้ ransomware payload ด้วยสิทธิ์ระดับ SYSTEM เต็มรูปแบบ

Mimikatz อ่านหน่วยความจำ LSASS เพื่อดึงข้อมูล Credentials ของผู้ดูแลระบบที่แคชไว้ ช่วยให้ผู้โจมตีทำให้สามารถโจมตีต่อไปภายในเครือข่ายได้

Unlock_IT ลบข้อมูลใน Registry และร่องรอยของการโจมตีเพื่อทำลายหลักฐาน ในขณะที่ AuKill ยุติ EDR Process ที่ยังหลงเหลืออยู่ทั้งหมด

เมื่อผ่านทั้งสองขั้นตอนนี้ สภาพแวดล้อมในระบบจะพร้อมสำหรับการเข้ารหัสไฟล์ขนาดใหญ่แบบเงียบ ๆ โดยไม่มีกลไกป้องกันใด ๆ เหลืออยู่

องค์กรควรบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) กับบัญชีผู้ใช้ที่มีสิทธิ์พิเศษทั้งหมด เปิดใช้งานการอนุญาตแอปพลิเคชัน เพื่อบล็อก Utilities ที่ไม่ได้รับอนุญาต และตรวจสอบคำสั่งยุติการทำงานที่น่าสงสัย เช่น sc stop, net stop และ taskkill อย่างสม่ำเสมอ

ทีมรักษาความปลอดภัยควรตรวจสอบการเปลี่ยนแปลงใน Registry ที่เกี่ยวข้องกับ antivirus และการตั้งค่าการเริ่มต้นระบบ จำกัดการเข้าถึงเครื่องมือการดูแลระบบระดับต่ำให้เฉพาะบุคลากรที่ได้รับการตรวจสอบแล้วเท่านั้น และฝึกอบรม SOC Analyst ให้สามารถรับรู้สัญญาณเริ่มต้นของการถูกทำให้ระบบป้องกันหยุดชะงัก

อุปกรณ์ที่ได้รับผลกระทบควรถูกแยกออกทันทีเพื่อป้องกันการแพร่กระจายไปยังส่วนอื่น ๆ และจำกัดผลกระทบกับองค์กร

ที่มา : cybersecuritynews

พบช่องโหว่ในปลั๊กอิน Smart Slider 3 ของ WordPress ซึ่งมีการใช้งานบนเว็บไซต์มากกว่า 800,000 แห่ง โดยช่องโหว่ดังกล่าวทำให้ผู้ใช้งานระดับ subscriber-level สามารถเข้าถึงไฟล์ใดก็ได้บนเซิร์ฟเวอร์

ผู้โจมตีที่ผ่านการยืนยันตัวตนสามารถใช้ช่องโหว่นี้เพื่อเข้าถึงไฟล์สำคัญ เช่น wp-config.

กลุ่มแฮ็กเกอร์ TeamPCP ได้ทำการโจมตีเพื่อแทรกแพ็กเกจ Telnyx บน Python Package Index โดยทำการอัปโหลดเวอร์ชันที่เป็นอันตรายเพื่อปล่อยมัลแวร์ Credential-stealing ที่ซ่อนอยู่ภายในไฟล์ WAV (more…)

GitHub กำลังนำการสแกนด้วย AI มาใช้กับเครื่องมือ Code Security เพื่อขยายขอบเขตการตรวจจับช่องโหว่ให้ครอบคลุมมากกว่าเดิม นอกเหนือจากการวิเคราะห์แบบ Static Analysis ของ CodeQL เพื่อให้รองรับภาษา และ Frameworks ที่หลากหลายมากขึ้น (more…)

Hacker ได้แฮ็กบัญชี npm ของ Axios package ซึ่งเป็น JavaScript HTTP client ที่มียอดดาวน์โหลดมากกว่า 100 ล้านครั้งต่อสัปดาห์ เพื่อส่ง Remote Access Trojans (RAT) ไปยังระบบ Linux, Windows และ macOS

(more…)

ผู้โจมตีกำลังมุ่งเป้าไปที่บัญชี TikTok for Business ในแคมเปญฟิชชิ่งที่ป้องกันไม่ให้บอทของอุปกรณ์ด้านความปลอดภัยทำการวิเคราะห์หน้าเว็บที่เป็นอันตรายได้

(more…)

Defused บริษัทด้านข่าวกรองภัยคุกคามทางไซเบอร์รายงานว่า ขณะนี้ผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่ระดับ Critical บนแพลตฟอร์ม FortiClient EMS ของ Fortinet ในการโจมตีอย่างต่อเนื่อง (more…)

 

หน่วยงานความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐาน (CISA) แจ้งเตือนพบ Hacker กำลังโจมตีช่องโหว่ระดับ Critical ที่มีหมายเลข CVE-2026-33017 ซึ่งส่งผลกระทบต่อ Langflow framework สำหรับการสร้าง AI agents (more…)

มัลแวร์ Infostealer ตัวใหม่ที่ชื่อว่า Infinity Stealer กำลังมุ่งเป้าโจมตีไปที่ระบบ macOS ด้วย Payload ที่เขียนด้วยภาษา Python ซึ่ง Packaged นั้นอยู่ในรูปแบบ Executable โดยใช้ Compiler แบบ Open-source ที่ชื่อ Nuitka

(more…)